هشدارهای افتایی
آزمایشگاه کسپرسکی موج جدیدی از ایمیل‌های فیشینگ را شناسایی کرده است که حاوی پیوست‌های مخرب هستند. این ایمیل‌ها شرکت‌ها و سازمان‌هایی را هدف قرار می‌دهند که به نحوی با محصولات صنعتی در ارتباط هستند. ایمیل‌های فیشینگ به عنوان پیشنهادات تجاری قانونی ارسال می‌شوند. محتوای هر ایمیل نشان دهنده فعالیت سازمان تحت حمله و نوع فعالیت کارمندی است که ایمیل به او فرستاده شده است.
با توجه به اطلاعاتی که کسپرسکی جمع‌آوری کرده است، این سری از حملات در نوامبر 2017 آغاز شده و در حال حاضر در حال انجام است. قابل ذکر است که اولین حملات مشابه این تهدید در سال 2015 ثبت شده است.
بدافزار مورد استفاده در این حملات، نرم افزارهای مدیریت از راه دور (مانند TeamViewer یا Remote Manipulator System (RMS)) را به طور قانونی نصب می‌کند. این امر مهاجمین را قادر می‌سازد تا سیستم‌های آلوده را کنترل کنند. مهاجم از تکنیک‌های مختلفی برای نفوذ و فعالیت بدافزار در سیستم استفاده می‌کند.
بر اساس اطلاعات موجود، هدف اصلی مهاجمان سرقت پول از حساب سازمان‌های قربانی است. هنگامی که مهاجمی به رایانه قربانی متصل شود، سیستم را برای یافتن اسناد خرید و همچنین نرم‌افزارهای مالی و حسابداری جستجو و تجزیه و تحلیل می‌کند. پس از آن، مهاجم به دنبال روش‌های متنوعی است که تخلفات مالی مانند جعل جزئیات بانک که برای پرداخت‌ها استفاده می شود، را مرتکب شود.
در مواردی که مجرمان سایبری پس از آلوده‌سازی سیستم به اطلاعات و قابلیت‌های اضافی مانند افزایش دسترسی، داده‌های احرازهویت برای سرویس‌ها و نرم‌‌افزارهای مالی یا حساب‌های ویندوز نیاز دارند، یک بسته اضافی از بدافزار را دانلود می‌کنند، که به طور خاص برای حمله به هر فرد قربانی اختصاص داده شده است. بسته مخرب می‌تواند شامل نرم‌افزارهای جاسوسی، سرویس‌های اضافی مدیریت راه دور که میزان کنترل مهاجمان را بر روی سیستم‌های آلوده افزایش می‌دهد، بدافزاری برای بهره‌برداری از سیستم‌عامل و آسیب‌پذیری‌های نرم‌افزاری، و همچنین ابزار Mimikatz که داده‌های حساب‌های ویندوز را برای مهاجمین فراهم می‌کند.
ظاهرا مهاجمان اطلاعات مورد نیاز برای انجام فعالیت‌های مخرب خود را با تجزیه و تحلیل مکاتبات کارکنان در شرکت‌های مورد حمله به دست می‌آورند. همچنین ممکن است آنها از اطلاعات موجود در این ایمیل‌ها برای انجام حملات جدید در برابر شرکت‌هایی که با قربانی فعلی همکاری می‌کنند، استفاده کنند.
واضح است که این حملات علاوه بر زیان‌های مالی، نشت اطلاعات حساس سازمان‌های قربانی را نیز به همراه داشته باشد. علاوه بر RMS و TeamViewer، از بدافزارهای زیر نیز برای نفوذ استفاده شده است:
    Babylon RAT   •
    Betabot/Neurevt   •
    AZORult stealer   •
    Hallaj PRO Rat   •
براساس آمار ارائه شده توسط کسپرسکی، از اکتبر 2017 تا ژوئن 2018 حدود 800 رایانه کارکنان شرکت‌های صنعتی توسط RMS، TeamViewer و بدافزارهای اشاره شده مورد حمله واقع شده است. 400 نوع شرکت مورد هدف بوده‌اند که در حوزه‌های زیر فعالیت می‌کنند:
•    ساخت و تولید
•    نفت و گاز
•    متالورژی
•    مهندسی
•    انرژی
•    ساخت و ساز
•    معدن
•    لجستیک

IoCها:

منبع:

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.