کشف جاسوس سایبری در خاورمیانه/ حمله «بیگ بنگ» با ایمیل جعلی
تاریخ انتشار: ۲۴ تیر ۱۳۹۷ | کد خبر: ۱۹۶۷۸۰۰۷
رویداد۲۴در چند هفته گذشته، تیم امنیتی Check Point یک گروه جاسوسی APT (گروه تهدید سایبری پیشرفته) را کشف کرده است که حملاتی را علیه نهادهایی در سراسر خاورمیانه، انجام داده است.
مرکز مدیریت راهبردی افتای ریاست جمهوری در این باره اعلام کرد: این حملات با ارسال ایمیلهای فیشینگ به اهداف انجام میشود که ایمیلها حاوی یک فایل پیوست آرشیو self-extracting و شامل دو فایل است: یک سند Word و یک فایل اجرایی مخرب.
بیشتر بخوانید:
اخباری که در وبسایت منتشر نمیشوند!
این بدافزار حاوی ماژولهای مختلفی از قبیل موارد زیر است:
•از سیستم قربانی اسکرینشات تهیه میکند و آن را به سرور C&C ارسال میکند.
•نام و شناسههای فرایندهای پردازشی در حال اجرا را در فایلی با نام sat.txt ذخیره و آنرا به سرور ارسال میکند.
•لیستی از فایلهای doc، odt، xls، ppt، pdf و ... قربانی را ارسال میکند.
•یک فایل با پسوند txt را از یک آدرس اینترنتی دانلود میکند و پس از تغییر پسوند آن به exe، آنرا اجرا میکند.
•جزئیات سیستم را بصورت لاگ به سرور ارسال میکند.
•سیستم را Reboot میکند.
•یک فرایند پردازشی را براساس نام آن متوقف میکند.
•بدنه را از startup حذف میکند و همچنین فایل اصلی آن را نیز پاک میکند.
•فایل اجرایی بدافزار را بصورت خودکار پاک میکند.
•لیستی از پارتیشنهای موجود در سیستم قربانی را به سرور ارسال میکند.
هدف اصلی این حملات که BigBang نام گرفته است، هنوز مشخص نیست، اما واضح است که مهاجم پس از جمعآوری اطلاعات، مرحله دوم حملات را آغاز خواهد کرد.
گروه Talos در ماه ژوئن سال ۲۰۱۷، حملات دیگری از این گروه APT را کشف کرد و پس از آن تاکنون حملات وسیعی از این گروه گزارش نشده است. اما حمله BigBang دارای قابلیتها و زیرساختهای تهاجمی بهبود یافتهای است.
نمونههای اولیه این حملات در اواسط ماه آوریل سال جاری مشاهده شده است، اما به کمک خبرهای استفاده شده در اسناد میتوان دریافت که شروع حملات به مارچ ۲۰۱۸ برمیگردد.
بدافزار استفاده شده در این حملات، نسخه بهبود یافته از بدافزاری است که در سال گذشته مورد استفاده قرار گرفته است. بدافزار با زبان C++ نوشته شده است و بصورت یک فایل اجرایی self-extracting بستهبندی شده است.
نام فایل اجرایی DriverInstallerU.exe است، اما metadata آن نشان میدهد که نام اصلی فایل Interenet Assistant.exe است. پس از اجرای این فایل، ماژولهای بدافزار پس از برقراری ارتباط با سرور C&C فعال میشوند.
باید اشاره کرد که این حملات بر اساس تجربه قبلی این گروه APT در سال گذشته انجام گرفته است و قابلیتها و کاربران هدف آنها افزایش یافته است. مقاصد اصلی حملات مشخص نیست اما مرحله بعدی حملات در آینده صورت خواهد گرفت.
منبع: رویداد24
کلیدواژه: رویداد24 مرکز افتا جاسوس جاسوس سایبری خاورمیانه ایمیل جعلی بیگ بنگ
درخواست حذف خبر:
«خبربان» یک خبرخوان هوشمند و خودکار است و این خبر را بهطور اتوماتیک از وبسایت www.rouydad24.com دریافت کردهاست، لذا منبع این خبر، وبسایت «رویداد24» بوده و سایت «خبربان» مسئولیتی در قبال محتوای آن ندارد. چنانچه درخواست حذف این خبر را دارید، کد ۱۹۶۷۸۰۰۷ را به همراه موضوع به شماره ۱۰۰۰۱۵۷۰ پیامک فرمایید. لطفاً در صورتیکه در مورد این خبر، نظر یا سئوالی دارید، با منبع خبر (اینجا) ارتباط برقرار نمایید.
با استناد به ماده ۷۴ قانون تجارت الکترونیک مصوب ۱۳۸۲/۱۰/۱۷ مجلس شورای اسلامی و با عنایت به اینکه سایت «خبربان» مصداق بستر مبادلات الکترونیکی متنی، صوتی و تصویر است، مسئولیت نقض حقوق تصریح شده مولفان در قانون فوق از قبیل تکثیر، اجرا و توزیع و یا هر گونه محتوی خلاف قوانین کشور ایران بر عهده منبع خبر و کاربران است.
خبر بعدی:
هشدار پلیس فتا درباره افزایش کلاهبرداری پیامکی در ایام تعطیلات
معاون فرهنگی اجتماعی پلیس فتا فراجا هشدار داد: سوء استفاده مجرمان رایانه ای از ایام تعطیلات چند روزه کشور با افزایش ارسال لینکهای آلوده تهدیدی علیه امنیت هموطنان در فضای مجازی است.
به گزارش خبرگزاری صدا و سیما، سرهنگ رامین پاشایی افزود: با تجزیه و تحلیل پروندههای قضایی و تجربیات ادوار گذشته مشخص شده است مجرمان سایبری با توجه به ایام پایانی هفته و یا منتهی به تعطیلات چند روزه کشور اقدام به کلاهبرداری از طعمههای خود میکنند.
او با اشاره به شگرد این مجرمان اضافه کرد: برخی افراد سودجو با ارسال پیامک حاوی پیوندهای آلوده با عناوینی همچون دریافت کالابرگ و ابلاغیات قضایی درکیمن کلاهبرداری از طریق دسترسی غیرمجاز به گوشی تلفن فریب خوردگان و برداشت غیر مجاز پول از حسابهای مالی آنان هستند.
معاون فرهنگی اجتماعی پلیس فتا با بیان اینکه امکان ارسال و دریافت این پیامکها در تمامی پیام رسانها وجود دارد، گفت: گاهی ممکن است ارسال این پیامکها از طریق دوستان و آشنایان باشد و آنان خواسته یا ناخواسته در چنین دام سایبری افتاده باشند.
سرهنگ پاشایی گفت: در صورت مواجه با اینگونه پیامکهای مشکوک که مشخصه اصلی تمامی آنها ارسال از طریق سرشمارههای تلفن شخصی است، به آن توجهی نکنند.
کانال عصر ایران در تلگرام