[ad_1]

مادربرد به صورت فتوشاپی شامل یک پرچم چین است.
بزرگنمایی / تراشه رایانه با پرچم چین ، تصویر مفهومی 3D.

محققان کمپین هکری گسترده ای را کشف کردند که از ابزارها و تکنیک های پیشرفته برای به خطر انداختن شبکه های شرکت ها در سراسر جهان استفاده می کند

هکرها ، به احتمال زیاد از یک گروه معروف که بودجه آن توسط دولت چین تأمین می شود ، هم به ابزارهای آماده و هم به ابزارهای سفارشی مجهز هستند. یکی از این ابزارها از Zerologon استفاده می کند ، نامی که به یک آسیب پذیری سرور ویندوز در اوت وصله داده شده است که می تواند به هکرها امتیازات مدیریتی فوری در سیستم های آسیب پذیر را بدهد.

سیمانتک از نام رمز Cicada برای این گروه استفاده می کند که گمان می رود بودجه آن توسط دولت چین تأمین شود و همچنین نام های APT10 ، Stone Panda و Cloud Hopper را از دیگر سازمان های تحقیقاتی به همراه دارد. این گروه حداقل از سال 2009 در هک به سبک جاسوسی فعال بوده و تقریباً فقط شرکتهای مرتبط با ژاپن را هدف قرار می دهند. در حالی که شرکت های هدف این کمپین اخیر در ایالات متحده و سایر کشورها مستقر هستند ، همه آنها با ژاپن یا شرکت های ژاپنی پیوند دارند.

مواظب باش

محققان شرکت امنیتی سیمانتک نوشتند: “سازمان های وابسته به ژاپن باید هوشیار باشند ، زیرا مشخص است که آنها هدف اصلی این گروه پیشرفته و با بودجه کافی هستند و به نظر می رسد صنعت خودرو هدف اصلی این حمله باشد.” وی افزود: “با این وجود صنایع گسترده ای كه این حملات را هدف قرار می دهند ، سازمان های ژاپنی در همه بخش ها باید آگاه باشند كه در معرض خطر این نوع فعالیت ها قرار دارند.”

حملات از DLL sideloading به طور گسترده ای استفاده می کنند ، این تکنیک زمانی اتفاق می افتد که مهاجمان یک پرونده کتابخانه مجاز را با اتصال ویندوز پویا با یک اتصال مخرب جایگزین می کنند. مهاجمان از DLL های بارگذاری کننده جانبی برای تزریق بدافزار به فرآیندهای قانونی استفاده می کنند تا بتوانند از شناسایی هک های نرم افزار امنیتی جلوگیری کنند.

این کمپین همچنین از ابزاری استفاده می کند که می تواند از Zerologon استفاده کند. با ارسال یک رشته صفر در یک سری پیام هایی که از پروتکل Netlogon استفاده می کنند و سرورهای ویندوز برای دسترسی کاربران به شبکه ها استفاده می کنند ، بهره برداری می شود. افراد فاقد احراز هویت می توانند از Zerologon برای دسترسی به تاج سازمان ، کنترل کننده های دامنه Active Directory ، که به عنوان یک درگاه قدرتمند برای همه ماشین های متصل به شبکه استفاده می کنند ، استفاده کنند.

مایکروسافت در اوت آسیب پذیری تشدید امتیاز حیاتی را وصله کرد ، اما از آن زمان تاکنون مهاجمان از آن برای آسیب رساندن به سازمانهایی که هنوز به روزرسانی را نصب نکرده اند ، استفاده کردند. هم اف بی آی و هم وزارت امنیت داخلی خواستار تعمیر سریع این سیستم ها شدند.

از جمله ماشین های به خطر افتاده در هنگام حملات شناسایی شده توسط سیمانتک ، کنترل کننده های دامنه و سرورهای پرونده هستند. محققان این شرکت همچنین شواهدی از فیلتر کردن پرونده از برخی از ماشین های آسیب دیده کشف کرده اند.

بسیاری از مناطق و صنایع

اهداف از صنایع مختلف حاصل می شود ، از جمله:

  • صنعت اتومبیل سازی ، با تولیدکنندگان و سازمانهایی که در تهیه قطعات برای صنعت خودرو فعالیت دارند ، نیز هدف قرار گرفته اند ، که نشان می دهد این یک بخش مورد علاقه مهاجمان است.
  • تن پوش
  • کنگلومرا
  • الکترونیک
  • مهندسی
  • شرکت های بازرگانی عمومی
  • دولت
  • محصولات صنعتی
  • ارائه دهندگان خدمات مدیریت شده
  • تولید
  • دارویی
  • خدمات حرفه ای

در زیر نقشه ای از مکان فیزیکی اهداف آورده شده است:

سیمانتک

Symantec بر اساس اثر انگشت دیجیتالی موجود در بدافزار و کد حمله حملات را به Cicada پیوند می دهد. اثرانگشت شامل تکنیک های تاری و کد پوسته موجود در بارگیری جانبی DLL و همچنین ویژگی های زیر است که در این گزارش سال 2019 توسط شرکت امنیتی Cylance ذکر شده است:

  • مرحله سوم DLL صادراتی به نام “FuckYouAnti” دارد
  • مرحله سوم DLL از روش CppHostCLR برای تزریق و اجرای مجموعه لودر NET استفاده می کند.
  • .NET Loader با ConfuserEx v1.0.0 مخفی شده است
  • محموله نهایی QuasarRAT است – یک درب پشت منبع باز که توسط Cicada در گذشته استفاده می شده است

محققان Symantec نوشتند: “مقیاس عملیات همچنین به گروهی از اندازه و توانایی های Cicada اشاره دارد.” “هدف قرار دادن همزمان بسیاری از سازمانهای بزرگ در جغرافیای مختلف به منابع و مهارتهای زیادی نیاز دارد که معمولاً فقط در گروههای تحت حمایت دولت دیده می شود. ارتباطی که همه قربانیان به ژاپن دارند همچنین به سیکادا اشاره دارد ، مشهور است که هدف آن سازمان های ژاپنی در گذشته بوده است. “

[ad_2]

منبع: tarjome-news.ir