قیمت چند مجوز تخفیف
پایگاه داده تهدید بدافزار بدافزار LoptikMod

بدافزار LoptikMod

تا Mezo در بدافزار, تهدید مداوم پیشرفته (APT)
ترجمه به:

یک کمپین جدید منتسب به گروه DoNot APT کشف شده است که استفاده از یک بدافزار مخفی و پایدار به نام LoptikMod را نشان می‌دهد. این ابزار در یک حمله هدفمند علیه یک وزارت امور خارجه اروپایی مورد استفاده قرار گرفته است که نشان دهنده تغییر تمرکز این گروه فراتر از آسیای جنوبی است.

یک عامل تهدید شناخته‌شده با دسترسی رو به گسترش

این کمپین به DoNot Team، یک گروه پیچیده‌ی تهدید پیشرفته‌ی مداوم (APT) که با نام‌های مستعار مختلفی از جمله APT-C-35، Mint Tempest، Origami Elephant، SECTOR02 و Viceroy Tiger شناخته می‌شود، مرتبط دانسته شده است. این گروه که سابقه‌ی عملیاتش حداقل به سال ۲۰۱۶ برمی‌گردد، سابقه‌ی مستندی در هدف قرار دادن سازمان‌های دولتی، وزارتخانه‌های امور خارجه، نهادهای دفاعی و سازمان‌های مردم‌نهاد، به‌ویژه در جنوب آسیا و اروپا دارد.

از نظر تاریخی، DoNot APT از بدافزارهای سفارشی، به ویژه YTY و GEdit، که اغلب از طریق کمپین‌های فیشینگ هدفمند و پیوست‌های مخرب اسناد مستقر می‌شدند، استفاده کرده است.

فریب هدف: فیشینگ به عنوان نقطه ورود

این حمله با یک ایمیل فیشینگ فریبنده آغاز می‌شود که طوری طراحی شده که مشروع و قابل اعتماد به نظر برسد. این پیام‌ها که از یک حساب جیمیل ارسال می‌شوند، خود را به جای مقامات دفاعی جا می‌زنند و در عنوان خود به بازدید یک وابسته دفاعی ایتالیا از داکا، بنگلادش اشاره دارند. نکته قابل توجه این است که ایمیل‌ها با استفاده از HTML با کدگذاری UTF-8 قالب‌بندی شده‌اند تا کاراکترهای خاصی مانند «é» را به درستی نمایش دهند و به اصالت آنها بیفزایند.

یک لینک گوگل درایو که در ایمیل جاسازی شده است، منجر به دانلود یک فایل فشرده RAR می‌شود. این فایل فشرده حاوی یک فایل اجرایی مخرب است که برای تقلید از یک فایل PDF طراحی شده است. پس از باز شدن، این فایل اجرایی، استقرار LoptikMod، یک تروجان دسترسی از راه دور (RAT) که حداقل از سال ۲۰۱۸ منحصر به DoNot APT بوده است، را آغاز می‌کند.

درون بدافزار LoptikMod

پس از اجرا، LoptikMod با استفاده از وظایف زمان‌بندی‌شده برای ماندگاری، خود را در سیستم میزبان جاسازی می‌کند. سپس به یک سرور فرمان و کنترل از راه دور (C2) متصل می‌شود تا فعالیت‌های مخرب مختلفی را انجام دهد. این فعالیت‌ها عبارتند از:

  • ارسال اطلاعات سیستم به مهاجمان
  • دریافت و اجرای دستورات اضافی
  • دانلود ماژول‌های مخرب اضافی
  • استخراج داده‌های حساس

برای جلوگیری از شناسایی و جلوگیری از تحلیل‌های قانونی، LoptikMod از تکنیک‌های ضد ماشین مجازی (anti-VM) و مبهم‌سازی ASCII استفاده می‌کند و بررسی کامل عملکرد آن را برای محققان امنیتی دشوار می‌سازد. علاوه بر این، تضمین می‌کند که در هر زمان فقط یک نمونه روی یک دستگاه اجرا می‌شود و از تداخل‌های داخلی جلوگیری کرده و احتمال شناسایی را کاهش می‌دهد.

وضعیت فعلی کمپین و زیرساخت‌ها

در حالی که خود LoptikMod توانمند و پایدار است، سرور C2 که در حمله اخیر دخیل بوده است، در حال حاضر غیرفعال است. این عدم فعالیت می‌تواند به این معنی باشد که زیرساخت به طور موقت آفلاین شده، برای همیشه خاموش شده یا با یک سرور جدید و ناشناخته جایگزین شده است.

وضعیت غیرفعال سرور، توانایی محققان را برای تجزیه و تحلیل دقیق دستورات و داده‌های رد و بدل شده بین نقاط انتهایی آلوده و مهاجمان محدود می‌کند.

نشانه‌های تغییر استراتژیک: اهداف اروپایی در کانون توجه

آخرین فعالیت DoNot APT نشانه‌هایی از تکامل را نشان می‌دهد. در حالی که این گروه به طور سنتی بر منافع جنوب آسیا متمرکز بوده است، این عملیات اخیر نشان‌دهنده علاقه روزافزون به اطلاعات دیپلماتیک اروپا، به ویژه مربوط به جنوب آسیا است.

این تغییر احتمالاً نشان‌دهنده‌ی افزایش قابلیت‌های عملیاتی و اهداف اطلاعاتی بلندپروازانه‌تر است. گردانندگان این گروه ممکن است به دنبال بینش‌هایی در مورد استراتژی‌های دیپلماتیک غرب، سیاست‌های دفاعی و تعاملات بین‌المللی با جنوب آسیا باشند.

نکات کلیدی

برای کاهش مؤثر چنین حملاتی، سازمان‌ها باید با آموزش کارکنان خود برای تشخیص تلاش‌های فیشینگ، حتی زمانی که پیام‌ها بسیار قانونی به نظر می‌رسند، شروع کنند. به همان اندازه مهم است که سیستم‌ها را به طور مداوم برای هرگونه رفتار غیرمعمول، مانند وظایف برنامه‌ریزی‌شده غیرمنتظره یا اتصالات خروجی به سرورهای ناآشنا، که ممکن است نشان‌دهنده نفوذ باشد، رصد کنید.

علاوه بر این، پیاده‌سازی ابزارهای سندباکسینگ و تحلیل رفتاری می‌تواند به شناسایی و خنثی‌سازی فایل‌های اجرایی مشکوک قبل از ایجاد آسیب کمک کند. به‌روزرسانی کامل سیستم‌ها و استفاده از جدیدترین فیدهای اطلاعات تهدید، تضمین می‌کند که آسیب‌پذیری‌های شناخته‌شده به سرعت مورد توجه قرار گیرند. در نهایت، بخش‌بندی شبکه می‌تواند خطر انتشار جانبی بدافزار را به میزان قابل توجهی کاهش دهد و در نتیجه، نقض‌های احتمالی را به طور مؤثرتری مهار کند.

نتیجه‌گیری: هوشیاری ضروری است

استفاده گروه DoNot APT از LoptikMod در یک کمپین جاسوسی سایبری اروپایی، یادآوری آشکاری از چشم‌انداز در حال تحول تهدیدات است. از آنجایی که گروه‌های APT همچنان به ارتقای ابزارهای خود و گسترش اهداف خود، به ویژه به سمت دارایی‌های دیپلماتیک با ارزش بالا، ادامه می‌دهند، سازمان‌ها باید در دفاع از امنیت سایبری خود هوشیار و پیشگیرانه باشند.

پرطرفدار

Unmatiotorly.com

وب سایت های سرکش, ابزارهای تبلیغاتی مزاحم, ربایندگان مرورگر
کلاهبرداران اینترنتی دائماً روش‌های جدیدی برای فریب کاربران اینترنت ابداع می‌کنند. بسیاری از این طرح‌ها به بدافزارهای پیچیده متکی نیستند، بلکه از اعتماد و توجه کاربران سوءاستفاده می‌کنند. یکی از...

پربیننده ترین

بد افزار

فیشینگ, هرزنامه
35,647
پیام کلاهبرداری «Apple Pay Suspended» نوعی تاکتیک فیشینگ است که کاربران Apple Pay را هدف قرار می دهد. در این پیام ادعا شده است که کیف پول Apple Pay کاربر به حالت تعلیق درآمده است و از آن‌ها می‌خواهد برای بازیابی آن روی پیوندی کلیک کنند. با این حال، با کلیک بر روی لینک، کاربر به یک وب سایت جعلی هدایت می شود که برای سرقت اطلاعات شخصی و مالی آنها طراحی شده است. اگر کاربر قربانی این طرح شود، عواقب...
بارگذاری...