هوش داده های تولیدی

امنیت سایبری

هزاران کسب و کار استرالیایی با RAT هدف قرار گرفته اند

بازنشر افلاطون
بازنشر افلاطون

تاریخ:

نمایش ها: 0

بیش از 11,000 شرکت استرالیایی در موج اخیر حملات سایبری که متکی به یک بدافزار قدیمی اما همچنان خطرناک به نام عامل تسلا هستند، هدف قرار گرفتند.

قربانیان احتمالی توسط ایمیل‌های بمب‌گذاری شده با فریب‌هایی درباره خرید کالا و درخواست‌های تحویل سفارش که همراه با یک فایل پیوست مخرب بود، بمباران شدند. قربانیانی که فریب خوردند تا فایل پیوست را باز کنند، رایانه های شخصی ویندوزی خود را در معرض آلودگی عامل تسلا قرار دادند.

مامور تسلا به گفته محققان Check Point Software، یک تروجان دسترسی از راه دور (RAT) است که برای اولین بار در سال 2014 ظاهر شد. این بدافزار به طور گسترده توزیع شده و اغلب توسط عوامل مختلف تهدید، از جمله مجرمان سایبری و جاسوسان استفاده می شود.

الکساندر چایلتکو، مدیر امنیت سایبری، تحقیق و نوآوری در Check Point، می‌گوید عوامل تهدید "سطحی اعتماد" به قابلیت‌های عامل تسلا ایجاد کرده‌اند.

Chailytko توضیح می دهد: «قابلیت اطمینان آن، همراه با طیف متنوعی از عملکردهای آن برای استخراج داده ها و سرقت اطلاعات، آن را به یک انتخاب ترجیحی در بین مجرمان سایبری تبدیل می کند.

این بدافزار طیف وسیعی از روش‌های استخراج داده‌ها و قابلیت‌های سرقت را ارائه می‌کند که متداول‌ترین نرم‌افزارهای مورد استفاده را از مرورگرها گرفته تا کلاینت‌های FTP را هدف قرار می‌دهد. به‌روزرسانی‌های اخیر بدافزار یکپارچگی دقیق‌تری با پلتفرم‌هایی مانند تلگرام و Discord ارائه می‌دهد که اجرای کمپین‌های هک را برای کلاهبرداران آسان‌تر می‌کند.

عامل تسلا سال گذشته در اخبار بود، زمانی که مجرمان سایبری از یک مایکروسافت آفیس 6 ساله نقص اجرای از راه دور به مامور تسلا.

آناتومی یک عامل تسلا هک

تحلیلی توسط محققان امنیتی از Check Point منتشر شده در a پست های وبلاگ این هفته یکی از دقیق‌ترین بازرسی‌های روش‌شناسی یک کمپین فیشینگ مبتنی بر Agent Tesla را تا به امروز ارائه داد. کار آنها پس از کشتار مجموعه ای از حملات با حجم بالا را ارائه می دهد که در نوامبر 2023 علیه اهداف عمدتاً استرالیایی و آمریکایی انجام شد.

چک پوینت گفت که یک عامل تهدید به نام Bignosa ابتدا Plesk (برای میزبانی) و Round Cube (کلاینت ایمیل) را روی یک سرور میزبان نصب کرد. مهاجمان سپس محموله Agent Tesla را با استفاده از بسته ای به نام Cassandra Protector که کد مخرب را مخفی کرده و تحویل آن را کنترل می کرد، پنهان کردند.

Cassandra Protector گزینه‌های مختلفی را در اختیار دارد که به مجرمان سایبری اجازه می‌دهد زمان خواب را قبل از اعدام پیکربندی کنند. در میان سایر عملکردها، متن را در کادر گفتگوی جعلی که هنگام باز کردن یک فایل مخرب توسط قربانیان ظاهر می شود، کنترل می کند.

هنگامی که عامل تسلا به این روش "محافظت" شد، Bignosa کد مخرب دات نت را به یک فایل ISO با پسوند ".img" تبدیل کرد و سپس فایل حاصل را به ایمیل های هرزنامه پیوست کرد.

سپس، Bignosa از طریق یک اتصال پروتکل شبکه دسترسی از راه دور به دستگاه تازه پیکربندی شده متصل شد، یک آدرس ایمیل ایجاد کرد، به وب‌میل وارد شد و با استفاده از یک لیست هدف از پیش آماده‌شده، اجرای هرزنامه را راه‌اندازی کرد. بر اساس چک پوینت، «چند عفونت موفق» در اولین موج حمله به استرالیا رسید.

پایین

عوامل تهدید در پشت کمپین بدافزار Agent Tesla عمدتاً مشاغل استرالیا را هدف قرار می دادند، همانطور که با وجود یک فایل لیست پستی به نام "AU B2B Lead.txt" در دستگاه های آنها نشان داده شده است.

Chailytko از Check Point می‌گوید: «این نشان‌دهنده تلاشی عمدی برای جمع‌آوری و هدف‌یابی آدرس‌های ایمیل مرتبط با نهادهای تجاری استرالیا، به طور بالقوه به منظور نفوذ به شبکه‌های شرکتی با هدف استخراج اطلاعات ارزشمند برای بهره‌برداری مالی است.

محققان دریافتند که Bignosa همچنین با یک مجرم سایبری ماهر دیگر که به طور متواضعانه از "خدایان" استفاده می کند، در کمپینی برای هک کردن مشاغل استرالیا و ایالات متحده کار کرد.

بر اساس گزارش‌های چت Jabber که توسط محققان امنیتی کشف شد، Gods به Bignosa در مورد محتوای متن هرزنامه مخرب توصیه کرد.

مانند سایر مجرمان سایبریبر اساس شواهد کشف شده توسط Check Point، این دو با عناصر کمپین جرایم سایبری خود مبارزه کردند.

در موارد متعدد، Bignosa نتوانست دستگاه خود را از آلودگی های آزمایشی عامل تسلا پاک کند، بنابراین هکر بدبخت مجبور شد از راه دور خدایان برای کمک تماس بگیرد.

چک پوینت گفت که معتقد است که Bignosa کنیایی است و Gods یک نیجریه ای است که یک کار روزانه به عنوان یک توسعه دهنده وب دارد.

چگونه عفونت های عامل تسلا را مسدود کنیم

کمپین فیشینگ نیزه ای مبتنی بر عامل تسلا که توسط Check Point برجسته شده است، بر تهدیدی که هنوز هم توسط بدافزار بالغ ایجاد می شود تأکید می کند.

کسب و کارها باید با نصب سریع وصله ها و استفاده از سایر اقدامات امنیتی، سیستم عامل ها و برنامه های کاربردی را به روز نگه دارند. بر اساس چک پوینت، فیلتر کردن هرزنامه های تجاری و ابزارهای فهرست بلاک می تواند به کاهش حجم ترافیک ناخواسته که در صندوق های ورودی کاربران ظاهر می شود کمک کند.

با این حال، کاربران نهایی باید در هنگام مواجهه با ایمیل‌های غیرمنتظره حاوی پیوندها، به ویژه از سوی فرستنده‌های ناآشنا، احتیاط کنند. به گفته چک پوینت، اینجاست که برنامه‌های آموزشی و آموزشی منظم کارکنان می‌تواند آگاهی از امنیت سایبری را تقویت کند.

نقطه_img

جدیدترین اطلاعات

نقطه_img

حق چاپ @ 2024 Plato Technologies Inc.