صنایع خاص، هدف بدافزار FlawedAmmyy

به گزارش شرکت مهندسی شبکه گستر، نفوذگران با اجرای حمله‌ای هدفمند در حال آلوده‌سازی سازمان‌های فعال در برخی صنایع خاص به بدافزار FlawedAmmyy هستند.

این بدافزار که بر اساس کدهای افشا شده نسخه 3 برنامه معتبر Ammyy Admin توسعه داده شده، کنترل کامل دستگاه را در اختیار مهاجمان قرار می‌دهد.

به عبارتی دیگر، بدافزار FlawedAmmyy مهاجمان را قادر به سرقت فایل‌ها و داده‌های حساسی همچون اطلاعات اصالت‌سنجی می‌کند.

انتشار FlawedAmmyy از طریق کارزارهای هرزنامه‌ای موضوع جدیدی نیست و از سال 2016 به طرق مختلف در جریان بوده است. اما شرکت Proofpoint گزارش داده که بتازگی مهاجمان بطور هدفمند بخش‌های خاصی همچون صنایع خودروسازی را هدف این بدافزار قرار داده‌اند.

برخی منابع، گروه پشت صحنه این حمله را TA505 معرفی کرده‌اند که حداقل از سال 2014 فعال بوده و در انتشار چند باج‌افزار و بدافزار بانکی نقش داشته است.

در یکی از نمونه‌های حمله اخیر، ایمیلی با پیوست یک فایل ZIP به قربانی ارسال شده است.

فایل ZIP خود حاوی فایل‌هایی با پسوند URL است که اجرای هر یک از آنها منجر به دریافت اسکریپتی از نوع JavaScript بر روی دستگاه قربانی می‌شود.

نکته قابل توجه اینکه فرآیند دریافت فایل از طریق پودمان SMB و نه از طریق مرورگر صورت می‌پذیرد.

با اجرای اسکریپت مذکور دستگاه آلوده به بدافزار FlawedAmmyy می‌شود.

با توجه به اینکه FlawedAmmyy تاثیر خاصی در سرعت و عملکرد برنامه‌های نصب شده بر روی دستگاه ندارد، ممکن است کاربر برای مدتها متوجه آلوده بودن دستگاه به آن نباشد.

مشروح گزارش Proofpoint در اینجا قابل دریافت و مطالعه است.

علاوه بر بکارگیری ضدویروس به‌روز و قدرتمند، آموزش کاربران در پرهیز از کلیک کردن بر روی لینک‌ها و باز نمودن پیوست‌های ایمیل مشکوک نقشی اساسی در ایمن نگاه داشتن سازمان از گزند این نوع حملات دارد.