۱۷ اسفند ۱۳۹۱ - ۱۴:۰۹
کد خبر: ۲۱۴۴
به دنبال رسانه ای شدن عملیات جاسوسی سایبری اخیر که به MiniDuke مشهور شده است، شرکت امنیتی McAfee یک گزارش فنی در این خصوص منتشر کرد.

بر اساس آنچه McAfee ارائه کرده است، حملات سایبری اخیر به منظور جاسوسی و سرقت اطلاعات سازمانی، مراکز دولتی مختلف در کشورهای اروپایی را هدف قرار داده است. این حملات از چندین بدافزار از نوع "درب مخفی” (Back door) تشکیل شده که امکان اجرای فرامین مختلف را بر روی کامپیوتر قربانی فراهم می آورند. این بدافزارها از سرویس های Google و Twitter برای ارتباط با مراکز فرماندهی و کنترل خود استفاده می کنند. بدین ترتیب این ارتباطات مهم در ظاهر به صورت ترافیک عادی کاربران شبکه دیده می شود.

آلودگی اولیه از طریق یک فایل مخرب PDF آغاز می شود که از یک نقطه ضعف نرم افزار Adobe Reader سوء استفاده می کند تا بدافزار را بر روی کامپیوتر قربانی قرار داده و فعال سازد. این بدافزار توسط محصولات امنیتی McAfee به نام BackDoor–FAMU شناسایی می شود.

بدافزار BackDoor–FAMU یک فایل از نوع DLL با حجم ۲۳ کیلو بایت است و تنها یک وظیفه دارد. این بدافزار اقدام به جستجو در Google نموده و به دنبال یک عبارت Binary خاص می گردد تا با یافتن آن، از محل دریافت بدافزارهای بعدی مطلع شده و اقدام نماید. 

در حال حاضر به این جستجوی Google پیام خطا داده می شود و به نظر می رسد که شرکت Google این نوع درخواست جستجو را مسدود کرده باشد.

بر اساس نتایج جستجوی Google، بدافزار اولیه اقدام به دریافت فایل هایی از نوع GIF می کند که حاوی برنامه های اجرایی رمز گذاری شده، هستند. بدافزار اولیه BackDoor–FAMU پس ازدریافت این فایل های GIF آنها را رمزگشایی کرده و اقدام به نصب و فعالسازی برنامه های اجرایی مخرب جدید بر روی کامپیوتر قربانی می کند.

فایل رمزگذاری شده :

فایل رمزگشایی شده :

بدافزارهای ثانوی با نام های backDoor-FAMW ،BackDoor–FAMX و BackDoor–FAMU!enc توسط محصولات امنیتی McAfee شناسایی می شوند.

بدافزار BackDoor–FAMW یک فایل اجرایی با حجم ۳۲۰ کیلوبایت است که به نوبه خود اقدام به دریافت فایل هایی از نوع GIF می کند. همچنین درخواست های مکرر به نشانی های IP زیر ارسال می نماید:

نشانی ۱۷۳٫۱۹۴٫۳۵٫۱ درگاه TCP ۸۰
نشانی ۱۷۳٫۱۹۴٫۷۰٫۱۰۱ درگاه TCP ۸۰ 

در حال حاضر هر دو نشانی مسدود هستند و پیام خطای ۴۰۴ را برمی گردانند.

بدافزار BackDoor–FAMX یک فایل کوچک با حجم ۷/۱۳ کیلوبایت است که تلاش می کند از طریق درگاه ۴۴۳ به نشانی ۸۵٫۹۵٫۲۳۶٫۱۱۴ متصل شود.

در گزارش McAfee توصیه گردیده به منظور پیشگیری و جلوگیری از آلوده شدن به این بدافزارها و بدافزارهای مشابه، از گشودن فایل های ناشناخته، مشکوک و فایل هایی که انتظار دریافت آنها را ندارید، خودداری کنید. همچنین در اولین فرصت نسبت به نصب اصلاحیه ها و به روز رسانی نرم افزارهای کاربردی که از سوی شرکت های تولید کننده نرم افزار منتشر می شوند، اقدام نمایید.

محصولات امنیتی McAfee تمام گونه های مختلف بدافزارهای مرتبط با حملات جاسوسی MiniDuke را شناسایی کرده و تشخیص می دهند.


گزارش خطا
ارسال نظرات
نام
ایمیل
نظر