هکرها از سرویس‌های ابری مشهوری مثل آمازون و مایکروسافت برای پیشبرد کمپین‌های مخرب خود بهره‌گرفتند. در این کمپین، هکرها با استفاده از این سرویس‌ها، تروجان‌های دسترسی از راه دور (RAT) مثل Nanocore، Netwire و AsyncRAT را منتشر کردند تا بتوانند به اطلاعات حساس و خصوصی قربانیان دسترسی پیدا کنند.

به گزارش محققان سیسکو تالوس این حملات هدفمند، از اوایل اکتبر ۲۰۲۱ آغاز شده و اغلب قربانیان آن از امریکا، کانادا، ایتالیا و سنگاپور بوده است.

استفاده از زیرساخت‌های قانونی برای تسریع روند حملات، به یکی از اصلی‌ترین روشهای هکرهای تبدیل شده است، به این دلیل که هکرها برای انتشار ویروس‌های خود، به سرورهای قوی نیاز دارند و همچنین، استفاده از منابع شناخته شده و قانونی، حملات و هدف اصلی آنها را به خوبی پوشش می‌دهد.

در ماه‌های اخیر، ابزارهای ارتباطی و تعاملی مثل دیسکورد، تلگرام و Slack، در زنجیره توزیع بسیاری از حملات سایبری مشاهده شده‌اند. با توجه به این روند می‌توان چنین نتیجه گرفت که استفاده از پلتفرم‌های ابری، قدمی دیگر در راه توسعه حملات و تاکتیک‌های هکرها بوده است.

به عقیده محققان، در کمپین فوق جنبه‌های جالب زیادی وجود دارد که همگی نشان دهنده بهره‌جویی عوامل مخرب از ابزارهای متداول است. از این جمله می‌توان به استفاده از زیرساخت‌های ابری به عنوان میزبان ویروس و دستکاری DNS پویا برای مخفی سازی سرور کنترل و فرماندهی اشاره کرد. علاوه بر این، برای پنهان سازی هدف اصلی این سرورها، از لایه‌های پیچیده‌ زیادی استفاده شده که کار شناسایی ویروس را نیز به شدت سخت‌ کرده بود.

همانند اغلب حملات سایبری مشابه، همه چیز از یک ایمیل فیشینگ با تم صورتحساب آغاز می‌شود که یک فایل زیپ هم به آن پیوست شده است. زمانی که دریافت کننده این فایل را باز می‌کند، زنجیره حمله آغاز می‌شود که مرحله بعدی آن اتصال به سرور هکر (در این مورد سرورهای ابری آمازون و مایکروسافت) متصل شده و ویروس اصلی را دانلود می‌کند. در نهایت سیستم قربانی به یکی از بدافزارهای اتصال از راه دور Nanocore، Netwire و AsyncRAT آلوده می‌شود.

تروجان‌های فوق، علاوه بر قابلیت جمع‌آوری داده‌های سیستم قربانی، می‌توانند برای اتصال مستقیم هکر به دستگاه مورد استفاده قرار بگیرند. این امر منجر به ادامه روند حملات، مثل نصب باج‌افزار خواهد شد.

نکته دیگری که در این حملات قابل توجه است، استفاده هکرها از سرویس رایگان DNS پویا با نام DuckDNS بوده که امکان ایجاد زیر دامنه‌های مخرب برای انتشار ویروس را فراهم می‌کنند. برخی از این زیر دامنه‌ها به عنوان سرور دانلود تروجان و برخی دیگر به عنوان سرور کنترل و فرماندهی مورد استفاده قرار می‌گیرند.

به گفته محققان، عوامل مخرب همیشه به دنبال یافتن روش‌های جدیدی برای انتشار بدافزار و آلوده کردن سیستم قربانیان هستند. بهره‌جویی از ابزارهایی مثل دیسکورد و تلگرام، به همراه سرورهای ابری مایکروسافت و آمازون، نشان دهنده ادامه این روند‌ها است.

نظرات

نظر (به‌وسیله فیس‌بوک)