هشدارهای افتایی
هکرها در حال اجرای کمپین جدیدی هستند که بدافزار حمله‌ی جستجوی فراگیر StealthWorker را بر روی دستگاه‌های ویندوز و لینوکس قرار می‌دهد. این کمپین در نهایت منجر به استفاده از دستگاه آلوده برای انجام حمله جستجوی فراگیر روی رایانه‌های دیگر در یک سری حملات جستجوی فراگیر توزیع شده خواهدشد.
به گزارش معاونت بررسی مرکز افتا، به نقل از وب‌سایت BleepingComputer، جستجوگر  فراگیر StealthWorker  که مبتنی بر زبان Golang  بوده و با عنوان  GoBrut نیز شناخته می‌شود، به طور فعال برای هدف قراردادن و آسیب‌زدن به پلتفرم‌های مختلف استفاده می‌شود.
StealthWorker قبلا به تعدادی از وب‌سایت‌های آسیب‌دیده‌ی تجارت الکترونیک با پشتیبانی Magento مرتبط بوده که در آن مهاجمان به ابزاری که برای نگه‌داری اطلاعات پرداخت و شخصی طراحی شده بود، نفوذ کردند.
این بدافزار توانایی استفاده از آسیب پذیری‌های مختلف برای نفوذ به Magento، phpMyAdmin و سیستم های مدیریت محتوای (cPanel (CMS را دارد. همچنین قابلیت ورود با زور به وسیله حمله فراگیر را، در صورت عدم موفقیت دیگر روش‌ها، نیز دارد. 

فرآیند آلودگی و ارتباط
در حالی که قبلا بدنه StealthWorker حین انتقال به سرورهای هدف با کمک دانلودگر تروجان WallyShack  کنترل می‌شد، کمپین جدید رویکردی مبتنی بر حمله‌ی جستجوی فراگیر برای هدف قراردادن هر میزبان آسیب‌پذیر با اطلاعات ورودی ضعیف یا پیش‌فرض دارد. پس از هک یک سرور، با توجه به نوع سیستم، آن سرور می‌تواند به هدفی دیگر برای سارقین اطلاعات جاسازی‌شده یا نشر و افشای کلی داده‌ها باشد. هنگامی که بدافزار در دستگاه هدف قرارگرفت، وظایفی برنامه‌ریزی‌شده را در ویندوز و لینوکس ایجاد می‌کند تا بتواند خود را در پوشه راه‌اندازی یا در پوشه tmp/ مستقرکند و همچنین مولفه crontab متقابل را به دست آورد. هنگامی که همه موارد آماده‌ شود و رایانه قربانی به یک بات‌نت زامبی تبدیل شده‌ باشد، این بدافزار به سرور فرمان و کنترل (C2) خود متصل می‌شود و آمادگی خود را به سرور اطلاع می‌دهد.
علاوه بر توانایی درخواست وظایف به عنوان یک عامل در پروژه‌های جستجوی فراگیر، بدافزار StealthWorker  قادر به بروزرسانی خود نیز هست. مهاجمان به طور عمده از بات‌های StealthWorker برای بررسی خدماتی که روی سرور هدف در حال اجرا است و ورود به درون سرور استفاده می‌کنند.
در ادامه وظایف از سرور C2 دریافت می‌شوند. لیستی از میزبان‌ها و اطلاعات موردنیاز از C2 دریافت‌شده و وظیفه عامل این است که وارد سرور میزبان مورد نظر شود. اگر ورود به سیستم موفق باشد، عامل، میزبان و اطلاعات مورد‌استفاده را با عنوان saveGood به C2 گزارش می‌دهد.
در حالی که حملات جستجوی فراگیر جدید نیستند، استفاده از زامبی بات‌نت به عنوان بخشی از یک کمپین بزرگ و توزیع‌شده موضوعی عادی نیست. این روش، نرخ موفقیت مهاجمان را با خودکارسازی یک فرآیند وقت‌گیر و استفاده از منابع پردازشی قربانی به جای منابع محدود مهاجم، افزایش می‌دهد. یک حمله جستجوی فراگیر توزیع‌شده که از آدرس‌های IP مختلف انجام می‌شود، می‌تواند به دورزدن روش‌های امنیتی مقابله با این حملات، که معمولا مبتنی بر threshold است، منجر شود.


منبع : 

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.