نشست تحلیلگران امنیتی 2023: تحقیقات کلیدی

متخصصین تیم GReAT کسپرسکی، در کنفرانس بین‌المللی تحلیلگر امنیت برخی تحقیقات جذاب را ارائه کرده‌اند. با ما همراه باشید.

پلتفرم جاسوس‌افزار StripedFly

داستان این پلتفرم درباره بدافزاری است که پیش‌تر به عنوان ماینر رمزارز Monero شناسایی شده بود. اما در واقع پوششی بود برای تهدید پیچیدهی ماژول که قادر بود کامپیوترهایی را که هم ویندوز و هم لینوکس را اجرا می‌کنند، آلوده کند. ماژول‌های مختلف StripedFly می‌توانند اطلاعات کامپیوتر را سرقت کنند، اسکرین‌شات بگیرند، از میکروفون صدا ضبط کرده و پسوردهای وای‌فای را رهگیری نمایند. با این وجود این پلتفرم نه‌تنها برای جاسوسی کارایی داشت، بلکه ماژول‌هایی را دریافت می‌کرد که می‌توانستند حکم باج‌افزار داشته و ماین رمزارز نیز انجام دهند. نکته جالب در خصوص این پلتفرم این می‌باشد که، این تهدید با وجود اینکه در سال 2017 پچ شده بود، اما توانست با استفاده از اکسپلویت EthernalBlue به سرعت رشد پیدا کند. علاوه بر این،StripedFly می‌تواند از کلیدها و پسوردهای سرقتی برای آلوده کردن سیستم‌های لینوکس و ویندوز که سرور SSH را اجرا می‌کنند، استفاده کند.

جزئیات عملیات Triangulation

گزارش دیگر نشست تحلیلگران امنیتی به تحقیق در مورد عملیات Triangulation اختصاص دارد که از میان موارد دیگر، کارمندان خود شرکت کسپرسکی را مورد هدف قرار داده است. تحلیل انجام گرفته بر روی این تهدید به متخصصین کسپرسکی اجازه داد تا در سیستم IOS، پنج آسیب‌پذیری را شناسایی نمایند. چهار عدد از این آسیب‌پذیری‌ها (CVE-2023-32434, CVE-2023-32435, CVE-2023-38606 & CVE-2023-41990) آسیب‌پذیری‌های روز صفر (Zero Day) بوده‌اند. آن‌ها نه‌تنها آیفون را که آیپاد، آیپد، مک‌اواس، اپل تی‌وی و اپل‌واچ را نیز آلوده کرده‌اند، همچنین مشخص گردید که مهاجمین علاوه بر آلوده کردن دستگاه‌ها از طریق iMessage می‌توانند به مرورگر سافاری هم حمله کنند.

کمپین جدید لازاروس

گزارش سوم متخصصین GReAT به حملات جدید گروه Lazarus APT اختصاص دارد. این گروه اکنون در حال هدف قرار دادن توسعه‌دهندگان نرم‌افزار است (که برخی‌شان چندین بار مورد حمله واقع شدند) و فعالانه حملات زنجیره تأمین را پیاده می‌کنند. لازاروس از طریق آسیب‌پذیری‌های نرم‌افزار قانونی برای رمزگذاری ارتباطات وب، سیستم را آلوده کرده و یک ایمپلنت جدید SIGNBT را مستقر می‌کند که بخش اصلی آن فقط در حافظه کار می‌کند.

این امر درخصوص مطالعه قربانی (دریافت تنظیمات شبکه، نام فرآیندها و کاربران) و همچنین راه‌اندازی بار مخرب؛ اضافی است. به‌ویژه، نسخه بهبود‌یافته بک ‌را در LPEClient دانلود می‌کند که در حافظه نیز اجرا می‌شود و به نوبه خود بدافزاری را راه‌اندازی می‌کند که قادر به سرقت اطلاعات کاربری یا داده‌های دیگر است. اطلاعات فنی در مورد ابزارهای جدید گروه Lazarus APT و همچنین شاخص‌های سازش را می توانید در وبلاگ Securelist مشاهده نمائید.

حمله TetrisPhantom

علاوه بر این، متخصصین جزئیاتی از حمله TetrisPhantom ارائه دادند که هدفش آژانس‌های دولتی در منطقه APAC بود. TetrisPhantom به دستکاری نوع خاصی از درایوهای امن USB که رمزگذاری سخت‌افزاری ارائه می‌دهند و به‌طور رایجی توسط سازمان‌های دولتی استفاده می‌شوند متکی است. متخصصین موقع بررسی این نوع تهدید، کمپینی تماماً جاسوسی شناسایی کردند که طیفی از ماژول‌های مخرب برای اجرای فرمان‌ها، جمع‌آوری فایل‌ها و اطلاعات از کامپیوترهای دستکاری‌شده و انتقال آن‌ها به سایر ماشین‌هایی که آن‌ها هم از درایوهای امن USB استفاده می‌کردند، به کار می‌برد.