امنیت

فناوری اطلاعات

September 5, 2018
19:14 چهارشنبه، 14ام شهریورماه 1397
کد خبر: 93719

نهادهای دولتی مستقر در خاورمیانه هدف حمله بدافزاری

یک گروه بدافزاری در حال انجام حملات مداوم سایبری با استفاده از ابزارها و تکنیک های شناخته شده علیه نهادهای دولتی در منطقه خاورمیانه است.
 
به گزارش مرکز مدیریت راهبردی امنیت فضای تولید و تبادل اطلاعات ریاست جمهوری، گروه OilRig همچنان در حال انجام حملات مداوم با استفاده از ابزارها و تکنیک‌های شناخته شده علیه نهادهای دولتی در منقطه خاورمیانه است.
 
در این حملات از ایمیل‌های فیشینگ استفاده شده و قربانی با روش‌های مهندسی اجتماعی، وادار به اجرای یک پیوست مخرب می‌شود. در پیوست‌ها نیز از تروجان OopsIE که در فوریه ۲۰۱۸ شناسایی شده، استفاده شده است.
 
در حملات گروه OilRig، قابلیت‌های OopsIE مشابه نسخه‌های قبلی این تروجان است، اما برخی قابلیت‌های مقابله با تحلیل و شناسایی ماشین مجازی در آن بکار گرفته شده است تا سیستم‌های دفاعی خودکار دور زده شوند.
 
پژوهشگران Palo Alto Networks، در جولای ۲۰۱۸ موجی از حملات گروه OilRig را گزارش کردند که با کمک ابزاری به نام QUADAGENT، یک آژانس دولتی مستقر در خاورمیانه را مورد هدف قرار گرفته بود. در این حملات ایمیل‌های فیشینگی از آدرس‌های به سرقت رفته از سازمان مورد هدف مشاهده شد که به جای QUADAGENT، تروجان OopsIE به عنوان بدنه در آنها منتقل شده است. موضوع ایمیل‌ها با زبان عربی نوشته شده که حاصل ترجمه آن عبارت «آموزش مدیریت مداوم کسب‌وکار» است.
 
با توجه به بررسی‌های انجام شده، گروه‌های مورد هدف شامل افرادی هستند که اسناد و مقالاتی را بصورت عمومی در موضوع مدیریت مداوم کسب‌وکار منتشر کرده‌اند.
 
تروجان OopsIE حملات خود را با اجرای چندین عملگر ضدتحلیل و سندباکس آغاز می‌کند. تروجان عملگرهای بررسی فن پردازنده، بررسی دما، بررسی نشانه‌گر موس، بررسی دیسک سخت، بررسی مادربورد، بررسی Sandboxie DLL، بررسی VBox DLL، بررسی VMware DLL، بررسی منطقه زمانی (که اطمینان حاصل شود منطقه زمانی قربانی در مناطق خاورمیانه (UTC+۲)، عربی (UTC+۳)، ایران (UTC+۳,۵) و غیره باشد و بررسی تعامل انسان را اجرا می‌کند. در صورتی که بررسی‌ها مطابق پارامترهای تعیین شده در بدافزار نباشد، تروجان بدون انجام فعالیتی خارج می‌شود.
 
تروجان OopsIE منتقل شده در این حملات دارای قابلیت‌های مشابه نسخه قبلی این بدافزار است. تشابه اصلی استفاده از فعالیت‌های زمان‌بندی شده برای اجرای دستورات به صورت پایدار در سیستم است. همچنین فرایند کلی ارتباط با سرور C&C نیز مشابه نسخه قبلی است. علاوه‌بر این، مشابه نسخه قبلی، تروجان استفاده شده در این حمله نیز از اشیا مرورگر اینترنت اکسپلورر برای دریافت دستورها استفاده می‌کند.
 
با این حال، چندین تفاوت نیز بین این نسخه و نسخه قبلی مشاهده می‌شود. در نگاه اول، در این نسخه تعداد زیادی از رشته‌ها مبهم‌سازی شده‌اند. مورد دیگر، تکنیک‌های مقابله با محیط‌های تحلیل است. برخی تفاوت‌های جزئی نیز در کد نسخه جدید مشاهده شده است.
 
یک تفاوت بارز در مقایسه با نسخه قبلی، نحوه نمایش آدرس سرور C&C است که در این نسخه آدرس سرورها یا پارامترهای موجود در آنها معکوس شده‌اند، به دین صورت که chk به khc، what به tahw و resp به pser تبدیل شده است.
 
در نهایت باید اشاره کرد که گروه OilRig همچنان یک تهدید فعال در منطقه خاورمیانه است. این گروه در تلاش است تا در عین حال که از تکنیک‌های مشابه و تکراری استفاده می‌کند، ابزارهای خود را توسعه دهد و به آنها قابلیت‌های بیشتری را اضافه کند. در این موج حمله نیز آن‌ها قابلیت‌های ضدتحلیل را به بدافزار خود اضافه کردند. با این حال تاکتیک‌های استفاده شده توسط آنها به طور کلی پیشرفته نیست و سازمان‌ها با پیاده‌سازی رویکردهای ساده امنیتی می‌توانند خود را در برابر این تهدید محافظت کنند.
  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.