حملات هدفمند “غول” بر ضد مؤسسات صنعتی

شرکت Kaspersky از اجرای حملات هدفمندی خبر داده که از ماه ژوئن شرکت ها و سازمان های عمدتاً فعال در حوزه صنعت را در کشورهای مختلف هدف قرار می داده است.

این حملات از طریق ایمیل های فیشینگ (Phishing) و یک جاسوس افزار تجاری صورت می پذیرفته است. به گفته شرکت Kaspersky بیش از 130 سازمان از 30 کشور شامل پاکستان، امارات متحده عربی، هند، مصر و عربستان سعودی بطور موفقیت آمیز هدف این گروه قرار گرفته اند.

نمودار زیر تعداد شرکت ها و سازمان ها هدف قرار گرفته در این حملات را به تفکیک کشور نشان می دهد.

operation_ghoul_eng_3

در بخش سایر (Others) نام ایران نیز به چشم می خورد.

به گزارش شرکت مهندسی شبکه گستر به نقل از شرکت ضدویروس Kaspersky، در جریان اجرای این حملات، اکثر ایمیل های فیشینگ به مدیران رده بالا و رده میانی شرکت ها و سازمان های هدف قرار گرفته شده ارسال می شده است. با دستکاری سرآیند ایمیل توسط مهاجمان، اینطور وانمود می شده که ایمیل، توصیه نامه ای است که از سوی بانکی در امارات متحده عربی با نام Emirates NBD ارسال شده است. پیوست این ایمیل ها نیز یک فایل 7z حاوی – در ظاهر – یک سند SWIFT بوده که در حقیقت همان فایل مخرب گردانندگان این حملات با عنوان  EmiratesNBD_ADVICE.exe بوده است.

operation_ghoul_eng_1-1

با اجرای فایل مخرب، جاسوس افزاری از خانواده HawkEye بر روی سیستم اجرا می شود. پس از نصب این جاسوس افزار اطلاعات زیر جمع آوری و به سرور فرماندهی ارسال می شود:

  • کلیدهای فشرده شده
  • داده های بر روی Clipboard
  • اطلاعات اصالت سنجی FileZilla FTP Server
  • داده های حساب کاربری مرورگرها
  • داده های حساب کاربری پیام رسان هایی همچون Paltalk،وGoogle Talk و AIM
  • داده های حساب کاربری نرم افزارهای Email Client نظیر Outlook و Windows Live Mail
  • اطلاعات لیسانس برخی نرم افزارهای نصب شده

بر اساس تحقیقات انجام شده توسط شرکت Kaspersky این حمله توسط گروهی موسوم به Operation Ghoul انجام شده است. گروهی که از سال 2015 حملات متعددی را اجرا کرده است.

توضیح اینکه نمونه فایل های  EmiratesNBD_ADVICE.exe توسط ضدویروس شرکت McAfee با نام های Fareit-FEJ!B8F6E6A0CB1B، وFareit-FEU!FC8DA575077A، وTrojan-FILW!08C18D388099 و Trojan-FIZX!55358155F96B شناسایی می شود. همچنین این نمونه فایل ها با نام های Trojan.Generic.16721460، وTrojan.GenericKD.3295982، وGen:Variant.Zusy.189893 و Trojan.GenericKD.3350360 توسط ضدویروس Bitdefender قابل شناسایی می باشند.

همچنین به کاربران محصولات سازمانی McAfee توصیه می شود از این فایل به روز رسانی موقت (EXTRA DAT) که حاوی فرمول شناسایی آخرین گونه های فایل Excel مخرب است، استفاده کنند. راهنمای قرار دادن Extra DAT در ابزار مدیریتی McAfee ePolicy Orchestrator را در اینجا مشاهده کنید.

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *