محققان امنیتی مایکروسافت دریافتند حمله سایبری به تازگی کشف شده که فناوری‌های سطح بالا و سازمان‌های مالی را مورد هدف قرار داده است و از یک سازوکار دارای ضعف به‌روزرسانی نرم‌افزار برای فرستادن بدافزار استفاده می‌کند.

این نوع حمله جدید نیست و قبلاً در فرآیند‌های به‌روزرسانی EvLog فناوری Altair، سازوکار به‌روزرسانی خودکار SimDisk نرم‌افزار کره جنوبی و کارگزار به‌روزرسانی مورد استفاده توسط ALZip مربوط به ESTsoft استفاده شده بود. محققان می‌گویند پویش جدید یک سری از ابزار و نرم‌افزارهای مخرب ساده را هم به کار می‌گیرد.

از طریق به خطر انداختن سازوکارِ به‌روزرسانی و یا زنجیره‌ی تأمین نرم‌افزار برای یک ابزار ویرایش شخص ثالث، عاملان قادر به استقرار یک نرم‌افزار مخرب که مایکروسافت آن را به عنوان Rivit تشخیص داده بود، شدند. این پرونده‌ی اجرایی اسکریپت‌های مخرب پاورشِل را همراه با پوسته معکوس Meterpreter راه‌اندازی می‌کند که مهاجمان را از راه دور قادر می‌سازد، کنترل غیرفعالی بر ماشین‌های تسخیرشده داشته باشند. مایکروسافت می‌گوید پویش جاسوسی سایبری WilySupply، در مراحل اولیه کشف شد، قبل از آن‌که بتواند آسیب واقعی‌ای وارد کند. این شرکت طرف‌های درگیر و فروشنده‌ی ثالث نرم‌افزار را آگاه کرده و برای کاهش خطرات بالقوه با آن‌ها کار کرده است.

حمله سایبری به خوبی برنامه‌ریزی شده و به‌قدری هماهنگ و مخفیانه بود که حتی سازنده‌ی ابزار‌های ثالث به طور کامل از موضوع بی‌خبر بود. الیا فلوریو، محافظ حملات پیشرفته‌ی ویندوز در تیم پژوهشی، توضیح می‌دهد که هر چند که این حمله از یک آسیب‌پذیری روز-صفرم بهره‌برداری نمی‌کند اما این حمله سایبری به طور موثری دارایی‌ها را به خطر می‌اندازد. این حمله از رابطه اعتماد رایج زنجیره تامین‌های نرم‌افزار و این واقعیت که مهاجم در حال حاضر کنترل از راه دور کانال به‌روز‌رسانی را به دست گرفته، استفاده کرده است.

جالب توجه است تنها دستگاه‌های خاص، تحت تاثیر قرار گرفتند در حالی که اکثر اهداف احتمالی نادیده گرفته شد. این موضوع با این حال، نشان‌دهنده‌ی قصد عاملان به تمرکز بر روی باارزش‌ترین اهداف است. ابزارهایی که در این حملات استفاده می‌شود معمولاً در تمرینات آزمون نفوذ به کار گرفته می‌شود و به مهاجمان اجازه می‌دهد که از انتساب فرار کنند. پرونده‌ی باینری بدافزار، به نام ue.exe، یک قطعه کد کوچک بود که روی راه اندازی یک پوسته Meterpreter کدگذاری‌شده‌ی Base۶۴ Gzip بارگیری‌شده با استفاده از پاورشِل بود.

برای جستجوی شبکه، باطل کردن اعتبارنامه و حرکات جانبی، مهاجمان یا از دستورات سامانه‌ی محلی و یا ابزارهای اسکریپت اجرا‌شده در حافظه از طریق پاورشِل استفاده کردند که روشی است که به طور فزاینده در میان مجرمان سایبری محبوب شده است. روش‌ها و رویه‌های مشاهده‌شده در طول حمله شامل غیرمداوم ، باینری اولیه خود-‌ویرانگر، بار داده‌ی حافظه‌ای، فعالیت‌های بازسازی از قبیل شمارش ماشین، مهاجرت به فرآیندهای طولانی، استفاده از ابزار‌های رایج مانند Mimikatz و Kerberoast برای خالی کردن رشته درهم‌سازی، حرکت جانبی با استفاده از ابزار دقیق مدیریت ویندوز(WMI) و ماندگاری از طریق وظایف برنامه‌ریزی‌شده است.

به عنوان بخشی از این عملیات، مهاجمان از آدرس‌های شبکه زیر برای انجام پویش اولیه‌ی شبکه، حرکت جانبی، و ارتباطات دستور و کنترل استفاده می‌کنند: hXXp: //۵.۳۹.۲۱۸.۲۰۵/logo.png و hXXp: //۱۷۶.۵۳ .۱۱۸.۱۳۱ / logo.png برای بارگیری براساس بار داده‌ی مبتنی بر Meterpreter هم از همان آدرس استفاده شده است. فلوریو اشاره می‌کند که «ما اعتقاد داریم که فعالیت‌ها در عملیات WilySupply با انگیزه‌ی سود مالی بوده است. آن‌ها بسته‌ی نرم‌افزار ثالث را از طریق به‌روزرسان‌ها و کانال‌های دیگر برای رسیدن به قربانیانی که عمدتاً در صنایع مالی و پرداخت بودند، به خطر می‌انداختند.

منبع: asis

درباره نماد امنیت وب

کانال اخبار فناوری اطلاعات نماد امن

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

حمله به هدف‌های سطح بالا از طریق سازوکارهای به‌روزرسانی نرم‌افزار

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *