نهادها در ارمنستان با استفاده از نسخه به روز شده درب پشتی به نام OxtaRAT که امکان دسترسی از راه دور و نظارت دسکتاپ را فراهم می کند، مورد حمله سایبری قرار گرفته اند.
Check Point Research گفت: «قابلیتهای ابزار شامل جستجو و استخراج فایلها از دستگاه آلوده، ضبط ویدیو از دوربین وب و دسکتاپ، کنترل از راه دور دستگاه آسیبدیده با TightVNC، نصب پوسته وب، انجام اسکن پورت و موارد دیگر است. در گزارشی
گفته می شود که آخرین کمپین در نوامبر 2022 آغاز شده است و اولین باری است که عوامل تهدید پشت این فعالیت تمرکز خود را فراتر از آذربایجان گسترش داده اند.
این شرکت امنیت سایبری که این کمپین را عملیات دیده بان خاموش نامید، بيان کرد : «بازیگران تهدید پشت این حملات چندین سال است که سازمان های حقوق بشر، مخالفان و رسانه های مستقل در آذربایجان را هدف قرار داده اند.
نفوذهای اواخر سال 2022 مهم هستند، نه حداقل به دلیل تغییرات در زنجیره عفونت، اقدامات انجام شده برای بهبود امنیت عملیاتی و تجهیز درب پشتی با مهمات بیشتر.
نقطه شروع توالی حمله یک آرشیو خود استخراجی است که یک فایل PDF را تقلید می کند و یک نماد PDF را در خود دارد. راهاندازی «سند» ادعایی، یک فایل فریب را باز میکند، در حالی که بهطور مخفیانه کدهای مخرب پنهان شده در یک تصویر را اجرا میکند.
یک فایل چند زبانه که ترکیبی از اسکریپت AutoIT کامپایل شده و یک تصویر است، OxtaRAT دارای دستوراتی است که به عامل تهدید اجازه میدهد تا دستورات و فایلهای اضافی را اجرا کند، اطلاعات حساس را جمعآوری کند، از طریق یک دوربین وب، شناسایی و نظارت را انجام دهد، و حتی به دیگری تغییر مسیر دهد.
OxtaRAT در ژوئن 2021 توسط دشمن مورد استفاده قرار گرفته است، البته با کاهش قابل توجه عملکرد، که نشان دهنده تلاش برای به روز رسانی مداوم مجموعه ابزار آن و تبدیل آن به یک بدافزار چاقوی ارتش سوئیس است.
حمله نوامبر 2022 نیز به دلایل متعددی برجسته است. اولین مورد این است که فایلهای .SCR که زنجیره کشتن را فعال میکنند، در حال حاضر حاوی ایمپلنت OxtaRAT هستند، نه اینکه به عنوان یک دانلودکننده برای واکشی بدافزار عمل میکنند.
"این کار بازیگران را از نیاز به درخواست اضافی برای باینری ها به سرور C&C و جلب توجه غیر ضروری نجات می دهد، همچنین بدافزار اصلی را از کشف آسان در دستگاه آلوده پنهان می کند، زیرا مانند یک تصویر معمولی به نظر می رسد و نوع خاص را دور می زند. حفاظت ها،" چک پوینت توضیح داد.
دومین جنبه قابل توجه، geofencing دامنه های فرمان و کنترل (C2) است که میزبان ابزارهای کمکی به آدرس های IP ارمنستان است.
همچنین قابل توجه توانایی OxtaRAT برای اجرای دستورات برای اسکن پورت و آزمایش سرعت اتصال به اینترنت است، که احتمالاً دومی به عنوان راهی برای پنهان کردن برداشت "گسترده" داده استفاده می شود.
چک پوینت گفت: «OxtaRAT که قبلاً عمدتاً قابلیتهای شناسایی و نظارت محلی را داشت، اکنون میتواند به عنوان محوری برای شناسایی فعال سایر دستگاهها استفاده شود.
این ممکن است نشان دهنده این باشد که بازیگران تهدید در حال آماده شدن برای گسترش بردار اصلی حمله خود، که در حال حاضر مهندسی اجتماعی است، به حملات مبتنی بر زیرساخت میپردازند. همچنین ممکن است نشانهای باشد که بازیگران از هدف قرار دادن افراد به سمت هدف قرار دادن محیطهای پیچیدهتر یا شرکتها حرکت میکنند. "
بازیگران اصلی تهدید در هفت سال گذشته توسعه بدافزار مبتنی بر Auto-IT را حفظ کردهاند و از آن در کمپینهای نظارتی استفاده میکنند که اهداف آن با منافع آذربایجان سازگار است.
ارسال نظر