Karkoff یا DNSpionage جدید با استراتژی مورد هدف قرار دادن انتخابی

گروه سایبری پشت دژافزار مشهور DNSpionage، عملیات پیچیده جدیدی را آغاز کرده است که قربانیان انتخاب‌شده را با یک نوع جدید از دژافزار DNSpionage آلوده می‌کند.

ابتدا در ماه نوامبر سال گذشته، حملات DNSpionage از سایت‌های آسیب‌دیده و اسناد موذی دستکاری‌شده برای آلوده کردن رایانه‌های قربانیان با DNSpionage استفاده کردند. DNSpionage یک ابزار سفارشی از راه دور است که از ارتباطات HTTP و DNS برای ارتباط با سرور فرمان و کنترل تحت اختیار مهاجم استفاده می‌کند.

بر اساس یک گزارش جدید منتشرشده[۱] توسط تیم تحقیقاتی Cisco’s Talos، این گروه از تاکتیک‌ها، تکنیک‌ها و رویه‌های جدید برای بهبود کارایی عملیات‌های خودشان، استفاده کردند تا حملات سایبری خود را هدفمندتر، سازمان‌یافته‌تر و پیشرفته‌تر از قبل پیاده‌سازی کنند.

برخلاف کمپین‌های قبلی، مهاجمان در حال حاضر شروع به شناسایی قربانیان خود کرده‌اند تا قبل از آلوده کردن آن‌ها به این دژافزار جدید که Karkoff نام‌گذاری شده است، به آن‌ها اجازه می‌دهد انتخاب کنند که چگونه اهداف آلوده را انتخاب کنند تا همچنان شناسایی نشده باقی بمانند.

محققان دراین‌باره  می‌گویند: “ما شباهت‌های زیرساختی را در پرونده‌های DNSpionage و Karkoff شناسایی کردیم.”

در مرحله شناسایی، مهاجمان اطلاعات سیستم را ازجمله محیط کار، سیستم‌عامل، دامنه و لیست پروسه‌های در حال اجرا در دستگاه قربانی را جمع‌آوری می‌کنند.

محققان می‌گویند: “این بدافزار دو پلتفرم خاص ضدویروس را جستجو می‌کند: Avira و Avast. اگر یکی از این محصولات امنیتی بر روی سیستم نصب‌ شده باشد و در مرحله شناسایی ردیابی شود، یک پرچم^(۱) خاص تنظیم خواهد شد و برخی از گزینه‌ها از پرونده پیکربندی این دژافزار نادیده گرفته می‌شود.”

Karkoff در .NET توسعه داده شده است و اجازه می‌دهد تا مهاجمان از راه دور از سرور C & C خود کد دلخواه را بر روی میزبان‌های در معرض خطر اجرا کنند. Cisco Talos در اوایل ماه جاری این دژافزار را به‌عنوان یک دژافزار شناسایی نشده معرفی کرده بود.

جالب این است که بدافزار Karkoff فایل log را در سیستم قربانیان ایجاد می‌کند که حاوی لیستی از تمام دستورات است که با یک جدول زمانی^(۲) اجراشده‌اند.

محققان دراین‌باره توضیح می‌دهند: “این فایل ورودی می‌تواند به‌آسانی مورداستفاده قرار گیرد تا یک جدول زمانی اجرای دستور را ایجاد کند که در هنگام پاسخ دادن به این نوع تهدید می‌تواند بسیار مفید باشد.”

“با توجه به این نکته، یک سازمان که با این دژافزار موردحمله واقع شده است، این امکان را برای بررسی پرونده ورود و شناسایی دستورات علیه آن‌ها دارد.”

مانند آخرین کمپین کشف‌شده‌ی DNSpionage، حملات اخیراً کشف‌شده نیز منطقه‌ی خاورمیانه، ازجمله لبنان و امارات متحده عربی را هدف قرار دادند.

علاوه بر غیرفعال کردن macros و استفاده از یک نرم‌افزار قابل‌اعتماد آنتی‌ویروس، شما مهم‌تر از همه باید مراقب باشید و در مورد تکنیک‌های مهندسی اجتماعی مطلع شوید تا خطر ابتلا شدن به چنین حملاتی را کاهش دهید.

به‌موجب چندین گزارش عمومی[۲] از حملات DNS hijacking، وزارت امنیت داخلی آمریکا (DHS) در اوایل سال جاری یک دستورالعمل اضطراری برای همه آژانس‌های فدرال صادر کرد[۳] و به کارمندان IT دستور داد تا رکوردهای DNS برای دامنه‌های وب‌سایت‌های خود و یا سایر دامنه‌های تحت مدیریتشان را به‌دقت بازرسی^(۳) کنند.

منابع

[۱] https://blog.talosintelligence.com/2019/04/dnspionage-brings-out-karkoff.html

[۲] https://apa.aut.ac.ir/?p=3961

[۳] https://thehackernews.com/2019/01/dns-hijacking-cyber-attacks.html

[۴] https://thehackernews.com/2019/04/karkoff-dnspionage-malware.html

(۱) flag
(۲) timestamp
(۳) audit