پاندای شرور

در ماه‌های اخیر چندین داستان در مورد استفاده مجرمان سایبری از تهدید واقعی کرونا برای انتشار بدافزارها و باج‌افزارها منتشر شده است . این تهدیدها در سراسر جهان منتشر شده است، اما تعدادی از آنها به ویژه از چین خارج شده است. تا جایی که گروه هکر چینی Vicious Panda با حمایت دولتی شروع به انتشار بدافزار خود از طریق ویروس کرونا کرده است.

اطلاعات مربوط به این حمله از چک پوینت می‌آید، که تحقیقاتی را منتشر کرد که نشان می‌دهد یک APT چینی اطلاعات قانونی درباره ویروس کرونا را «سلاح» کرده است تا بدافزار مخرب خود را به توده‌ها گسترش دهد.

حمله دوم

حمله پاندا شرور در واقع دومین کمپین بزرگ بدافزار مرتبط با ویروس کرونا (COVID-19) است که در چند هفته گذشته از چین خارج شده است. اولین مورد در ابتدای ماه مارس زمانی رخ داد که گروه امنیت سایبری ویتنامی VinCSS متوجه حمله موستانگ پاندا شد. موستانگ پاندا یکی دیگر از گروه های هکری تحت حمایت دولت چین است.

حمله آنها به دلیل توزیع ایمیل هایی با یک فایل RAR پیوست شده بود که ادعا می کرد حاوی پیامی از نخست وزیر ویتنام در مورد ویروس کرونا است. فایل RAR به جای اینکه حاوی هر نوع پیام مهمی باشد، حاوی یک تروجان در پشتی بود که خود را بر روی رایانه های قربانی نصب می کرد و آنها را برای گروه هک باز می کرد.

حمله پانداهای شرور به دولت مغولستان

حمله پانداهای شرور توسط چک پوینت مشاهده شد، که گفت آنها در حال بررسی این گروه بودند زیرا آنها سازمان های دولتی مغولستان را هدف قرار دادند. مانند حمله اول، این گروه ادعا کرد که اطلاعات حیاتی در مورد ویروس کرونا دارد که کاربران باید برای دسترسی به آنها دانلود کنند.

چک پوینت توانست یک حمله سایبری از سوی "گروه APT چینی به یک نهاد بخش دولتی مغولستان" را رهگیری کند. این حمله باعث افزایش ترس از ویروس کرونا در مرحله مهندسی اجتماعی شد. شامل دو سند بود. یکی از اسناد مربوط به کووید-19 بود و هر دوی آنها ادعا می کردند که از وزارت امور خارجه مغولستان است. این اسناد حاوی یک تهدید بدافزار منحصر به فرد بود که امکان دسترسی از راه دور به رایانه های قربانی را فراهم می کرد.

پیوست ایمیل - منبع: research.checkpoint.com

نوک کوه یخ

متأسفانه، این حمله اخیر چیز جدیدی نیست و صرفاً نشان دهنده نوک کوه یخ ضرب المثلی است. هکرها همیشه از این نوع بحران ها به نفع خود استفاده کرده اند، بنابراین هیچ راهی وجود نداشت که بتوانند در برابر سوء استفاده از COVID-19 مقاومت کنند.

طبق چک پوینت، آخرین سند APT چینی با عنوان «درباره انتشار عفونت‌های جدید کروناویروس» بود. از کمیته ملی بهداشت چین استناد می کند تا معتبرتر به نظر برسد و موثرتر باشد. در حالی که تعدادی از تهدیدات سایبری مرتبط با COVID-19 وجود داشته است، به نظر می رسد این اولین موردی باشد که توسط یک گروه هکر تحت حمایت دولتی علیه یک دولت خارجی انجام شده است.

چک پوینت علاوه بر اینکه آخرین مورد از یک سری حملات هکری مرتبط با ویروس کرونا است، می‌گوید که این حمله تازه‌ترین مورد در کمپین جاری هکرهای چینی علیه سایر دولت‌ها و سازمان‌ها است. تفاوت این است که این یکی از ویروس کرونا به عنوان بخشی از روش استقرار استفاده کرد.

این حمله به عنوان «سوء استفاده از منافع عمومی در مورد ویروس کرونا برای دستور کار خود [چین] از طریق یک زنجیره جدید عفونت سایبری» توصیف شد. آنها می گویند که پانداهای شرور کشورهای سراسر جهان را هدف قرار می دهند - نه فقط مغولستان. آنها از هر نهاد بخش دولتی و مخابراتی می خواهند که نسبت به تهدیدات سایبری بالقوه، به ویژه هر چیزی که ادعا می شود در مورد ویروس کرونا است، هوشیار باشند.

ایمیل و اسناد ادعا می کنند که از داخل دولت مغولستان آمده است. حداقل یکی از آنها مدعی بود که از وزیر امور خارجه آمده است. این کمپین سایر بخش‌های بخش عمومی مغولستان را هدف قرار داد. به نظر می رسد هدف این کمپین گرفتن اطلاعات و اسکرین شات از رایانه های دولتی، ویرایش و حذف فایل ها و کنترل از راه دور آن رایانه ها باشد.

باج افزار Vicious Panda چگونه کار می کند؟
پیوست مخرب حاوی یک تروجان دسترسی از راه دور (RAT) است که می تواند کنترل رایانه ها را در دست بگیرد. تروجان طوری برنامه ریزی شده است که اتصالات محدودی به سرور فرمان و کنترل داشته باشد که تشخیص آن را دشوارتر می کند. ساختار محموله نشان می‌دهد که می‌تواند شامل ماژول‌های دیگری باشد که قرار است بعداً به عنوان بخشی از یک کمپین بزرگ‌تر نصب شوند. از آنچه Check Point می تواند بگوید، بدافزار مورد استفاده در حمله یک نوع کاملا منحصر به فرد و سفارشی طراحی شده است، اما نحوه عملکرد آن – و عملکرد آن – نسبتاً رایج است.

زنجیره های عفونت پانداهای شرور - منبع: research.checkpoint.com

چک پوینت سایر بخش‌های کمپین مانند محل میزبانی مرکز فرماندهی و کنترل را خراب کرد. با این حال، در پایان روز، این بدافزار چیزی کمتر از یک کمپین تحت حمایت دولت نیست. از مهندسی اجتماعی برای تشویق کاربران به دانلود و باز کردن پیوست استفاده می کند. پیوست فایل دیگری را بارگیری می کند و یک درب پشتی را روی رایانه نصب می کند. سپس چین می تواند از این درب پشتی برای جاسوسی از اهداف دولتی استفاده کند.

کلاهبرداران سایبری به استفاده از چین و ویروس کرونا ادامه خواهند داد

در حالی که تابلوهای راهنما سطح بالا اطلاعات کافی برای مشخص کردن دقیق این حمله را ارائه نمی دهند، Check Point کد بدافزار را بررسی کرد و دریافت که مشابه کدهای مورد استفاده در سایر بدافزارهای مرتبط با چین است. هدف آن کمپین ها دشمنان چین نیز بود.

چین - مرکز شیوع ویروس کرونا - از این ویروس به نفع خود در بسیاری از روش‌های فریبنده استفاده می‌کند. اگرچه جای تعجب نیست که آنها از ویروس کرونا استفاده کنند، زیرا در حال حاضر بهترین ابزار مهندسی اجتماعی موجود برای عوامل تهدید کننده است. حتی مجرمان سایبری معمولی نیز از آن در کمپین های خود استفاده می کنند.