قربانیان در نظر گرفته شده برای حمله، یک پست الکترونیک spear-phishing دریافت کردند که از LINE به عنوان سوژه استفاده میکند و حاوی یک پرونده پیوست با فرمت .ZIP و با نام add_line.zip است.
LINE، برنامه کاربردی محبوب پیامرسانی تلفن همراه، به عنوان طعمه برای حملهای هدفمند به دولت تایوان مورد استفاده قرار گرفت.
به گزارش پایگاه اطلاع رسانی پایداری ملی به نقل از آی تی اس ان, LINE برنامهای کاربردی است که قابلیت برقراری تماسهای رایگان و ارسال پیام را فراهم میآورد و در کشورهایی چون تایوان، ژاپن، اندونزی، هند، ایالات متحده، مکزیک و کلمبیا مورد استفاده قرار گرفته است. گزارشات حاکی از آن است که این برنامهی کاربردی تا سال ۲۰۱۴ دارای بیش از ۴۹۰ میلیون کاربر بوده است. تعداد کاربران LINE در کشور تایوان به ۱۷ میلیون در همان سال میرسد. در اثبات محبوبیت این برنامهی کاربردی میتوان به استفاده از آن برای اهداف ارتباطی در دفاتر به گفتهی مقامات دولتی اشاره کرد.
چرخهی حمله
قربانیان در نظر گرفته شده برای حمله، یک پست الکترونیک spear-phishing دریافت کردند که از LINE به عنوان سوژه استفاده میکند و حاوی یک پرونده پیوست با فرمت .ZIP و با نام add_line.zip است. در این پست الکترونیک وانمود شده است که این پست از سوی منشی یک شخصیت سیاسی ارسال شده است که در آن از دریافتکنندگان (در یک اداره دولتی در تایوان) درخواست شده که اطلاعات کاربری خود را برای پیوستن به یک گروه خاص در LINE ارائه دهند. هنگامی که کاربران پرونده .ZIP را باز کنند، شامل یک پروندهی اجرایی (add_line.exe) خواهد بود که Trend Micro را به عنوان BKDR_MOCELPA.ZTCD-A شناسایی میکند.
بر اساس تجزیه و تحلیل، این تروجان از درگاه ۴۴۳ که به HTTPS مرتبط است استفاده میکند. اطلاعاتی که این تروجان استخراج میکند در مقایسه با سایر تروجانها که اطلاعاتی مانند نام میزبان، نسخهی سامانهی عامل و دامنه در میان دیگران را به سرقت میبرند؛ تنها آدرس MAC میباشد. حدس ما این است که در پس شناسایی آدرس MAC مهاجمان قصد دارند تا دستگاه را شناسایی کنند. زمانی که کارگزار فرمان دهی و کنترل پاسخ میدهد، در آن زمان است که بدافزار آدرس MAC سامانهی آلوده شده را ارسال مینماید.
این تروجان در ابتدا به منظور اطلاعرسانی کارگزار فرمان دهی و کنترل از این بابت که از طریق یک ترافیک HTTPS معتبر اما Hardcode «متصل» یا «زنده» است، پیامی را به این کارگزار ارسال مینماید. نظارت ما هیچگونه فعالیتی را از سوی کارگزار فرمان دهی و کنترل (با آدرس آیپی: ۲۰۰٫۸۷٫۴۸٫۴) نشان نداد. این احتمال وجود دارد که کارگزار فرمان دهی و کنترل از زمانی که IP مجاز بوده، در معرض خطر قرار گرفته باشد.
ما شاهد بودیم که BKDR_MOCELPA.ZTCD-A هیچگونه رجیستری یا کد تزریقی روی سامانهی آلوده شده ایجاد نکرد و تنها ارتباطات SSL را درگیر کرد. شاید به این دلیل که از هرگونه راهحل امنیتی مانند علامتگذاری پروندههای مشکوک جلوگیری کند. ما همچنین دریافتهایم که این بدافزارها از "byte string”، یک نوع روش ساخت رشته که در آن حروف یک به یک در حافظه جای میگیرند نیز استفاده میکند. ما روشی مشابه با این روش را نیز توسط دو ابزار مخوف کنترل از راه دور به نامهای Gh0st RAT و IXESHE مشاهده نمودیم.
اتصالات Taidoor
تحقیقات بیشتر در این زمینه نشان میدهد که این حمله مشکوک به اتصال به Taidoor میباشد؛ زیرا در این صورت از رمزگذاری یکسان برای پنهان کردن ترافیک شبکه استفاده میکند.
Taidoor یک عملیات مخرب است، در واقع پرونده-هایی با فرمت .DOC که یک سند مجاز را نشان می-دهند درحالیکه محمولهای از بدافزارهای مخرب را در پسزمینه اجرا مینمایند. یک نمونه خاص که مورد سوء استفاده قرار گرفت، CVE-2012-0158 بود؛ یک آسیبپذیری در پنجره کنترل فرمان. این عملیات مخرب پیمانکاران دفاع آمریکا و همچنین شرکتهای ژاپنی را هدف قرار داد. Trend Micro بدافزارهای Taidoor را به عنوان گونههای متفاوت BKDR_SIMBOT شناسایی میکند. در سال ۲۰۱۴، Taidoor از طریق دو حملهی روز-صفرم و با هدف قرار دادن آسیبپذیری CVE-2014-1761، به سازمانهای دولتی و یک مؤسسه آموزشی در تایوان ضربه زد.
Consumerization و حملات هدفمند
شیوع Consumerization و آوردن فرهنگ «آوردن دستگاه خود» (BYOD) به شرکتها مزایایی چون کاهش هزینه ها و افزایش بهرهوری را در پی دارد. اما زمانی که کارمندان از دستگاه تلفن همراه شخصی خود و برنامههای کاربردی آن مانند برنامههای پیامرسانی و یادداشت برداری استفاده میکنند، موجب خطراتی را برای اطلاعات شرکت میشوند. امنیت، چالشی است که در پیادهسازی BYOD و Consumerization در محیط شرکتها به آن پرداخته نشده است. در این حمله خاص، بازیگران تهدید میدانستند که اهداف حملهی آنان به منظور کسب و کار از LINE استفاده میکنند، بنابراین از این برنامهی کاربردی تلفن همراه به عنوان اهرم فریب مهندسی اجتماعی استفاده کردند.
محافظت از شبکه خود
Trend Micro از سازمانها در برابر این تهدید خاص با به کارگیری راهحلهای نقطه پایانی از مجموعه حفاظت هوشمند، محافظت مینماید. این راهحلها اهرم نظارت بر رفتار هستند که برای شناسایی این نوع تهدید به کار میروند. نقطه پایانی و امنیت تلفن همراه در مجموعه حفاظت هوشمند، از نقطه پایانی و امنیت تلفن همراه محافظت مینماید؛ درحالیکه مؤلفه امنیت پست الکترونیک تمام پستهای الکترونیکی مخرب را از ورود به صندوق ورودی کاربر بازمیدارد. در گزارش سالانهی ما درباره حملات هدفمند در سال ۲۰۱۴ ، ما شاهد پیشرفت و بهبود روزافزون در تاکتیکها، روشها و رویههای مرتبط با حملات پیشرفتهی مداوم بودیم. عملیاتی که ما به بررسی آن پرداختیم نشان داد که به شرکتها و سازمانهای بزرگی نیاز است که بیش از هر زمان خود را با خطرات ناشی از حملات هدفمند تطبیق دهند.
سازمانها میتوانند برای رسیدگی به حملات هدفمند از راهحلهایی فرای نقطه پایانی استفاده کنند. Trend Micro Custom Defense یک خانواده از راهحلهای امنیتی است که شما را قادر میسازد تا حملات هدفمند و پیشرفته را پیش از خسارات نهایی، به سرعت شناسایی و تجزیه و تحلیل کرده و به آنها پاسخ دهید. Custom Defense با افزایش خدمات حفاظتی به سازمانها این امکان را میدهد تا حملات هدفمند را شناسایی کرده و به آن پاسخ دهند، بر نقاط پایانی نظارت کرده و نیز حملات هدفمند به پست الکترونیک را متوقف نمایند.
گذشته از راهبرد custom defense که شامل شناسایی-تجزیه و تحلیل-پاسخ به حمله در چرخه زندگی به منظور کاهش و شکستن چرخه حمله است؛ به شرکتها توصیه شده است تا اطلاعات تهدید خود را بنا سازند و یک تیم پاسخ به رخداد تشکیل دهند. در خلال این تلاشها، مدیران فناوری اطلاعات قادر خواهند بود تا شاخص سازش (IoCs) را تعیین نموده و آن را در زمانی که شبکه را به منظور رؤیت هرگونه فعالیت مشکوک نظارت مینمایند به عنوان یک اساس به کار بگیرند. در این صورت میتوان مانع از خروج اطلاعات در طی حملات شد.
درهمساز زیر مربوط به این حمله است:
f5e016b847145c61f0643c0270973002c67d30a5 – شناسایی شده به عنوان (BKDR_MOCELPA.ZTCD-A) از طریق Virustotal در دسترس عموم است.