چرخشی از آسیا به سمت امریکا
بدافزاری که دارد به تهدیدی بزرگ تبدیل می‌شود
کارشناسان امنیتی موفق به شناسایی بدافزار پیشرفته‌ای شده‌اند که پیش‌تر شرق آسیا و آسیای میانه را به عنوان هدف خود انتخاب کرده بود و اکنون تمرکزش بر ایالات متحده است. این بدافزار جدید گونه پیشرفته و جهش یافته‌ای از بدافزاری است که چند سال قبل شناسایی شده بود.

1606683296_1_0.gif

بدافزاری که ریشه در گذشته دارد

بدافزار فوق که MM Core نام دارد، اولین بار در آوریل سال 2013 میلادی شناسایی شد. پژوهشگران شرکت امنیتی فایرآی در آن زمان اعلام کردند، قابلیت‌های این بدافزار در نوع خود جالب توجه است. به دلیل این‌که سعی می‌کند اطلاعاتی در ارتباط با ماشینی که آن‌‌را آلوده کرده جمع‌آوری کرده و در ادامه این اطلاعات را برای یک سرور راه دور ارسال کند. پس از انجام این‌کار یک درب پشتی را روی ماشین قربانی نصب می‌کند. اولین نسخه از این بدافزار به نام BaneChant عمدتا شرکت‌ها و سازمان‌هایی که در شرق آسیا و آسیای مرکزی قرار داشتند را هدف قرار داده بود. بدافزار فوق از شگرد هوشمندانه‌ای برای فریب سامانه‌های امنیتی استفاده می‌کرد. این بدافزار زمانی که روی سیستم قربانی قرار می‌گرفت پیش از آن‌که فعالیت خود را آغاز کند، صبر می‌کرد تا قربانی چند کلیک با ماوس انجام دهد. به این شکل بدافزار این توانایی را داشت تا از مکانیزم سندباکس موسوم به جعبه شنی فرار کند.

مطلب پیشنهادی

میزبان شبح قادر است سامانه‌های امنیتی را فریب دهد

این بدافزار برای آن‌که مانع از آن شود تا سرور کنترل و فرمان‌دهی در فهرست سیاه نرم‌افزارهای امنیتی قرار گیرد از سرویس‌هایی که برای کوتاه‌سازی آدرس‌های اینترنتی در دسترس کاربران قرار دارند استفاده می‌کرد. همچنین به جای آن‌که کدهای مخرب را در قالب یک فایل روی هارددیسک کاربران قرار دهد، کدها را درون حافظه اصلی قرار می‌داد تا به این شکل پژوهشگران امنیتی این شانس را نداشته باشند تا اطلاعات زیادی در ارتباط با این بدافزار به دست آورند.

نگارش جدید تنها سه ماه پس از شناسایی منتشر شد

در ژوئن همان سال، پژوهشگران موفق شدند نگارش جدیدی از بدافزار MM Core را شناسایی کنند. این بدافزار که همراه با برچسب LNK-2.1 شناسایی شده بود StrangeLove نام گرفت. نسخه جدید همان فعالیت‌های قبلی را انجام می‌داد با این تفاوت که دانلودکننده به شکل دیگری کار می‌کرد. این نسخه نیز شرق آسیا و آسیای میانه را به عنوان اهداف خود انتخاب کرده بود.

مطلب پیشنهادی

مراقب ایمیل‌ها و دامنه‌های جعلی منتسب به دانشگاه آکسفورد باشید

دو نگارش جدید در سال 2017

اما پژوهشگران به تازگی دو نسخه جدید از این بدافزار به نام‌های BigBoss و SillyGoose را شناسایی کرده‌اند. نسخه BigBoss کار خود را از سال 2015 میلادی آغاز کرده و sillyGoose از سپتامبر 2016 (شهریورماه) کار خود را آغاز کرده است. نسخه‌های جدید کاربرانی که در آفریقا و ایالات متحده ساکن هستند را به عنوان اهداف خود انتخاب کرده‌اند. این دو بدافزار سایت‌های خبری، دولتی، صنایع نفت/گاز و مخابرات را به عنوان اهداف خود برگزیده است. این دو نسخه دقیقا همان درب پشتی که دو نگارش قبلی روی ماشین‌های قربانی‌ها نصب می‌کردند را با نام متفاوت قرار می‌دهند.

این دو بدافزار از آسیب‌پذیری نرم‌افزار ورد با شناسه CVE-2015-1641 سوء استفاده کرده و فرآیند دانلود را کامل می‌کنند. جالب آن‌که تعدادی از مولفه‌های دانلود از یک گواهی‌نامه دیجیتالی معتبر که از سوی یک شرکت روسی به نام Bor Port ارائه شده استفاده می‌کنند. پژوهشگران امنیتی اعلام کرده‌اند، هکرها به احتمال زیاد این گواهی‌نامه‌ها را به سرقت برده‌اند. هکرها برای آن‌که مانع از آن شوند که بدافزارها از سوی پژوهشگران امنیتی شناسایی شود از سرویس محافظت از حریم خصوصی WHOIS استفاده کرده‌اند تا امکان شناسایی سرورهای کنترل و فرمان‌دهی امکان‌پذیر نباشد. تحلیل‌ها نشان می‌دهند که پلتفرم، فناوری و کدهایی که همه این بدافزارها از آن‌ها برای آلوده‌سازی ماشین‌ها استفاده می‌کنند به پروژه‌ای به نام Gratem تعلق دارد. Gratem یک دانلود کننده قدرتمند است که از سال 2014 در اختیار کاربران قرار گرفته است. پژوهشگران امنیتی اعلام داشته‌اند: «به نظر می‌رسد MM Core بخشی از یک سناریو تهدید وسیع است که هنوز تمامی پازل‌های مربوط به آن شناسایی نشده‌اند.»

ماهنامه شبکه را از کجا تهیه کنیم؟
ماهنامه شبکه را می‌توانید از کتابخانه‌های عمومی سراسر کشور و نیز از دکه‌های روزنامه‌فروشی تهیه نمائید.

ثبت اشتراک نسخه کاغذی ماهنامه شبکه     
ثبت اشتراک نسخه آنلاین

 

کتاب الکترونیک +Network راهنمای شبکه‌ها

  • برای دانلود تنها کتاب کامل ترجمه فارسی +Network  اینجا  کلیک کنید.

کتاب الکترونیک دوره مقدماتی آموزش پایتون

  • اگر قصد یادگیری برنامه‌نویسی را دارید ولی هیچ پیش‌زمینه‌ای ندارید اینجا کلیک کنید.

ایسوس

نظر شما چیست؟