نسخه جدیدی از بدافزار Ratankba با بکارگیری فرامین PowerShell سازمانهای کوچک و برخی اشخاص را هدف قرار داده است.
به گزارش شرکت مهندسی شبکه گستر، Ratankba از جمله بدافزارهای مورد استفاده گروه نفوذگران Lazarus است که ارتباط آن با کره شمالی در گزارشهای قبلی تقریباً به اثبات رسیده است.
در مقالهای که شرکت Trend Micro آن را منتشر کرده، گروه هک Lazarus از ماه ژوئن سال گذشته میلادی در تلاش بوده تا اهداف خود را از طریق حملات کلاهبرداری (Phishing) و در ظاهر برنامههای ارزهای دیجیتال به نسخه جدید بدافزار Ratankba آلوده کند.
پیشتر نیز شرکت Proofpoint در گزارشی به حملاتی اشاره کرده بود که در آن از نسخهای دیگر از این بدافزار با عنوان PowerRatankba استفاده میشده است. بر اساس گزارش Proofpoint نیز مهاجمان برای اجرا شدن بدافزار بر روی دستگاه، کاربران هدف قرار گرفته خود را تشویق به دریافت یک سند مخرب کرده و یا آنها را به سایتهایی هدایت میکردهاند که در آنها تلاش میشده بدافزار در ظاهر یک برنامه ارزهای دیجیتال یا بهروزرسانی این برنامهها دستگاه را به خود آلوده کند.
با بررسی سرورهای فرماندهی استفاده شده در جریان این حملات توسط محققان Trend Micro مشخص شده که حدود 55 درصد قربانیان در هند و برخی کشورهای همجوار آن قرار داشتهاند.
در بین قربانیان برخی کارکنان سه شرکت توسعه نرمافزارهای تحت وب به چشم میخورند. ضمن اینکه یک شرکت توسعه نرمافزارهای تحت وب در کره جنوبی نیز در بین اهداف این گروه بوده است.
بر اساس گزارش Trend Micro تنها 5 درصد قربانیان از نسخه Enterprise سیستم عامل Windows استفاده میکنند که میتواند نشانهای از تمرکز حملات اخیر بر روی سازمانهای کوچک و برخی افراد مستقل باشد.
به نظر میرسد که هدف از این نسخه از بدافزار جمعآوری اطلاعات و بهرهگیری از آنها برای اجرای حملات اصلی بوده باشد.
همچنین بر اساس گزارش Proofpoint در یکی از حملات Phishing این گروه، بطور خاص یکی از افراد رده بالای یک سازمان ارزهای دیجیتال هدف قرار گرفته بوده است.
در خبری مرتبط، کره جنوبی که صرافیهای ارزهای دیجیتال آن بطور مستمر هدف حملاتی منتسب به دولت کره شمالی قرار داشتهاند اعلام کرده که معاملات با این ارزها را با حسابهای کاربری ناشناس ممنوع خواهد کرد و افراد باید با نام واقعی و همانند معاملات با ارزهای غیردیجیتال تبادلات مالی خود را انجام دهند. ناشناس ماندن هویت واقعی انتقالدهنده و دریافتکننده پول از ویژگیهای اصلی بسیاری از ارزهای دیجیتال از جمله بیتکوین است. در نتیجه این اعلام برخی منابع نیز از کاهش مجدد ارزش بیتکوین خبر دادند.
مشروح گزارش Trend Micro در اینجا قابل دریافت و مطالعه است.
توضیح اینکه نمونههای بررسی شده در گزارش Trend Micro با نامهای زیر شناسایی میشوند:
McAfee:
– PS/Agent.q
– JS/Downloader.gen.gb
– RDN/Generic Dropper
– Artemis
Bitdefender:
– Trojan.VBS.Downloader.AFS