کاروتک

تکنولوژی و علمی

تلویزیون و سینما

تلویزیون کاروتک

محققان امنیت سایبری، هشدار داده‌اند که مجرمان سایبری از پخش‌کننده‌‌ای رسانه‌‌ی محبوب VLC برای توزیع بدافزارها و جاسوسی از سازمان‌های دولتی و سازمان‌های مجاور استفاده می‌کنند.

همان‌طور که توسط BleepingComputer گزارش شده است، عاملی تهدید‌کننده به‌نام Cicada که به‌عنوان پانداهای سنگی و APT10 نیز شناخته می‌شود، سازمان‌هایی را در بخش‌های دولتی، حقوقی و سازمان‌های غیردولتی و حتی برخی از شرکت‌های فعال در حوزه‌ی “فعالیت‌های مذهبی” را مورد هدف خود قرار داده است.

اغلب سازمان‌هایی که ذکر شده‌اند در ایالات متحده، کانادا، هنگ کنگ، ترکیه، اسرائیل، هند، مونته نگرو و ایتالیا مستقر هستند. با‌توجه به این‌که ژاپن به‌طور سنتی، محل اصلی سیکادا بوده است، محققان تصور می‌کنند که این گروه مشعول به گسترش افق‌های خود است.

حملات گسترده‌تر

به‌نظر می‌رسد که سیکادا، به‌ طیف وسیع‌تری از صنایع حمله می‌کند، زیرا اگر بخواهیم از نظر تاریخی به این شرکت بنگریم، این گروه بر شرکت‌هایی که بر بخش‌های مراقبت‌های بهداشتی، دفعای،‌ هوافضا، مالی، دریایی، بیوتکنولوژی و انرژی فعالیت داشته‌اند، تمرکز کرده است.

بدافزارهای مورد استفاده، به‌عنوان بخشی از آخرین دور حملات آن‌ها، هنوز نامی ندارند اما محققان سیمانتک که مسئول کشف کردن این حمله بوده‌اند، معتقدند که از آن ها برای جاسوسی استفاده شده است.

ظاهراََ عامل تهدید که به‌نظر می‌آید منشأ آن چینی بوده است، از آسیب‌پذیری که در سرور Microsoft Exchange شناسایی شده است، برای دسترسی اولیه‌ی خود استفاده کرده‌اند. این کمپین از اواسط سال 2021 آغاز شد و هنوز هم می‌تواند ادامه داشته باشد.

Brigid O Gorman از Symantec در گفتگویی که با Bleeping Computer داشته است، گفت که مهاجمان، بدافزار را با استفاده از نسخه‌ای تمیز از VLC با فایلی DLL مخرب در مسیری مشابه با عملکردهای صادراتی پخش‌کننده‌ی رسانه، بدافزار را به‌طور جانبی بارگذاری کرده‌اند.

این تکنیک به‌عنوان بارگذاری جانبی DLL شناخته می‌شود و به‌طور گسترده توسط عوامل تهدید برای بارگذاری بدافزار در فرآیند‌های قانونی جهت پنهان‌ کردن فعالیت‌های مخرب مورد استفاده قرار می‌گیرد.

علاوه‌بر این بدافزار، Cicada سروری از WinVNC را برای کنترل از راه دور و درب پشتی Sodamster مستقر کرده است. در میان داده‌هایی که Cicada با بدافزار خود آن‌ها را جمع‌آوری می‌کند، جزئیات سیستم و فرآیند‌های آن فعال است و این توانایی را دارد تا بارهای متفاوت را دانلود و آن‌ها را اجرا کند.

همچنین، این بدافزار این توانایی را دارد تا جزئیات مورد نظر خود را از سیستم جمع‌آوری کند، فرآیند‌های در حال اجرا را برای خود جستجو کند و بارهای متفاوت را از سرورهای فرمان و کنترل، دانلود کند و به اجرا در بیاورد.

چندین ابزار دیگر که در این کمپین مشاهده شده‌اند، عبارت‌اند از:

• ابزار آرشیو RAR – برای فشرده‌سازی، رمز‌گذاری و احتمالاََ کمک کردن به فایل‌ها برای استخراج
• کشف سیستم/شبکه – راهی برای مهاجان جهت اطلاع از سیستم‌ها و یا سرویس‌هایی که به ماشینی آلوده متصل هستند.
• WMIEexec – ابزار خط فرمان‌دهنده‌ی مایکروسافت که می‌تواند برای اجرای دستورات در رایانه‌های راه‌دور استفاده شوند.
• NBTScan – ابزار منبع‌باز که توسط گروه APT مشاهده شده است و برای شناسایی در شبکه‌ای که آسیب‌ دیده است استفاده می‌شود.

محققان در گزارشی که امروز آن را منتشر کرده‌اند، خاطرنشان کرده‌اند که مدت اقامت مهاجمان در شبکه‌های برخی از قربانیانی که کشف شده‌ است، به‌اندازه‌ی 9 ماه زمان برده است.

حداقل دو عضو از گروه تهدید‌کننده‌ی APT10 در ایالات متحده به‌دلیل انجام فعالیت‌ هک رایانه‌ای برای کمک به اداره‌ی امنیتی دولتی تیانجین وزارت دولتی چین، جهت دریافت مالکیت معنوی و اطلاعات تجاری محرمانه از ارائه‌دهندگان خدمات مدیریت‌شده و سازمان‌ها دولتی ایالات متحده و بیش از 45 شرکت فناوری دیگر، متهم شده‌اند.