هکرها از سرویسهای ابری مشهوری مثل آمازون و مایکروسافت برای پیشبرد کمپینهای مخرب خود بهرهگرفتند. در این کمپین، هکرها با استفاده از این سرویسها، تروجانهای دسترسی از راه دور (RAT) مثل Nanocore، Netwire و AsyncRAT را منتشر کردند تا بتوانند به اطلاعات حساس و خصوصی قربانیان دسترسی پیدا کنند.
به گزارش محققان سیسکو تالوس این حملات هدفمند، از اوایل اکتبر ۲۰۲۱ آغاز شده و اغلب قربانیان آن از امریکا، کانادا، ایتالیا و سنگاپور بوده است.
استفاده از زیرساختهای قانونی برای تسریع روند حملات، به یکی از اصلیترین روشهای هکرهای تبدیل شده است، به این دلیل که هکرها برای انتشار ویروسهای خود، به سرورهای قوی نیاز دارند و همچنین، استفاده از منابع شناخته شده و قانونی، حملات و هدف اصلی آنها را به خوبی پوشش میدهد.
در ماههای اخیر، ابزارهای ارتباطی و تعاملی مثل دیسکورد، تلگرام و Slack، در زنجیره توزیع بسیاری از حملات سایبری مشاهده شدهاند. با توجه به این روند میتوان چنین نتیجه گرفت که استفاده از پلتفرمهای ابری، قدمی دیگر در راه توسعه حملات و تاکتیکهای هکرها بوده است.
به عقیده محققان، در کمپین فوق جنبههای جالب زیادی وجود دارد که همگی نشان دهنده بهرهجویی عوامل مخرب از ابزارهای متداول است. از این جمله میتوان به استفاده از زیرساختهای ابری به عنوان میزبان ویروس و دستکاری DNS پویا برای مخفی سازی سرور کنترل و فرماندهی اشاره کرد. علاوه بر این، برای پنهان سازی هدف اصلی این سرورها، از لایههای پیچیده زیادی استفاده شده که کار شناسایی ویروس را نیز به شدت سخت کرده بود.
همانند اغلب حملات سایبری مشابه، همه چیز از یک ایمیل فیشینگ با تم صورتحساب آغاز میشود که یک فایل زیپ هم به آن پیوست شده است. زمانی که دریافت کننده این فایل را باز میکند، زنجیره حمله آغاز میشود که مرحله بعدی آن اتصال به سرور هکر (در این مورد سرورهای ابری آمازون و مایکروسافت) متصل شده و ویروس اصلی را دانلود میکند. در نهایت سیستم قربانی به یکی از بدافزارهای اتصال از راه دور Nanocore، Netwire و AsyncRAT آلوده میشود.
تروجانهای فوق، علاوه بر قابلیت جمعآوری دادههای سیستم قربانی، میتوانند برای اتصال مستقیم هکر به دستگاه مورد استفاده قرار بگیرند. این امر منجر به ادامه روند حملات، مثل نصب باجافزار خواهد شد.
نکته دیگری که در این حملات قابل توجه است، استفاده هکرها از سرویس رایگان DNS پویا با نام DuckDNS بوده که امکان ایجاد زیر دامنههای مخرب برای انتشار ویروس را فراهم میکنند. برخی از این زیر دامنهها به عنوان سرور دانلود تروجان و برخی دیگر به عنوان سرور کنترل و فرماندهی مورد استفاده قرار میگیرند.
به گفته محققان، عوامل مخرب همیشه به دنبال یافتن روشهای جدیدی برای انتشار بدافزار و آلوده کردن سیستم قربانیان هستند. بهرهجویی از ابزارهایی مثل دیسکورد و تلگرام، به همراه سرورهای ابری مایکروسافت و آمازون، نشان دهنده ادامه این روندها است.
هنوز نظری ثبت نشده است. شما اولین نظر را بنویسید.