نرم افزارهای جاسوسی "غیرعادی" در شکار شرکت های صنعتی

، یک گزارش جدید نشان می دهد که چندین کمپین با استفاده از نرم افزارهای جاسوسی آشکار شده است. محققان نام این حملات سایبری را «ناهنجار» می‌گذارند. اهداف عاملان تهدید، شرکت‌های صنعتی هستند و هدف نهایی آنها شامل سرقت اعتبار حساب‌های ایمیل، کلاهبرداری مالی، یا حتی فروش مجدد این نرم‌افزار جاسوسی به هکرهای دیگر است. کسپرسکی کسانی بودند که گزارشی در این زمینه منتشر کردند. هکرها از ابزارهای جاسوس‌افزاری استفاده می‌کنند که آماده هستند، با این حال، هر نوع آن برای مدت زمان محدود و خاصی مستقر می‌شود. این تکنیک به عوامل تهدید کمک می‌کند که شناسایی نشوند.

بدافزار کالایی که در این حملات سایبری به کار می‌رود عبارتند از: ]Azorult

  • Lokibot

    • کارشناسان این حملات را "غیر عادی" نامیدند، این نتیجه از این واقعیت حاصل می شود که آنها با ماهیت کوتاه مدت مشخص می شوند، چیزی که در این زمینه رایج نیست. از این رو، حملات جاسوس‌افزار مورد بحث در مقایسه با کمپین‌های معمولی که طی یک دوره زمانی چند ماهه یا حتی سال‌ها تمدید می‌شوند، تقریباً 25 روز طول عمر دارند. و در عین حال، تعداد رایانه های مورد حمله کمتر از 100 است که 40-45٪ آنها ماشین های ICS هستند، در حالی که بقیه بخشی از زیرساخت های فناوری اطلاعات همان سازمان ها هستند.

    این به یک روند تبدیل شده است: حدود 21.2. درصد از تمام نمونه‌های جاسوس‌افزار مسدود شده در رایانه‌های ICS در سراسر جهان در H1 2021، بخشی از این سری جدید حملات کوتاه‌مدت دامنه محدود بودند و بسته به منطقه، تا یک ششم تمام رایانه‌هایی که با نرم‌افزارهای جاسوسی مورد حمله قرار می‌گرفتند، با استفاده از این تاکتیک مورد حمله قرار گرفتند.

    منبع

    استفاده از پروتکل ارتباطی مبتنی بر SMTP یکی دیگر از ویژگی های این کمپین است زیرا به عوامل تهدید کمک می کند تا فعالیت های استخراج داده را انجام دهند و آن را به سرور C2 خود ارسال کنند. در حملات معمول جاسوس‌افزار، پروتکل HTTPS معمولاً برای برقراری ارتباط C2 استفاده می‌شود.

    محققان بر این واقعیت تأکید می‌کنند که هکرها معمولاً SMTP را به دلیل ناتوانی آن در واکشی فایل‌های باینری یا غیر متنی انتخاب نمی‌کنند. از سوی دیگر، پروتکل سادگی را نشان می‌دهد و می‌تواند با ترافیک معمولی شبکه ترکیب شود.

    گسترش نفوذ شبکه از طریق اعتبارنامه‌های سرقت شده

    هکرها برای سرقت اعتبار کارکنان، حملات سایبری فیشینگ را انجام می‌دهند. اینها بیشتر برای اهداف نفوذ پیشرفته کاربرد دارند، زیرا مجرمان سایبری موفق می شوند به صورت جانبی به شبکه حرکت کنند. این موضوع تشخیص مکاتبات داخلی مخرب را به ویژه چالش برانگیز می کند.

    محققان همچنین در یک نمودار عملیاتی مکانیسم مورد استفاده توسط عوامل تهدید در این حملات نرم افزارهای جاسوسی «غیرعادی» را نشان دادند: منبع تصویر

     

    2000 ایمیل شرکتی مورد سوء استفاده کارشناسانی که خود را به عنوان سرورهای موقت C2 معرفی کردند، شناسایی شد.

    بعدی چیست؟ تجارت بازار وب تاریک

    بسیاری از اعتبارنامه های حساب ایمیل دزدیده شده مانند VPN، RDP، SMTP، SSH یا cPanel در بازار وب تاریک به فروش می رسند و هکرهای دیگر خریداران می شوند. این حملات، همانطور که محققان تاکید کردند که 3.9٪ از کل حساب های RDP فروخته شده متعلق به این زمینه است.

    Heimdal™ چگونه می تواند کمک کند؟ راه‌حل امنیت ایمیل ما را انتخاب کنید، یک فیلتر هرزنامه برجسته که تخصص انسانی را با اطلاعات تهدید ترکیب می‌کند، برای محافظت کامل در فضای ابری و ایمیل در محل.

    اگر این مقاله را دوست داشتید، ما را در LinkedIn، Twitter دنبال کنید. برای اخبار و موضوعات مربوط به امنیت سایبری، فیس‌بوک، یوتیوب و اینستاگرام.

    Comments are closed.