שחקן איום חדש שחוקרים כינו "NewsPenguin" מנהל מסע ריגול נגד המתחם הצבאי-תעשייתי של פקיסטן במשך חודשים, תוך שימוש בכלי תוכנות זדוניות מתקדם.
ב בלוג ב-9 בפברואר, חוקרים מ-Blackberry חשפו כיצד קבוצה זו תכננה בקפידה קמפיין דיוג המכוון למבקרים בתערוכת הפקיסטן הבינלאומית הימית הקרובה (PIMEC).
PIMEC יתקיים במהלך סוף השבוע הקרוב. זוהי יוזמה של חיל הים הפקיסטני שלפי ממשלה בידיעה שהונפקה לתקשורת, "יספק הזדמנויות לתעשייה הימית הן במגזר הציבורי והן במגזר הפרטי להציג מוצרים ולפתח קשרים עסקיים. האירוע גם ידגיש את הפוטנציאל הימי של פקיסטן ויספק את המילוי הרצוי לצמיחה כלכלית ברמה הלאומית".
המשתתפים ב-PIMEC כוללים בין היתר מדינות לאום, צבאות ויצרנים צבאיים. עובדה זו, בשילוב עם השימוש של NewPenguin בפיתוי דיוג מותאם ופרטים הקשריים אחרים של המתקפה, הביאו את החוקרים למסקנה "ששחקן האיום מכוון באופן פעיל לארגונים ממשלתיים".
כיצד NewsPenguin מבצע דיוג עבור נתונים
NewsPenguin מושך את קורבנותיו באמצעות דוא"ל דיוג בחנית עם מסמך Word מצורף, המתיימר להיות "מדריך לתערוכה" לכנס PIMEC.
למרות ששם הקובץ היה דגל אדום למדי - "Important Document.doc" - נראה כי תוכנו נקרע ישירות מהחומרים של האירוע בפועל, כולל חותמות ממשלתיות ואסתטיקה כמו כלי תקשורת אחרים שפורסמו על ידי המארגנים.
המסמך נפתח לראשונה בתצוגה מוגנת. לאחר מכן על הקורבן ללחוץ על "הפעל תוכן" כדי לקרוא את המסמך, מה שמפעיל התקפת הזרקת תבנית מרחוק.
התקפות הזרקת תבניות מרוחקות נמנעות בחוכמה מזיהוי קל על ידי שתילת תוכנות זדוניות לא במסמך אלא בתבנית המשויכת לו. זוהי "טכניקה מיוחדת המאפשרת להתקפות לעוף מתחת לרדאר", מסביר דמיטרי בסטוז'ב, חוקר איומים ב-BlackBerry ל-Dark Reading, "במיוחד למוצרים דמויי זיהוי ותגובה (EDR). הסיבה לכך היא שפקודות המאקרו הזדוניות אינן בקובץ עצמו אלא בשרת מרוחק - במילים אחרות, מחוץ לתשתית של הקורבן. כך, המוצרים המסורתיים שנבנו כדי להגן על נקודות הקצה והמערכות הפנימיות לא יהיו יעילים".
טכניקות ההתחמקות של NewsPenguin
המטען בסוף זרימת ההתקפה הוא קובץ הפעלה ללא שם מבדיל, המכונה בפוסט הבלוג "updates.exe". כלי הריגול הזה שטרם נראה הוא אולי הבולט ביותר רק עד כמה רחוק הוא מגיע להתנגד לגילוי וניתוח.
לדוגמה, כדי להימנע מהשמעת רעשים חזקים בסביבת רשת יעד, התוכנה הזדונית פועלת בקצב של חילזון, תוך חמש דקות בין כל פקודה.
"העיכוב הזה נועד לא לגרום ליותר מדי פעילות ברשת", מסביר בסטוז'ב. "זה נשאר שקט ככל האפשר, עם פחות טביעות רגל למערכות זיהוי לקלוט."
התוכנה הזדונית NewsPenguin מבצעת גם סדרה של פעולות כדי לבדוק אם היא נפרסת במכונה וירטואלית או בארגז חול. מומחי אבטחת סייבר אוהבים ללכוד ולנתח תוכנות זדוניות בסביבות אלה, המבודדות כל השפעות זדוניות משאר המחשב או הרשת. האקרים, בתורם, יודעים להימנע מסביבות מבודדות אלה אם הם לא רוצים להיתפס.
החוקרים ספרו כמה שיטות התחמקות שונות ב-updates.exe, ש"כוללת שימוש ב-GetTickCount" - פונקציית Windows המדווחת כמה זמן עבר מאז הפעלת המערכת - "כדי לזהות ארגזי חול עוקפים פונקציות שינה, בדיקת גודל הכונן הקשיח, ודורש יותר מ-10GB של זיכרון RAM", על פי הדו"ח.
הפתילים ש-News Penguin רוצה
החוקרים לא הצליחו לחבר את NewsPenguin לאף גורם איומים ידוע. עם זאת, הקבוצה כבר עובדת כבר זמן מה.
הדומיינים הקשורים לקמפיין נרשמו כל הדרך ביוני ואוקטובר של השנה שעברה, למרות ש-PIMEC התרחש רק בסוף השבוע הזה.
"תוקפים קצרי רואי בדרך כלל לא מתכננים פעולות כל כך הרבה מראש, ואינם מבצעים שמירת דומיין ו-IP חודשים לפני השימוש בהם", ציינו מחברי הדו"ח. "זה מראה ש-NewsPenguin ביצע תכנון מוקדם וכנראה ערך פעילות במשך זמן מה."
בזמן הזה, הוסיפו המחברים, NewsPenguin "משפרת ללא הרף את הכלים שלה לחדור למערכות קורבנות".
בין האופי המיועד של התקיפה, לבין פרופיל הקורבנות, מתחילה להתבהר התמונה הגדולה יותר. "מה קורה בדוכני הכנס?" שואל בסטוז'ב. "המשתתפים ניגשים אל המציגים, מפטפטים ומחליפים מידע ליצירת קשר, שצוות הדוכן רושם כמובילים באמצעות טפסים פשוטים כמו גיליונות אלקטרוניים. התוכנה הזדונית NewsPenguin בנויה כדי לגנוב את המידע הזה, ועלינו לשים לב שכל הכנס עוסק בטכנולוגיות צבאיות וימיות."
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- Platoblockchain. Web3 Metaverse Intelligence. ידע מוגבר. גישה כאן.
- מקור: https://www.darkreading.com/risk/newspenguin-phishing-maritime-military-secrets
- 7
- 9
- a
- אודות
- פי
- פעולות
- באופן פעיל
- פעילות
- שחקנים
- הוסיף
- לקדם
- מתקדם
- נגד
- תעשיות
- מאפשר
- כְּבָר
- בין
- לנתח
- ו
- לְהוֹפִיעַ
- גישה
- המשויך
- לתקוף
- המתקפות
- משתתפים
- מושך
- מחברים
- בחזרה
- כי
- להיות
- לפני
- בֵּין
- גדול
- בלוג
- דוכנים
- נבנה
- עסקים
- מבצע
- בזהירות
- נתפס
- לגרום
- לבדוק
- בדיקה
- ברור
- משולב
- מגיע
- מורכב
- המחשב
- מסכם
- מוליך
- כנס
- לְחַבֵּר
- צור קשר
- תוכן
- תוכן
- קשר
- ברציפות
- קורס
- אבטחת סייבר
- כהה
- קריאה אפלה
- עיכוב
- פריסה
- רצוי
- למרות
- פרטים
- איתור
- לפתח
- אחר
- לְהַצִיג
- מסמך
- תחום
- תחומים
- נהיגה
- דיבוב
- כל אחד
- כַּלְכָּלִי
- צמיחה כלכלית
- אפקטיבי
- אמייל
- לאפשר
- נקודת קצה
- סביבה
- סביבות
- במיוחד
- ריגול
- אירוע
- דוגמה
- חליפין
- לבצע
- מציגים
- מסביר
- אקספו
- משתתפים
- מעטים
- שלח
- ראשון
- תזרים
- צורות
- החל מ-
- פונקציה
- פונקציות
- Goes
- ממשלה
- קְבוּצָה
- צמיחה
- האקרים
- קורה
- קשה
- כונן קשיח
- להבליט
- איך
- HTTPS
- לזהות
- השפעות
- חשוב
- שיפור
- in
- באחר
- לכלול
- כולל
- תעשייה
- מידע
- תשתית
- יוזמה
- פנימי
- ברמה בינלאומית
- IP
- מְבוּדָד
- IT
- עצמו
- לדעת
- ידוע
- אחרון
- שנה שעברה
- מוביל
- הוביל
- רמה
- סביר
- ארוך
- מכונה
- פקודות מאקרו
- עשייה
- תוכנות זדוניות
- מדריך ל
- התעשיינים
- חומרים
- מדיה
- שיטות
- צבאיות
- צבאי
- דקות
- חודשים
- יותר
- רוב
- שם
- לאומי
- טבע
- רשת
- יַקִיר
- רומן
- אוֹקְטוֹבֶּר
- נפתח
- פועל
- תפעול
- הזדמנויות
- ארגונים
- מארגנים
- אחר
- אחרים
- בחוץ
- שלום
- פקיסטן
- מבצע
- אוּלַי
- כוח אדם
- דיוג
- קמפיין דיוג
- לבחור
- תמונה
- מקום
- תכנית
- מתוכנן
- תכנון
- שתילה
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- אפשרי
- הודעה
- פוטנציאל
- פְּרָטִי
- מוצרים
- אנשי מקצוע
- פּרוֹפִיל
- להגן
- מוּגָן
- לספק
- ציבורי
- לאור
- מכ"ם
- RAM
- חומר עיוני
- קריאה
- Red
- מכונה
- הירשם
- רשום
- מערכות יחסים
- מרחוק
- לדווח
- דוחות לדוגמא
- חוקר
- חוקרים
- תגובה
- REST
- גילה
- קרע
- אמר
- אותו
- ארגז חול
- ארגז חול
- מגזרים
- סדרה
- צריך
- הופעות
- פָּשׁוּט
- since
- מידה
- לִישׁוֹן
- So
- עד כה
- כמה
- מיוחד
- החל
- התחלות
- ישר
- מערכת
- מערכות
- לקחת
- נטילת
- יעד
- מיקוד
- טכנולוגיות
- תבנית
- השמיים
- שֶׁלָהֶם
- איום
- איום שחקנים
- זמן
- ל
- גַם
- כלי
- כלים
- מסורתי
- תור
- תחת
- בקרוב ב
- עדכונים
- להשתמש
- בְּדֶרֶך כְּלַל
- קרבן
- קורבנות
- לצפיה
- וירטואלי
- מכונה וירטואלית
- מבקרים
- בסוף השבוע
- מה
- אם
- אשר
- בזמן
- כל
- יצטרך
- חלונות
- נצחנות
- Word
- מילים
- עובד
- שנה
- זפירנט