بیش از 11,000 شرکت استرالیایی در موج اخیر حملات سایبری که متکی به یک بدافزار قدیمی اما همچنان خطرناک به نام عامل تسلا هستند، هدف قرار گرفتند.
قربانیان احتمالی توسط ایمیلهای بمبگذاری شده با فریبهایی درباره خرید کالا و درخواستهای تحویل سفارش که همراه با یک فایل پیوست مخرب بود، بمباران شدند. قربانیانی که فریب خوردند تا فایل پیوست را باز کنند، رایانه های شخصی ویندوزی خود را در معرض آلودگی عامل تسلا قرار دادند.
مامور تسلا به گفته محققان Check Point Software، یک تروجان دسترسی از راه دور (RAT) است که برای اولین بار در سال 2014 ظاهر شد. این بدافزار به طور گسترده توزیع شده و اغلب توسط عوامل مختلف تهدید، از جمله مجرمان سایبری و جاسوسان استفاده می شود.
الکساندر چایلتکو، مدیر امنیت سایبری، تحقیق و نوآوری در Check Point، میگوید عوامل تهدید "سطحی اعتماد" به قابلیتهای عامل تسلا ایجاد کردهاند.
Chailytko توضیح می دهد: «قابلیت اطمینان آن، همراه با طیف متنوعی از عملکردهای آن برای استخراج داده ها و سرقت اطلاعات، آن را به یک انتخاب ترجیحی در بین مجرمان سایبری تبدیل می کند.
این بدافزار طیف وسیعی از روشهای استخراج دادهها و قابلیتهای سرقت را ارائه میکند که متداولترین نرمافزارهای مورد استفاده را از مرورگرها گرفته تا کلاینتهای FTP را هدف قرار میدهد. بهروزرسانیهای اخیر بدافزار یکپارچگی دقیقتری با پلتفرمهایی مانند تلگرام و Discord ارائه میدهد که اجرای کمپینهای هک را برای کلاهبرداران آسانتر میکند.
عامل تسلا سال گذشته در اخبار بود، زمانی که مجرمان سایبری از یک مایکروسافت آفیس 6 ساله نقص اجرای از راه دور به مامور تسلا.
آناتومی یک عامل تسلا هک
تحلیلی توسط محققان امنیتی از Check Point منتشر شده در a پست های وبلاگ این هفته یکی از دقیقترین بازرسیهای روششناسی یک کمپین فیشینگ مبتنی بر Agent Tesla را تا به امروز ارائه داد. کار آنها پس از کشتار مجموعه ای از حملات با حجم بالا را ارائه می دهد که در نوامبر 2023 علیه اهداف عمدتاً استرالیایی و آمریکایی انجام شد.
چک پوینت گفت که یک عامل تهدید به نام Bignosa ابتدا Plesk (برای میزبانی) و Round Cube (کلاینت ایمیل) را روی یک سرور میزبان نصب کرد. مهاجمان سپس محموله Agent Tesla را با استفاده از بسته ای به نام Cassandra Protector که کد مخرب را مخفی کرده و تحویل آن را کنترل می کرد، پنهان کردند.
Cassandra Protector گزینههای مختلفی را در اختیار دارد که به مجرمان سایبری اجازه میدهد زمان خواب را قبل از اعدام پیکربندی کنند. در میان سایر عملکردها، متن را در کادر گفتگوی جعلی که هنگام باز کردن یک فایل مخرب توسط قربانیان ظاهر می شود، کنترل می کند.
هنگامی که عامل تسلا به این روش "محافظت" شد، Bignosa کد مخرب دات نت را به یک فایل ISO با پسوند ".img" تبدیل کرد و سپس فایل حاصل را به ایمیل های هرزنامه پیوست کرد.
سپس، Bignosa از طریق یک اتصال پروتکل شبکه دسترسی از راه دور به دستگاه تازه پیکربندی شده متصل شد، یک آدرس ایمیل ایجاد کرد، به وبمیل وارد شد و با استفاده از یک لیست هدف از پیش آمادهشده، اجرای هرزنامه را راهاندازی کرد. بر اساس چک پوینت، «چند عفونت موفق» در اولین موج حمله به استرالیا رسید.
پایین
عوامل تهدید در پشت کمپین بدافزار Agent Tesla عمدتاً مشاغل استرالیا را هدف قرار می دادند، همانطور که با وجود یک فایل لیست پستی به نام "AU B2B Lead.txt" در دستگاه های آنها نشان داده شده است.
Chailytko از Check Point میگوید: «این نشاندهنده تلاشی عمدی برای جمعآوری و هدفیابی آدرسهای ایمیل مرتبط با نهادهای تجاری استرالیا، به طور بالقوه به منظور نفوذ به شبکههای شرکتی با هدف استخراج اطلاعات ارزشمند برای بهرهبرداری مالی است.
محققان دریافتند که Bignosa همچنین با یک مجرم سایبری ماهر دیگر که به طور متواضعانه از "خدایان" استفاده می کند، در کمپینی برای هک کردن مشاغل استرالیا و ایالات متحده کار کرد.
بر اساس گزارشهای چت Jabber که توسط محققان امنیتی کشف شد، Gods به Bignosa در مورد محتوای متن هرزنامه مخرب توصیه کرد.
مانند سایر مجرمان سایبریبر اساس شواهد کشف شده توسط Check Point، این دو با عناصر کمپین جرایم سایبری خود مبارزه کردند.
در موارد متعدد، Bignosa نتوانست دستگاه خود را از آلودگی های آزمایشی عامل تسلا پاک کند، بنابراین هکر بدبخت مجبور شد از راه دور خدایان برای کمک تماس بگیرد.
چک پوینت گفت که معتقد است که Bignosa کنیایی است و Gods یک نیجریه ای است که یک کار روزانه به عنوان یک توسعه دهنده وب دارد.
چگونه عفونت های عامل تسلا را مسدود کنیم
کمپین فیشینگ نیزه ای مبتنی بر عامل تسلا که توسط Check Point برجسته شده است، بر تهدیدی که هنوز هم توسط بدافزار بالغ ایجاد می شود تأکید می کند.
کسب و کارها باید با نصب سریع وصله ها و استفاده از سایر اقدامات امنیتی، سیستم عامل ها و برنامه های کاربردی را به روز نگه دارند. بر اساس چک پوینت، فیلتر کردن هرزنامه های تجاری و ابزارهای فهرست بلاک می تواند به کاهش حجم ترافیک ناخواسته که در صندوق های ورودی کاربران ظاهر می شود کمک کند.
با این حال، کاربران نهایی باید در هنگام مواجهه با ایمیلهای غیرمنتظره حاوی پیوندها، به ویژه از سوی فرستندههای ناآشنا، احتیاط کنند. به گفته چک پوینت، اینجاست که برنامههای آموزشی و آموزشی منظم کارکنان میتواند آگاهی از امنیت سایبری را تقویت کند.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- منبع: https://www.darkreading.com/remote-workforce/thousands-of-australian-businesses-targeted-with-agent-tesla-rat