محققان امنیتی گروه نفوذ جدیدی با نام FIN۷ را شناسایی کردند که از روش‌های جدید فیشینگ بهره می‌برد. این گروه در حملات فیشینگ از پرونده‌های میانبر مخفی (پرونده‌های LNK) استفاده می‌کنند. این گروه با انگیزه‌های مالی از سال ۲۰۱۵ میلادی فعال بوده است و اخیراً اهداف در سازمان‌های بورس و اوراق بهادار آمریکا را با دربِ پشتی پاورشِل به نام POWERSOURCE هدف قرار داده است.

در حالی‌که بسیاری از محققان امنیتی این فعالیت‌ها را به گروه Carbanak نسبت می‌دهند، فایرآی می‌گوید این عملیات از طرف گروه دیگری با نام FIN۷ انجام شده است. جالب است که حملات بدون پرونده‌ی اخیر که این گروه انجام داده و گفته می‌شود این حملات با استفاده از چارچوبی انجام شده که قبلاً حملاتی غیرمرتبط با این گروه را انجام داده بود.

در پویش جدیدی که توسط گروه نفوذ FIN۷ انجام شده، مهاجمان دیگر از پرونده‌های ماکروی مخرب موجود در اسناد مایکروسافت برای دور زدن تشخیص استفاده نمی‌کنند اما به پرونده‌های میانبر مخفی به عنوان بردار حمله‌ی اولیه متمایل شده‌اند. این گروه همچنین از یک اسکریپت ویژوال بیسیک برای اجرای mshta.exe و آلوده کردن دستگاه قربانی استفاده می‌کنند.

در پویش فیشینگ این گروه، در رایانامه‌های فیشینگ از پرونده‌های DOCX و RTF استفاده می‌شود که هرکدام نوع متفاوتی از پرونده‌های LNK و اسکریپت‌های ویژوال بیسیک هستند. این حملات مکان‌های مختلفی مانند رستوران‌های زنجیره‌ای، مهمانداری‌ها و سازمان‌های خدمات مالی را با رایانامه‌هایی با مضمون‌های شکایت، سفارشات غذا و یا رزومه هدف قرار داده است. پرونده‌های موجود در رایانامه‌ها تلاش می‌کنند تا کاربر را متقاعد کنند که بر روی تصویر آن‌ها کلیک کند. زمانی‌که کاربر کلیک را انجام داد، پرونده‌ی مخرب و مخفی LNK، سند mshta.exe را با آرگومان‌های مشخصی اجرا می‌کند.

محققان امنیتی اشاره کردند: «استفاده از این روش برای حملات فیشینگ بسیار مؤثر است چرا که محتوای مخرب به‌جای قرار داشتن در یک شیء OLE در محتوای سند تعبیه شده است. با استفاده از این روش منحصربفرد برای تعامل با کاربر، یعنی کلیک کردن بر روی سند، جعبه‌ی شنی و روش‌های تشخیص دور زده می‌شوند چرا که حالتی از رفتار عادی کاربر شبیه‌سازی می‌شود.» در ادامه یک اسکریپت مبهم‌ و چندلایه‌ای پاورشِل بر روی سامانه نصب و اجرا می‌شود که در مرحله‌ی بعدی شِل‌کد Cobalt Strike را اجرا می‌کند. محققان کشف کردند این شِل‌کد با استفاده از پروتکل DNS به یک کارگزار دستور و کنترل مشخص متصل شده و بار داده‌ی مخرب دیگری را بارگیری می‌کند.

در این پویش مشاهده شده که از نسخه‌ی دربِ پشتی HALFBAKED نیز استفاده می‌شود. این دربِ پشتی قادر است باتوجه به دستوراتی که از کارگزار دستور و کنترل دریافت کرده، عملیات مختلفی را انجام دهد. این عملیات عبارتند از ارسال اطلاعات سامانه‌ی قربانی با استفاده از پرس‌وجوهای VMI، گرفتن اسکرین‌شات از ماشین قربانی، اجرای اسکریپت‌های پاورشِل، ویژوال بیسیک و پرونده‌های اجرایی و حذف و به‌روزرسانی پرونده‌های مشخص. در یکی از این پرونده‌های LNK که توسط این گروه نفوذ مورد استفاده قرار گرفته، اطلاعات مشخصی از مهاجمان بدست آمده است. به نظر می‌رسد این پرونده در داخل یک ماشین مجازی با نام میزبان andy-pc در تاریخ ۲۱ مارس سال ۲۰۱۷ ایجاد شده است.

منبع: asis

درباره نماد امن

کانال اخبار فناوری اطلاعات نماد امن

“نماد امن” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

گروه نفوذ FIN۷ روش‌های مورد استفاده در حملات فیشینگ را تغییر داده است

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *