استفاده نفوذگران از بدافزاری 12 ساله برای اجرای حملاتی پیشرفته

به گزارش شرکت مهندسی شبکه گستر به نقل از شرکت ضدویروس Trend Micro، گروه نفوذگر Shrouded Crossbow، که از سال 2010 عمدتاً شرکتهای آسیایی فعال در صنایع حساس را هدف قرار می داده، از گونه ارتقا یافته یک بدافزار قدیمی از نوع درب پشتی (Backdoor) با نام Bifrose برای اجرای حملات خود استفاده می کرده است.

در گذشته، Bifrose، که تاریخ پیدایش آن به سال 2004 باز می گردد، در بازارهای زیرزمینی نفوذگران با مبلغ حدود 10 هزار دلار فروخته می شد.

محققان Trend Micro بر این باورند که این گروه از نفوذگران کد Bifrose را خریداری کرده و بعد از بهبود توابع آن، گونه ای تکامل یافته و البته متفاوت از آن را ایجاد نموده اند.

در حالی که Bifrose بدافزاری شناخته شده برای ضدویروس ها بوده است این تغییرات، نفوذگران را قادر کرده تا از طریق گونه جدید برای مدتهای طولانی بر روی اهداف خود سیطره داشته باشند.

به گزارش شرکت مهندسی شبکه گستر به نقل از شرکت ضدویروس Trend Micro، گروه Shrouded Crossbow، از دو و شاید سه تیم تشکیل شده است. تیم نخست برنامه نویسانی هستند که بر اساس شناسه های نمونه های بررسی شده تعداد آنها حداقل 10 نفر تخمین زده می شود.

تیم دوم مسئول یافتن راهی برای نفوذ به شبکه هدف است. برای این منظور اعضای این تیم، با ارسال ایمیل های فیشینگ در قالب گزارش خبری، رزومه، داده های دولتی یا درخواست جلسه سعی در فریب کاربران مورد نظر برای اجرای فایل مخرب پیوست شده به ایمیل داشته اند. همچنین این افراد با سوءاستفاده از امکان Unicode برای زبان‎های راست به چپ، نظیر فارسی و عربی، بدون تغییر در ماهیت فایل، پسوند بدافزار پیوست شده را به صورت DOC یا RAR نمایش می داده اند.

احتمالاً تیمی دیگر نیز مدیریت مجموعه 100 سرور فرماندهی این گروه را بر عهده داشته است. نشانی های IP و دامنه های این سرورها طبق الگویی خاص به روز می شده اند.

فعالیت های این گروه مؤید این موضوع است که اجرای حملات پیشرفته سایبری همیشه مستلزم داشتن بودجه عظیم، استفاده از بهره جوهای روز صفر (Zero-Day Exploit) و بدافزارهای جدید نبوده و با اعمال تغییراتی بر روی ابزارهای نفوذ قدیمی هم می توان حملاتی موفق را اجرا کرد.

مشروح گزارش Trend Micro در اینجا قابل مشاهده است.