محققان ترندمیکرو روز چهارشنبه گزارش دادند که یک گروه نفوذ چینی با نام Winnti از بستر گیت‌هاب به‌عنوان زیرساخت ارتباطات دستور و کنترل استفاده می‌کنند.

گروه نفوذ Winnti که بیشتر با پویش‌های جاسوسی و مالی شناخته می‌شود از سال ۲۰۰۷ میلادی ظهور کرده است. بیشتر قربانیان این گروه در آسیای جنوب شرقی قرار گرفته‌اند. محققان ترندمیکرو فعالیت این گروه را زیر نظر داشته و کشف کردند بدافزار آن‌ها با حساب گیت‌هاب متصل بوده و مکان اصلی کارگزار دستور و کنترل را بدست می‌آورد.

گروه Winnti به استفاده‌ی خود از تروجان راه دور PlugX ادامه می‌دهد. همچنین محققان امنیتی پرونده‌ی جدیدی با نام BKDR۶۴_WINNTI.ONM کشف کرده‌اند که به نظر می‌رسد یک دربِ پشتی باشد. این بدافزار یک پرونده‌ی HTML را که در پروژه‌ی گیت‌هاب ذخیره شده، بررسی می‌کند. در این پرونده یک رشته‌ی رمزنگاری‌شده وجود دارد که در آن آدرس IP و شماره درگاه مربوط به کارگزار دستور و کنترل مخفی شده است. این رشته با الگوریتم رمزنگاری که در PlugX مورد استفاده قرار می‌گیرد، رمزنگاری شده است.

به گفته‌ی ترندمیکرو، پروژه‌ی گیت‌هاب توسط گروه Winnti در خرداد ماه سال قبل ایجاد شده و اولین بار در شهریور ماه به‌عنوان زیرساخت ارتباطات دستور و کنترل مورد استفاده قرار گرفته است. کارشناسان معتقدند این حساب توسط مهاجمان ایجاد شده و از کاربران دیگر به سرقت نرفته است. در دربِ پشتی که گروه نفوذ Winnti مورد استفاده قرار می‌دهد، یک بارگیری‌کننده وجود دارد که از یک نسخه‌ی دست‌کاری شده‌ی ابزار رجیستری مایکروسافت و wmiAPSrv در ویندوز استفاده می‌کند. این بارگیری‌کننده، بار داده‌ی بدافزار را به سامانه وارد کرده و پس از رمزگشایی آن را در حافظه قرار می‌دهد.

یکی از محققان ترندمیکرو توضیح داد: «استفاده از بسترهای معروفی مانند گیت‌هاب به‌عنوان زیرساخت دستور و کنترل، به بدافزارها این امکان را می‌دهد تا بر روی سامانه‌ی قربانی دارای سازوکار ماندگاری شوند و ارتباطات آن‌ها نیز مخفی باقی بماند. هرچند بدافزاری که گروه Winnti استفاده می‌کند، قدیمی است ولی با استفاده از این روش جدید برای ارتباطات دستور و کنترل، این گروه در صدر گروه‌های پیچیده و هوشمند قرار گرفته است.»

منبع: asis

درباره نماد امن

کانال اخبار فناوری اطلاعات نماد امن

“نماد امن” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

استفاده از بستر گیت‌هاب برای ارتباطات دستور و کنترل توسط گروه نفوذ Winnti

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *