مک آفی

گزارش McAfee درباره حملات جاسوسی MiniDuke

به دنبال رسانه ای شدن عملیات جاسوسی سایبری اخیر که به MiniDuke مشهور شده است، شرکت امنیتی McAfee یک گزارش فنی در این خصوص منتشر کرد.

بر اساس گزارش McAfee، حملات سایبری اخیر به منظور جاسوسی و سرقت اطلاعات سازمانی، مراکز دولتی مختلف در کشورهای اروپایی را هدف قرار داده است. این حملات از چندین بدافزار از نوع “درب مخفی” (Back door) تشکیل شده که امکان اجرای فرامین مختلف را بر روی کامپیوتر قربانی فراهم می آورند. این بدافزارها از سرویس های Google و Twitter برای ارتباط با مراکز فرماندهی و کنترل خود استفاده می کنند. بدین ترتیب این ارتباطات مهم در ظاهر به صورت ترافیک عادی کاربران شبکه دیده می شود.

آلودگی اولیه از طریق یک فایل مخرب PDF آغاز می شود که از یک نقطه ضعف نرم افزار Adobe Reader سوء استفاده می کند تا بدافزار را بر روی کامپیوتر قربانی قرار داده و فعال سازد. این بدافزار توسط محصولات امنیتی McAfee به نام BackDoor–FAMU شناسایی می شود.

بدافزار BackDoor–FAMU یک فایل از نوع DLL با حجم 23 کیلو بایت است و تنها یک وظیفه دارد. این بدافزار اقدام به جستجو در Google نموده و به دنبال یک عبارت Binary خاص می گردد تا با یافتن آن، از محل دریافت بدافزارهای بعدی مطلع شده و اقدام نماید.

جستجوی گوگل

در حال حاضر به این جستجوی Google پیام خطا داده می شود و به نظر می رسد که شرکت Google این نوع درخواست جستجو را مسدود کرده باشد.

بر اساس نتایج جستجوی Google، بدافزار اولیه اقدام به دریافت فایل هایی از نوع GIF می کند که حاوی برنامه های اجرایی رمز گذاری شده، هستند. بدافزار اولیه BackDoor–FAMU پس ازدریافت این فایل های GIF آنها را رمزگشایی کرده و اقدام به نصب و فعالسازی برنامه های اجرایی مخرب جدید بر روی کامپیوتر قربانی می کند.

رمز شده

فایل رمزگذاری شده

رمزگشایی شده

فایل رمزگشایی شده

بدافزارهای ثانوی با نام های backDoor-FAMW ،BackDoor–FAMX و BackDoor–FAMU!enc توسط محصولات امنیتی McAfee شناسایی می شوند.

بدافزار BackDoor–FAMW یک فایل اجرایی با حجم 320 کیلوبایت است که به نوبه خود اقدام به دریافت فایل هایی از نوع GIF می کند. همچنین درخواست های مکرر به نشانی های IP زیر ارسال می نماید:

  • نشانی 173.194.35.1 درگاه TCP 80
  • نشانی 173.194.70.101 درگاه TCP 80

در حال حاضر هر دو نشانی مسدود هستند و پیام خطای 404 را برمی گردانند.

بدافزار BackDoor–FAMX یک فایل کوچک با حجم 7/13 کیلوبایت است که تلاش می کند از طریق درگاه 443 به نشانی 85.95.236.114 متصل شود.

در گزارش McAfee توصیه گردیده به منظور پیشگیری و جلوگیری از آلوده شدن به این بدافزارها و بدافزارهای مشابه، از گشودن فایل های ناشناخته، مشکوک و فایل هایی که انتظار دریافت آنها را ندارید، خودداری کنید. همچنین در اولین فرصت نسبت به نصب اصلاحیه ها و به روز رسانی نرم افزارهای کاربردی که از سوی شرکت های تولید کننده نرم افزار منتشر می شوند، اقدام نمایید.

محصولات امنیتی McAfee تمام گونه های مختلف بدافزارهای مرتبط با حملات جاسوسی MiniDuke را شناسایی کرده و تشخیص می دهند.

گزارش کامل McAfee را می توانید از اینجا دریافت کرده و مطالعه نمایید.

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *