کشف جاسوس سایبری در خاورمیانه
افتا|
مرکز مدیریت راهبردی فضای تولید و تبادل اطلاعات ریاستجمهوری نسبت به حمله یک گروه جاسوسی سایبری پیشرفته با نام «بیگ بنگ» که منطقه خاورمیانه را هدف قرار داده است، هشدار داد.
در چند هفته گذشته، تیم امنیتی Check Point یک گروه جاسوسی APT(گروه تهدید سایبری پیشرفته) را کشف کرده است که حملاتی را علیه نهادهایی در سراسر خاورمیانه انجام داده است. مرکز مدیریت راهبردی افتای ریاستجمهوری در این باره اعلام کرد: این حملات با ارسال ایمیلهای فیشینگ به اهداف انجام میشود که ایمیلها حاوی یک فایل پیوست آرشیو self-extracting و شامل دو فایل است: یک سند Word و یک فایل اجرایی مخرب. سند Word قربانی را منحرف میکند تا بدافزار در پسزمینه سیستم نصب شود.
این بدافزار حاوی ماژولهای مختلفی است بطوری که از سیستم قربانی اسکرینشات تهیه میکند و آن را به سرور C&C ارسال میکند. نام و شناسههای فرایندهای پردازشی درحال اجرا را در فایلی با نام sat.txt ذخیره و آن را به سرور ارسال میکند. لیستی از فایلهای doc، odt، xls، ppt، pdf و... قربانی را ارسال میکند. یک فایل با پسوند txt را از یک آدرس اینترنتی دانلود میکند و پس از تغییر پسوند آن به exe آن را اجرا میکند. جزییات سیستم را به صورت لاگ به سرور ارسال و سیستم را Reboot میکند.
یک فرایند پردازشی را براساس نام آن متوقف و بدنه را از startup حذف و همچنین فایل اصلی آن را نیز پاک میکند.
از سویی دیگر فایل اجرایی بدافزار را به صورت خودکار پاک میکند و لیستی از پارتیشنهای موجود در سیستم قربانی را به سرور ارسال میکند.
هدف اصلی این حملات که BigBang نام گرفته است هنوز مشخص نیست اما واضح است که مهاجم پس از جمعآوری اطلاعات، مرحله دوم حملات را آغاز خواهد کرد. گروه Talos در ماه ژوئن سال ۲۰۱۷ حملات دیگری از این گروه APT را کشف کرد و پس از آن تاکنون حملات وسیعی از این گروه گزارش نشده است اما حمله BigBang دارای قابلیتها و زیرساختهای تهاجمی بهبود یافتهیی است.
نمونههای اولیه این حملات در اواسط ماه آوریل سال جاری مشاهده شده اما به کمک خبرهای استفاده شده در اسناد میتوان دریافت که شروع حملات به مارس ۲۰۱۸ برمیگردد.
بدافزار استفاده شده در این حملات نسخه بهبود یافته از بدافزاری است که در سال گذشته مورد استفاده قرار گرفته است. بدافزار با زبان C++ نوشته شده و به صورت یک فایل اجرایی self-extracting بستهبندی شده است.
نام فایل اجرایی DriverInstallerU.exe است اما metadata آن نشان میدهد که نام اصلی فایل Interenet Assistant.exe است. پس از اجرای این فایل ماژولهای بدافزار پس از برقراری ارتباط با سرور C&C فعال میشوند.
باید اشاره کرد که این حملات براساس تجربه قبلی این گروه APT در سال گذشته انجام گرفته و قابلیتها و کاربران هدف آنها افزایش یافته است. مقاصد اصلی حملات مشخص نیست اما مرحله بعدی حملات در آینده صورت خواهد گرفت.