IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

تکنیک‌های مخفیانه هکر‌های Cranefly برای ارائه و کنترل بدافزار‌ها

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian.ir cranefly hackers stealthyly techniques malware

یک دراپر که قبلا مستند و شناسایی نشده بود، در حال نصب backdoor و ابزار‌های دیگر با استفاده از تکنیک جدید خواندن دستورات از گزارش‌های ظاهرا بی‌ضرر خدمات اطلاعات اینترنتی (IIS) مشاهده شده است.

این دراپر توسط محققان امنیت سایبری در Symantec کشف شده است که می‌گویند یک مهاجم از یک بدافزار به نام Cranefly (معروف به UNC3524) برای نصب یک بدافزار غیرمستند دیگر (Trojan.Danfuan) و ابزار‌های دیگر استفاده می‌کند.

کرنفلای اولین‌بار توسط Mandiant در ماه می‌سال جاری میلادی کشف شد و این شرکت امنیتی گفت که این گروه به‌شدت ایمیل‌های کارکنانی را که در توسعه شرکت‌ها، ادغام‌ها و تعاملات و تراکنش‌های شرکت‌های بزرگ کار می‌کردند، هدف قرار داده است.

به گفته Mandiant، این مهاجمان حداقل ١٨ ماه را در شبکه‌های قربانی سپری کرده‌اند و از Backdoor‌ها بر روی وسایلی که از ابزار‌های امنیتی پشتیبانی نمی‌کنند استفاده کرده‌اند تا شناسایی نشوند.

مشاوره سایبری جدید سیمانتک اکنون می‌گوید که برخی از backdoor‌های مورد استفاده UNC3524 به Hacktool.Regeorg، یک ابزار متن باز که توسط چندین کلاس‌تر تهدید دائمی پیشرفته (APT) استفاده می‌شود، متکی هستند.

این شرکت نوشت : "سیمانتک نتوانست این فعالیت را به هیچ گروه شناخته شده دیگری به غیر از گروه شناسایی شده UNC3524 توسط Mandiant که ما آن را به‌عنوان Cranefly دنبال می‌کنیم، مرتبط کند. "

علاوه بر این، سیمانتک هشدار داده است که استفاده از یک تکنیک جدید در کنار ابزار‌های سفارشی و اقدامات انجام شده برای پنهان کردن فعالیت آن‌ها نشان می‌دهد که Cranefly یک گروه هک «نسبتا ماهر» است.

اگرچه ما شاهد استخراج داده‌ها از ماشین‌های قربانی نیستیم، ابزار‌های به‌کار گرفته شده و تلاش‌های انجام شده برای پنهان کردن این فعالیت، همراه با فعالیت‌هایی که قبلا توسط Mandiant مستند شده بود، نشان می‌دهد که محتمل‌ترین انگیزه برای این گروه، جمع‌آوری اطلاعات است.

سیمانتک فهرستی از شاخص‌های سازش (IoC) در مورد این تهدید را در توصیه‌های خود و همچنین در صفحه بولتن‌های حفاظتی خود ارائه کرده است.

عامل تهدید دیگری که معمولا روی جمع‌آوری اطلاعات تمرکز می‌کند، پولونیوم است که اخیرا توسط ESET با استفاده از هفت نوع مختلف backdoor برای جاسوسی از سازمان‌های اسرائیلی مشاهده شد.

برچسب ها: کرنفلای, Hacktool.Regeorg, Trojan.Danfuan, UNC3524, Cranefly, پولونیوم, Polonium, IIS, دراپر, IOC, Symantec, Dropper, APT, Hack, malware, دفاع سایبری, Cyber Security, حملات سایبری, هک, backdoor, بدافزار, امنیت سایبری, Cyber Attacks, حمله سایبری, news

نوشته شده توسط تیم خبر.

چاپ ایمیل