هکرهای وابسته به حکومت ایران در موج جدیدی از حملات سایبری خود، با استفاده از بک دور کاملا دست ساز مبتنی بر .NET کاربران آسیای میانی را هدف قرار دادند.
به گفته محققان، این آسیبپذیری نسخه دستکاری شده ابزار متن باز DIG.net بوده که در آن از .NET بهره گرفته شده است.
در این بدافزار از فناوری موسوم به DNS هایجکینگ استفاده شده که در آن یک سرور DNS تحت کنترل هکر، پاسخهای DNS را تغییر داده و از آن برای دستیابی به مقاصد شوم خود استفاده میکند.
سرقت DNS از زیر شاخه حملات هدایتی است که در آن درخواستهای DNS کاربران شناسایی شده و با دستکاری پاسخ صحیح، او را به وبسایتی جعلی هدایت میکنند.
این حملات توسط گروهی موسوم به لوکئوم صورت گرفته که به خاطر حملات سایبری خود در آسیای میانی و آفریقا معروف است.
در این حملات از یک فایل داکیومنت مایکروسافت استفاده شده که در آن ماکرو مخربی قرار داده شده است. این فایل از طریق یک دامنه بدون نام به آدرس news-spot[.]live منتشر شده که آدرس جعلی یک شبکه خبری از رادیو آزادی اروپا بوده که خبری در مورد حملات پهپادی ایران در سال ۲۰۲۱ را منتشر کرده است.
پس از اینکه قربانی فایل مورد نظر را روی سیستم خود اجرا میکند، کد مخرب نیز فعال شده و بدافزار خود را در پوشه استارت آپ ویندوز قرار میدهد. با این روش، هکرها از اجرا شدن بدافزار خود با هر روشن خاموش شدن ، اطمینان حاصل میکنند.
بدافزار فوق DnsSystem نامگذاری شده که نسخه دستکاری شده ابزار متن باز DIG.net است. با این روش هکرها توانستند پاسخ DNS دستکاری شده ای ایجاد کرده و آن را از طریق سرور Cyberclub[.]one منتشر کنند.
علاوه بر دستکاری پروتکل DNS برای ارتباط با سرور کنترل و فرماندهی و فرار از تشخیص، بدافزار قابلیت دانلود و آپلود فایل از سرور را درار بوده، همچنین میتواند دستورات مخرب را از سرور راه دور خود دریافت کرده و روی سیستم قربانی اجرا کند.
هنوز نظری ثبت نشده است. شما اولین نظر را بنویسید.