این اطلاعات ممکن است در حملات قبلی به همان سازمان یا کارکنان آن یا سایر سازمان ها یا افراد مرتبط با سازمان قربانی به دست آمده باشد.
به گزارش ICTNN از مرکز مدیریت راهبردی افتا، سرقت اسناد و پرونده های مهم سازمانی یکی از مهمترین وظایف مهاجمان در سیستم های آلوده ناشی از این حملات است.
کارشناسان مرکز مدیریت استراتژیک افتا می گویند با توجه به اینکه این بدافزار از ابتدای سال جاری فعال شده است، مدیران امنیتی سازمان ها و دستگاه های دارای زیرساخت حیاتی برای شناسایی آن با دقت در داده های آرشیو (ترافیک و رویدادها) جستجو کنند.
بررسی ها نشان می دهد که در سری اول حملات از بدافزار PortDoor استفاده شده است و در سری جدید حملات مهاجمان از شش درب پشتی مختلف به طور همزمان استفاده کرده اند که عملیات مربوط به کنترل سیستم های آلوده و جمع آوری داده های محرمانه و ارسال آن به سرورهای C&C انجام می دهند.
در این ایمیل ها یک فایل مخرب مایکروسافت وجود دارد که در آن کد مخرب با سوء استفاده از یک آسیب پذیری، مهاجم را قادر می سازد تا کد دلخواه را بدون هیچ گونه فعالیت اضافی کاربر اجرا کند.
شواهد شبکه و سیستم برای شناسایی فعالیت این بدافزار به همراه اطلاعات فنی و تخصصی حملات سایبری APT در زیرساخت های صنعتی در سایت مرکز مدیریت راهبردی شهر آفتاب منتشر شده است.
تیم تحرریه شبکه خبری فناوری اطلاعات و ارتباطات
روش اصلی نفوذ مهاجمان در این حملات ارسال ایمیل های فیشینگ هدفمند به قربانیان است. این ایمیل ها که با دقت و حساسیت بالایی ایجاد می شوند، در برخی موارد حاوی اطلاعات و داده هایی هستند که مختص همان سازمان و حوزه کاری است و این اطلاعات در دسترس است. عمومی نیست؛ این نشان می دهد که مهاجمان مراحل قبل از حمله و کسب اطلاعات را به خوبی انجام داده اند.
مهاجم پس از آلوده کردن سیستم اولیه، روند آلوده کردن سیستم های دیگر را دنبال می کند و در طی این عملیات از تکنیک های مختلفی استفاده می کند تا آنتی ویروس ها نتوانند ابزارهای حمله سایبری را شناسایی کنند.
این حملات از ژانویه 2022 در جهان شناسایی شده و ده ها شرکت هدف حمله مهاجمان قرار گرفته اند.
تحریریه ICTNN شبکه خبری
