نشست تحلیلگران امنیتی 2023: تحقیقات کلیدی
متخصصین تیم GReAT کسپرسکی، در کنفرانس بینالمللی تحلیلگر امنیت برخی تحقیقات جذاب را ارائه کردهاند. با ما همراه باشید.
داستان این پلتفرم درباره بدافزاری است که پیشتر به عنوان ماینر رمزارز Monero شناسایی شده بود. اما در واقع پوششی بود برای تهدید پیچیدهی ماژول که قادر بود کامپیوترهایی را که هم ویندوز و هم لینوکس را اجرا میکنند، آلوده کند. ماژولهای مختلف StripedFly میتوانند اطلاعات کامپیوتر را سرقت کنند، اسکرینشات بگیرند، از میکروفون صدا ضبط کرده و پسوردهای وایفای را رهگیری نمایند. با این وجود این پلتفرم نهتنها برای جاسوسی کارایی داشت، بلکه ماژولهایی را دریافت میکرد که میتوانستند حکم باجافزار داشته و ماین رمزارز نیز انجام دهند. نکته جالب در خصوص این پلتفرم این میباشد که، این تهدید با وجود اینکه در سال 2017 پچ شده بود، اما توانست با استفاده از اکسپلویت EthernalBlue به سرعت رشد پیدا کند. علاوه بر این،StripedFly میتواند از کلیدها و پسوردهای سرقتی برای آلوده کردن سیستمهای لینوکس و ویندوز که سرور SSH را اجرا میکنند، استفاده کند.
جزئیات عملیات Triangulation
گزارش دیگر نشست تحلیلگران امنیتی به تحقیق در مورد عملیات Triangulation اختصاص دارد که از میان موارد دیگر، کارمندان خود شرکت کسپرسکی را مورد هدف قرار داده است. تحلیل انجام گرفته بر روی این تهدید به متخصصین کسپرسکی اجازه داد تا در سیستم IOS، پنج آسیبپذیری را شناسایی نمایند. چهار عدد از این آسیبپذیریها (CVE-2023-32434, CVE-2023-32435, CVE-2023-38606 & CVE-2023-41990) آسیبپذیریهای روز صفر (Zero Day) بودهاند. آنها نهتنها آیفون را که آیپاد، آیپد، مکاواس، اپل تیوی و اپلواچ را نیز آلوده کردهاند، همچنین مشخص گردید که مهاجمین علاوه بر آلوده کردن دستگاهها از طریق iMessage میتوانند به مرورگر سافاری هم حمله کنند.
کمپین جدید لازاروس
گزارش سوم متخصصین GReAT به حملات جدید گروه Lazarus APT اختصاص دارد. این گروه اکنون در حال هدف قرار دادن توسعهدهندگان نرمافزار است (که برخیشان چندین بار مورد حمله واقع شدند) و فعالانه حملات زنجیره تأمین را پیاده میکنند. لازاروس از طریق آسیبپذیریهای نرمافزار قانونی برای رمزگذاری ارتباطات وب، سیستم را آلوده کرده و یک ایمپلنت جدید SIGNBT را مستقر میکند که بخش اصلی آن فقط در حافظه کار میکند.
این امر درخصوص مطالعه قربانی (دریافت تنظیمات شبکه، نام فرآیندها و کاربران) و همچنین راهاندازی بار مخرب؛ اضافی است. بهویژه، نسخه بهبودیافته بک را در LPEClient دانلود میکند که در حافظه نیز اجرا میشود و به نوبه خود بدافزاری را راهاندازی میکند که قادر به سرقت اطلاعات کاربری یا دادههای دیگر است. اطلاعات فنی در مورد ابزارهای جدید گروه Lazarus APT و همچنین شاخصهای سازش را می توانید در وبلاگ Securelist مشاهده نمائید.
حمله TetrisPhantom
علاوه بر این، متخصصین جزئیاتی از حمله TetrisPhantom ارائه دادند که هدفش آژانسهای دولتی در منطقه APAC بود. TetrisPhantom به دستکاری نوع خاصی از درایوهای امن USB که رمزگذاری سختافزاری ارائه میدهند و بهطور رایجی توسط سازمانهای دولتی استفاده میشوند متکی است. متخصصین موقع بررسی این نوع تهدید، کمپینی تماماً جاسوسی شناسایی کردند که طیفی از ماژولهای مخرب برای اجرای فرمانها، جمعآوری فایلها و اطلاعات از کامپیوترهای دستکاریشده و انتقال آنها به سایر ماشینهایی که آنها هم از درایوهای امن USB استفاده میکردند، به کار میبرد.