یک بازیگر تهدید جدید که محققان آن را «NewsPenguin» نامیدهاند، ماهها با استفاده از یک ابزار بدافزار پیشرفته، یک کمپین جاسوسی علیه مجتمع نظامی-صنعتی پاکستان انجام داده است.
در یک پست های وبلاگ در 9 فوریه، محققان بلک بری فاش کردند که چگونه این گروه با دقت یک کمپین فیشینگ را برای هدف قرار دادن بازدیدکنندگان نمایشگاه و کنفرانس بین المللی دریایی پاکستان (PIMEC) برنامه ریزی کرده است.
PIMEC در طول این هفته آینده برگزار خواهد شد. این یک ابتکار نیروی دریایی پاکستان است که به گفته یک دولت اطلاعیه مطبوعاتی"فرصت هایی را برای صنعت دریایی چه در بخش دولتی و چه در بخش خصوصی برای نمایش محصولات و توسعه روابط تجاری فراهم می کند. این رویداد همچنین پتانسیل دریایی پاکستان را برجسته خواهد کرد و پر کردن مطلوب برای رشد اقتصادی در سطح ملی را فراهم می کند.
شرکتکنندگان در PIMEC شامل دولتهای ملی، ارتشها و تولیدکنندگان نظامی و غیره هستند. این واقعیت، همراه با استفاده نیوپنگوین از یک فریب سفارشی فیشینگ و سایر جزئیات متنی این حمله، محققان را به این نتیجه رساند که «بازیگر تهدید به طور فعال سازمانهای دولتی را هدف قرار میدهد».
چگونه NewsPenguin برای داده ها فیشینگ می کند
NewsPenguin با استفاده از قربانیان خود را جذب می کند ایمیل های فیشینگ نیزه ای با یک سند Word پیوست، که ظاهراً یک "راهنمای نمایشگاه" برای کنفرانس PIMEC است.
اگرچه نام فایل کاملاً یک پرچم قرمز بود - "Mimportant Document.doc" - به نظر می رسد محتوای آن مستقیماً از مطالب رویداد واقعی برداشته شده است، دارای مهرهای دولتی و زیبایی شناسی مشابه سایر رسانه های منتشر شده توسط سازمان دهندگان.
سند ابتدا در یک نمای محافظت شده باز می شود. سپس قربانی باید برای خواندن سند روی "فعال کردن محتوا" کلیک کند، که باعث حمله تزریق قالب از راه دور می شود.
حملات تزریق قالب از راه دور با قرار دادن بدافزار نه در یک سند، بلکه در قالب مرتبط با آن، هوشمندانه از شناسایی آسان جلوگیری می کند. دیمیتری بستوزف، محقق تهدید در بلک بری به Dark Reading توضیح میدهد که «تکنیک ویژهای است که به حملات اجازه میدهد تا زیر رادار پرواز کنند، بهویژه برای محصولات مشابه با شناسایی و پاسخ نقطه پایانی (EDR). دلیل آن این است که ماکروهای مخرب در خود فایل نیستند، بلکه در یک سرور راه دور هستند - به عبارت دیگر، خارج از زیرساخت قربانی. به این ترتیب، محصولات سنتی ساخته شده برای محافظت از نقطه پایانی و سیستمهای داخلی مؤثر نخواهند بود.»
تکنیک های طفره رفتن NewsPenguin
محموله در انتهای جریان حمله یک فایل اجرایی بدون نام متمایز است که در پست وبلاگ به عنوان "updates.exe" نامیده می شود. این ابزار جاسوسی که قبلاً دیده نشده است، شاید بیشتر از همه به دلیل پیشرفت آن قابل توجه باشد در برابر تشخیص و تجزیه و تحلیل مقاومت کنید.
به عنوان مثال، برای جلوگیری از ایجاد هر گونه صدای بلند در یک محیط شبکه هدف، بدافزار با سرعت حلزونی عمل می کند و بین هر دستور پنج دقیقه طول می کشد.
بستوزف توضیح میدهد: «این تأخیر بهمنظور عدم ایجاد فعالیت بیش از حد شبکه است. تا حد امکان بی صدا می ماند و ردپای کمتری برای سیستم های تشخیص وجود دارد.
بدافزار NewsPenguin همچنین یک سری اقدامات را انجام می دهد تا بررسی کند که آیا در یک ماشین مجازی یا جعبه ایمنی مستقر است یا خیر. متخصصان امنیت سایبری دوست دارند بدافزار را در این محیطها به دام انداخته و تجزیه و تحلیل کنند، که هر گونه تأثیر مخرب را از بقیه رایانه یا شبکه جدا میکند. هکرها نیز به نوبه خود می دانند که اگر نمی خواهند گرفتار شوند، از این محیط های جدا شده اجتناب کنند.
محققان چند روش فرار مختلف را در updates.exe شمارش کردند، که "شامل استفاده از GetTickCount" - یک تابع ویندوز که گزارش می دهد چه مدت از راه اندازی سیستم گذشته است - "برای شناسایی جعبه های ماسه ای که عملکردهای خواب را دور می زنند، اندازه هارد دیسک را بررسی می کنند. بر اساس این گزارش، به بیش از 10 گیگابایت رم نیاز دارد.
لقمه هایی که NewsPenguin می خواهد
محققان نتوانستند NewsPenguin را به هیچ عامل تهدید شناخته شده ای متصل کنند. گفتنی است، این گروه مدتی است که کار می کند.
دامنههای مرتبط با کمپین در ماه ژوئن و اکتبر سال گذشته به ثبت رسیدهاند، علیرغم اینکه PIMEC فقط در این آخر هفته رخ داد.
نویسندگان گزارش مشاهده کردند: "هکرهای کوته فکر معمولاً عملیات را از قبل برنامه ریزی نمی کنند، و رزرو دامنه و IP را ماه ها قبل از استفاده از آنها انجام نمی دهند." این نشان میدهد که NewsPenguin برنامهریزیهای قبلی انجام داده و احتمالاً برای مدتی مشغول انجام فعالیت بوده است.»
در آن زمان، نویسندگان افزودند، NewsPenguin "به طور مستمر ابزارهای خود را برای نفوذ به سیستم های قربانی بهبود می بخشد."
بین ماهیت از پیش برنامه ریزی شده حمله و مشخصات قربانیان، تصویر بزرگتر شروع به روشن شدن می کند. "در غرفه های کنفرانس چه اتفاقی می افتد؟" بستوزف می پرسد. شرکتکنندگان به غرفهداران نزدیک میشوند، گپ میزنند و اطلاعات تماس را تبادل میکنند، که پرسنل غرفه با استفاده از فرمهای ساده مانند صفحات گسترده، آنها را به عنوان سرنخ ثبت میکنند. بدافزار NewsPenguin برای سرقت این اطلاعات ساخته شده است و باید توجه داشته باشیم که کل کنفرانس در مورد فناوری های نظامی و دریایی است.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- پلاتوبلاک چین. Web3 Metaverse Intelligence. دانش تقویت شده دسترسی به اینجا.
- منبع: https://www.darkreading.com/risk/newspenguin-phishing-maritime-military-secrets
- 7
- 9
- a
- درباره ما
- مطابق
- اقدامات
- فعالانه
- فعالیت
- بازیگران
- اضافه
- پیشرفت
- پیشرفته
- در برابر
- معرفی
- اجازه می دهد تا
- قبلا
- در میان
- تحلیل
- و
- ظاهر شدن
- روش
- مرتبط است
- حمله
- حمله
- شرکت کنندگان
- جاذبه ها
- نویسندگان
- به عقب
- زیرا
- شدن
- قبل از
- میان
- بزرگتر
- بلاگ
- غرفه ها
- ساخته
- کسب و کار
- کمپین بین المللی حقوق بشر
- Осторожно
- گرفتار
- علت
- بررسی
- بررسی
- واضح
- ترکیب شده
- آینده
- پیچیده
- کامپیوتر
- نتیجه گیری
- انجام
- کنفرانس
- اتصال
- تماس
- محتوا
- محتویات
- متنی
- به طور مداوم
- دوره
- امنیت سایبری
- تاریک
- تاریک خواندن
- تاخیر
- استقرار
- مطلوب
- با وجود
- جزئیات
- کشف
- توسعه
- مختلف
- نمایش دادن
- سند
- دامنه
- حوزه
- راندن
- دوبله شده
- هر
- اقتصادی
- رشد اقتصادی
- موثر
- پست الکترونیک
- قادر ساختن
- نقطه پایانی
- محیط
- محیط
- به خصوص
- جاسوسی
- واقعه
- مثال
- تبادل
- اجرا کردن
- غرفه داران
- توضیح می دهد
- نمایشگاه
- ویژگی های
- کمی از
- پرونده
- نام خانوادگی
- جریان
- اشکال
- از جانب
- تابع
- توابع
- می رود
- دولت
- گروه
- رشد
- هکرها
- اتفاق می افتد
- سخت
- هارد دیسک
- نماد
- چگونه
- HTTPS
- شناسایی
- اثرات
- مهم
- بهبود
- in
- در دیگر
- شامل
- شامل
- صنعت
- اطلاعات
- شالوده
- ابتکار عمل
- داخلی
- بین المللی
- IP
- جدا شده
- IT
- خود
- دانستن
- شناخته شده
- نام
- پارسال
- منجر می شود
- رهبری
- سطح
- احتمالا
- طولانی
- دستگاه
- ماکرو
- ساخت
- نرم افزارهای مخرب
- کتابچه راهنمای
- تولید کنندگان
- مصالح
- رسانه ها
- روش
- نظامیان
- نظامی
- دقیقه
- ماه
- بیش
- اکثر
- نام
- ملی
- طبیعت
- شبکه
- قابل توجه
- رمان
- اکتبر
- باز می شود
- عمل می کند
- عملیات
- فرصت ها
- سازمان های
- برگزارکنندگان
- دیگر
- دیگران
- خارج از
- سرعت
- پاکستان
- انجام می دهد
- شاید
- پرسنل
- فیشینگ
- کمپین فیشینگ
- انتخاب کنید
- تصویر
- محل
- برنامه
- برنامه ریزی
- برنامه ریزی
- کاشت
- افلاطون
- هوش داده افلاطون
- PlatoData
- ممکن
- پست
- پتانسیل
- خصوصی
- محصولات
- حرفه ای
- مشخصات
- محافظت از
- محفوظ
- ارائه
- عمومی
- منتشر شده
- رادار
- رم
- خواندن
- مطالعه
- قرمز
- اشاره
- ثبت نام
- ثبت نام
- روابط
- دور
- گزارش
- گزارش ها
- پژوهشگر
- محققان
- پاسخ
- REST
- نشان داد
- پاره شد
- سعید
- همان
- گودال ماسهبازی
- جعبه های شن و ماسه
- بخش ها
- سلسله
- باید
- نشان می دهد
- ساده
- پس از
- اندازه
- خواب
- So
- تا حالا
- برخی از
- ویژه
- آغاز شده
- شروع می شود
- راست
- سیستم
- سیستم های
- گرفتن
- مصرف
- هدف
- هدف گذاری
- فن آوری
- قالب
- La
- شان
- تهدید
- بازیگران تهدید
- زمان
- به
- هم
- ابزار
- ابزار
- سنتی
- دور زدن
- زیر
- نزدیک
- به روز رسانی
- استفاده کنید
- معمولا
- قربانی
- قربانیان
- چشم انداز
- مجازی
- ماشین مجازی
- بازدید کنندگان
- اخر هفته
- چی
- چه
- که
- در حین
- تمام
- اراده
- پنجره
- برنده شد
- کلمه
- کلمات
- کارگر
- سال
- زفیرنت