بدافزارهای چینی سامانه‌های کشور روسیه را هدف قرار داده‌اند

#امنیت ؛ در این مقاله به بررسی خبر حمله بدافزارهای چینی به سامانه های کشور روسیه می پردازیم . با ما همراه باشید : 
یک گروه جاسوسیِ سایبری منتسب به چین، با بدافزارها و روش‌های جدید، سامانه‌های نظامی و هوافضا در کشورهای روسیه و بلاروس را هدف قرار داده است.
در تیر ماه سال جاری، محققان گروه پروف‌پوینت گزارش دادند که مهاجمانِ این گروه با استفاده از تروجانِ پیشرفته‌ی NetTraveler روسیه و سایر کشورهای همسایه را هدف قرار داده‌اند. اینک محققان کشف کردند که این گروه جاسوسی همزمان از بارگیری‌کننده‌ای به نام ZeroT و کامپایلر کمکی HTML متعلق به شرکت مایکروسافت (chm.) برای توزیع بدافزار PlugX استفاده می‌کند.
مهاجمان پرونده‌ی chm. را برای قربانیان ارسال می‌کنند که حاوی پرونده‌ی HTML و یک پرونده‌ی اجرایی دیگر است. زمانی که پرونده‌ی کمکی HTML باز شود، یک متن به زبان روسی نمایش داده شده و از کاربر خواسته می‌شود از طریق کنترل حساب کاربری (UAC) اجازه‌ی اجرای برنامه‌ی ناشناخته‌ای را صادر کند. اگر قربانی با این درخواست موافقت کند، بارگیری‌کننده‌ی ZeroT بر روی سامانه‌ی قربانی نصب خواهد شد.
مشابه حملات قبلی، این گروه جاسوسی از اسناد ورد جعلی نیز استفاده می‌کنند. این اسناد توسط ابزار تولیدکننده‌ی بهره‌برداری با نام MNKit ایجاد می‌شود. این ابزار به محققان کمک کرده تا ارتباط بین چند گروه نفوذ و جاسوسی را کشف کنند که ممکن است خارج از کشور چین باشند.
رایانامه‌ها و پرونده‌های جعلی که در این حملات از آن‌ها استفاده می‌شود، به کشورهای مستقل مشترک‌المنافع ارجاع داده می‌شود که اتحادیه‌ای از جماهیر شوروی سابق، دولت روسیه و وزارت دفاع روسیه است.
این گروه جاسوسی همچنین برای توزیع ZeroT از ویژگی خود-استخراجی پرونده‌های آرشیوی RAR استفاده می‌کند. در بسیاری از پرونده‌های آرشیوی یک پرونده‌ی اجرایی با نام Go.exe وجود دارد که برای دور زدن کنترل حساب کاربری (UAC) در ویندوز به‌کار می‌رود.
پس از آلوده شدن سامانه‌ی قربانی، بارگیری‌کننده‌ی ZeroT با کارگزار دستور و کنترل ارتباط برقرار می‌کند و اطلاعاتی در مورد سامانه‌ی آلوده را بر روی این کارگزار بارگذاری می‌کند. بارگیری‌کننده‌ی ZeroT در ادامه یک نسخه‌ی شناسایی‌شده از تروجان PlugX را بارگیری می‌کند. این تروجان یا در قالب یک بار داده‌ی کدگذاری‌نشده و یا در قالب یک پرونده‌ی تصویری با فرمت bmp. بارگیری می‌شود. در این پرونده‌ی تصویری با استفاده از روش‌های نهان‌نگاری، بدافزار مورد نظر مخفی شده است.
محققان پروف‌پوینت اعلام کردند دامنه‌های متعلق به کارگزار دستور و کنترل ZeroT، قبلاً در حملات NetTraveler نیز مشاهده شده است. در نمونه‌های تروجان PlugX دامنه‌هایی دیده شده که در پویش‌های سال ۲۰۱۵ مشاهده شده بود. محققان پروف‌پوینت اشاره کردند این گروه جاسوسیِ چینی به احتمال زیاد گستره‌ی حملات خود را به کشورهای روسیه و اروپا افزایش خواهد داد.
مقالات مرتبط :
بدترین رمز عبور در سال ۲۰۱۶
بدافزار جدید اندرویدی !
پیمان قربانزاده
پیمان قربانزاده
با سلام . پیمان قربانزاده هستم . مدیر سایت پویا سیستم . من و تمام مجموعه پویا سیستم خوشحال می شویم که به شما در زمینه مشکلات نرم افزاری که دارید . کمک کنیم . پس با ما در ارتباط باشید .

سیستم نظردهی برای این مطلب توسط مدیریت بسته شده است.