گروهی از نفوذگرهای ناشناخته که کارگزار بارگیری سی‌کلینِر را به‌منظور توزیع یک نسخه‌ی مخرب از نرم‌افزار محبوب بهینه‌سازی سامانه به سرقت برده‌اند، حداقل ۲۰ شرکت بزرگ بین‌المللی فناوری را با استفاده از درب پشتی ثانویه هدف قرار دادند. در اوایل این هفته، زمانی‌که نفوذ سی‌کلینِر گزارش داده شد، محققان به کاربران اطمینان دادند که در این حمله‌ی بزرگ، هیچ بدافزاری برای مرحله‌ی ثانویه استفاده نشده است و کاربران تحت تاثیر قرار گرفته می‌توانند به‌سادگی و به‌منظور رهایی از نرم‌افزارهای مخرب، نسخه‌ی خود را به‌روز کنند. با این حال، در طول تجزیه و تحلیل کارگزار دستور و کنترل، محققان امنیتی گروه سیسکو تالوس، مدارکی در مورد بار داده‌ی ثانویه (GeeSetup_x۸۶.dll، یک ماژول درب پشتی سبک وزن) پیدا کردند که بر اساس نام دامنه‌های محلی، به فهرست خاصی از رایانه‌ها تحویل داده شده است.

شرکت‌های فناوری تحت تاثیر قرار گرفته
بر اساس یک فهرست از پیش تعریف شده در تنظیمات کارگزار دستور و کنترل، این حمله به‌منظور پیدا کردن رایانه‌های داخل شبکه‌ی شرکت‌های بزرگ فناوری و ارائه‌ی بارداده‌ی ثانویه طراحی شده بود. شرکت‌های هدف شامل:
•گوگل
•مایکروسافت
•سیسکو
•اینتل
•سامسونگ
•سونی
•اچ‌تی‌سی
•لینک‌سیس
•دی‌لینک
•آکامای
•وی‌ام‌ور
می‌باشند.

در پایگاه داده، محققان فهرستی از نزدیک به ۷۰۰ هزار دستگاه پشتی آلوده به نسخه‌ی مخرب سی‌کلینِر، یعنی بارداده‌ی اولیه، و فهرستی از حداقل ۲۰ دستگاه که با بارداده‌ی ثانویه و به‌منظور دستیابی به یک جایگاه عمیق در این سامانه‌ها آلوده شده بودند، را پیدا کردند. نفوذگرهای سی‌کلینِر به‌طور ویژه این ۲۰ دستگاه را براساس نام دامنه، آدرس IP و نام میزبان آن‌ها انتخاب کردند. محققان بر این باورند که این بدافزار ثانویه احتمالا برای جاسوسی صنعتی طراحی شده است.

بدافزار CCleaner به گروه نفوذ چینی مربوط است
به گفته‌ی محققان کسپرسکی، بدافزار سی‌کلینِر برخی از کدها را با ابزار نفوذی که توسط یک گروه نفوذ چینی پیشرفته به نام آکسیوم استفاده می‌شود، به اشتراک می‌گذارد. مدیر گروه جهانی تحقیقات و تجزیه و تحلیل آزمایشگاه کسپرسکی در توییتر گفت: «بدافزار تزریق شده به # سی‌کلینِر، کدها را با استفاده از چندین ابزار استفاده شده توسط یکی از گروه‌های APT محافظ #آکسیومAPT، به اشتراک گذاشته است.» محققان سیسکو همچنین یادآور می‌شوند که یک پرونده‌ی پیکربندی بر روی کارگزار مهاجمان برای منطقه‌ی زمانی چین تنظیم شده است که نشان می‌دهد چین می‌تواند منبع حمله‌ی سی‌کلینِر باشد. با این حال، این شواهد به‌تنهایی برای ارجاع کافی نیستند. همچنین محققان سیسکو تالوس گفتند که قبلا به شرکت‌های فناوری آسیب‌دیده در مورد نقض احتمالی اخطار داده‌اند.

حذف نسخه‌ی مخرب CCleaner، کمکی نخواهد کرد
درحالی‌که کارگزار دستور و کنترل مهاجمان هنوز فعال باشد، تنها حذف نرم‌افزار Avast از دستگاه‌های آلوده، برای رهایی شبکه‌ی آن‌ها از بارداده‌ی ثانویه‌ی بدافزار سی‌کلینِر کافی نیست. بنابراین، به شرکت‌های تحت تاثیر قرار گرفته‌ای که رایانه‌های آن‌ها توسط نسخه‌ی مخرب سی‌کلینِر آلوده شده است، به‌شدت توصیه می‌شود که قبل از نصب برنامه‌های امنیتی آلوده، سامانه‌های خود را از طریق نسخه‌های پشتیبان به‌طور کامل بازیابی کنند.

محققان می‌گویند: «این یافته‌ها نیز توصیه‌ی قبلی ما را پشتیبانی و تقویت می‌کنند که افرادی که تحت تاثیر این حمله‌ی زنجیره‌ای قرار گرفته‌اند، نباید به‌راحتی نسخه‌ی آسیب‌دیده‌ی سی‌کلینِر را حذف کرده و یا به آخرین نسخه ارتقاء دهند، بلکه باید از طریق سامانه‌ی پشتیبان‌گیری یا بازخوانی، به‌منظور اطمینان از حذف کامل نه تنها نسخه‌ی درب پشتی سی‌کلینِر، بلکه هرگونه بدافزار دیگری که ممکن است در سامانه باشد، بازگردانی کنند.» برای آن‌هایی که بی‌اطلاع هستند، نسخه‌ی ۳۲ بیتی ویندوز سی‌کلینِر v۵.۳۳.۶۱۶۲ و ابر سی‌کلینِر v۱.۰۷.۳۱۹۱ توسط این بدافزار آلوده شده و کاربران آسیب‌دیده باید نرم‌افزار را به نسخه‌ی ۵.۳۴ یا بالاتر ارتقاء دهند.

 منبع: asis

درباره نماد امن

“نماد امن” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

بدافزار CCleaner شرکت‌های بزرگ فناوری را با استفاده از درب پشتی ثانویه آلوده می‌کند

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *