هدف قرار دادن نهادهای آموزشی

به گزارش کارگروه حملات سایبری سایبربان، به نقل از «securityaffairs»؛ مهاجمان کره ی شمالی، با استفاده حملات فیشینگ هدف دار موسسات آموزشی را مورد حمله قرار می دهند. پیام های فیشینگ، شامل لینکی به یک وب سایت است. این وب سایت شامل فایل های طعمه بوده و تلاش می کند کاربر را به برای نصب یک افزونه ی گوگل کروم مخرب، فریب دهد.

بسیاری از قربانیان کمپین یاد شده که «Stolen Pencil» نام دارد، در دانشگاه های مختلف، در مهندسی پزشکی تخصص داشته اند.

مهاجمان با به کار گیری ابزارهای در دسترس، از ماندگاری حملات اطمینان حاصل می کنند؛ اما با توجه به گفته های شرکت «NetScout»، آن ها امنیت عملیاتی ضعیفی داشته اند. به عنوان مثال صفحه کلید کره ای، مرورگرهای وب باز در کره، مترجمان انگلیسی به کره ای.

در تجزیه و تحلیل منتشر شده توسط کارشناسان آمده است:

انگیزه نهایی در پشت این حملات، مشخص نیست؛ اما مجرمان در پیدا کردن اعتبارات، مهارت دارند. به افراد مشخص، ایمیل های هدف دار فیشینگ ارسال می شود که آن ها را به یک وب سایت هدایت کرده، فایل های طعمه ای را نمایش می دهند. این اسناد بلافاصله درخواست نصب یک افزونه ی مخرب گوگل کروم را ارسال می کنند. هنگامی که یک موقعیت پایدار به دست می آید، هکرها از ابزارهای در دسترس برای اطمینان از ماندگاری، بهره می گیرند. برای مثال از پروتکل دسترسی از راه دور دسکتاپ‌ (RDP) برای حفظ دسترسی استفاده می شود.

هکرها از بسیاری از صفحات فیشینگ استفاده کرده اند و پیچیده ترین آن ها، دانشگاهیان را مورد هدف قرار داده است. این صفحات، یک فایل PDF بی خطر را در یک آی فریم (IFRAME) نمایش داده و کاربران را به یک افزونه ی مدیریت فونت (Font Manager) از فروشگاه وب کروم هدایت می کند.

افزونه ی مخرب، یک اسکریپت جاوا را از وبگاهی مجزا، بارگیری می کند. کارشناسان تنها یک فایل حاوی کد قانونی جی کوئری (jQuery) یافته اند. احتمالا مجرمان، کد مخرب را عوض کرده تا تحلیل و بررسی را سخت کنند. افزونه ی مخرب به مهاجمان اجازه خواندن داده ها را از همه ی سایت هایی که توسط کاربر قابل دسترسی است، می دهد. این وضعیت بیان می کند مهاجمان به دنبال سرقت رمزها و کوکی های (cookies) مرورگر بوده اند.

متخصصان اشاره کرده اندکه مهاجمان از بدافزار برای به خطر انداختن هدف ها استفاده نکرده اند. هکرهای کمپین نام برده، برای دسترسی به سامانه های آلوده، پروتکل دسترسی از راه دور به دسکتاپ را به کار بردند. محققان، دسترسی از راه دور را که روزانه از ساعت 06:00 تا 09:00 به ساعت جهانی (01:00 تا 04:00 به ساعت شرقی) رخ می داد، مشاهده کردند.

مهاجمان Stolen Pencil از گواهینامه های دزدیده شده یا آسیب دیده برای امضای چندین فایل «PE» که در این کمپین استفاده شده است، بهره گرفتند. محققان 2 مجموعه ابزار امضا شده را با نام های «MECHANICAL» و «GREASE» مشاهده کرده اند. لاگ کلیدها توسط «MECHANICAL» را ثبت شده و آدرس یک کیف پول اتریوم را با آدرس کیف پول مهاجم، جایگزین می کند. همچنین «GREASE»، یک حساب کاربری مدیر ویندوز را به سامانه اضافه کرده و پروتکل دسترسی از راه دور به دسکتاپ را  فعال می کند.

پژوهشگران همچنین یک آرشیو «ZIP» را کشف کرده اند که شامل ابزارهایی برای اسکن کردن پورت، نسخه برداری از حافظه و رمزهای عبور و دیگر فعالیت های هک بود. محتوای فهرست ابزارها، «KPortScan»، «PsExec»، فایل های دسته ای برای فعالسازی پروتکل از راه دور دسکتاپ، «Procdump»، «Mimikatz»، مجموعه ای پایا از کدهای مخرب و ابزارهای «Nirsoft»، مانند بازیابی رمز عبور پست الکترونیکی (Mail PassView)، بازیابی رمز عبور شبکه (Network Password Recovery)، مشاهده رمز عبور دسکتاپ از راه دور (Remote Desktop PassView)، «SniffPass» و بازیابی رمز مرورگر وب (WebBrowserPassView) است.

کمپین «The STOLEN PENCIL» احتمالا تنها یک مجموعه ی کوچک از فعالیت های هکرها است. پژوهشگران امنیتی توضیح داده اند که استفاده از روش های اساسی، برنامه های در دسترس، سرقت ارز دیجیتالی (cryptojacker) ذکر شده و استفاده از زبان کره ای نشان می دهد که فرد پشت این کمپین، از کره ای شمالی است.

شرکت «NetScout» در نتیجه گفت:

در حالی که توانستیم دید کلی از ابزارها، روش های فنی و روند افراد پشت کمپین یاد شده به دست بیاوریم، مشخص است که این ها، تنها روزنه ی کوچکی به فعالیت آنها است. این افراد از روش های نسبتا پایه ای استفاده می کنند. بسیاری از مجموعه ابزارهای آن ها برنامه  از پیش ساخته شده بوده و آن ها تلاشی برایشان نکرده اند. این روش ها، همراه با سرقت رمز پول، نوعی از شیوه های جاسوسی کره شمالی است. علاوه بر این، امنیت عملیاتی ضعیف اپراتورها، زبان کره ای را در وب سایت ها مشاهده شده و انتخاب صفحه کلید آشکار گشته است.