شناسایی حملات سایبری علیه روسیه و کشورهای مستقل مشترک‌المنافع

به گزارش کارگروه بین‌الملل سایبربان؛ مرکز تخصصی امنیت فناوری‌های مثبت (PT ESC) یک گروه سایبری جدید به نام کوآلای تنبل (Lazy Koala) را کشف کرد که قربانیان آن سازمان‌هایی از روسیه و 6 کشور مستقل مشترک‌المنافع (CIS) هستند که تا به امروز تقریباً 867 حساب کارمند در معرض خطر قرار گرفته است.

به عنوان بخشی از تحقیقات تهدید، متخصصان این مرکز یک سری حملات را با هدف سازمان‌هایی در روسیه، بلاروس، قزاقستان، ازبکستان، قرقیزستان، تاجیکستان و ارمنستان کشف کردند. دولت‌ها و سازمان‌های مالی و نیز مؤسسات پزشکی و آموزشی، اهداف اصلی بودند. متخصصان فناوری‌های مثبت به سازمان‌های آسیب دیده اطلاع دادند که در معرض خطر قرار گرفته‌اند.

تحقیقات نشان می‌دهد که هدف اصلی مهاجمان سرقت حساب‌های سرویس‌های مختلف از رایانه‌های کارکنان سازمان دولتی بوده است. گام بعدی احتمالاً استفاده از این اطلاعات در حملات بیشتر به ساختارهای داخلی سازمان‌ها بود. داده‌های دزدیده شده را می‌توان در بازار خدمات سایبری وب تاریک نیز فروخت.

تکنیک‌های اساسی

پشت این حملات یک گروه ناشناخته وجود دارد که کارشناسان به دلیل تکنیک‌های اولیه و نام کاربری آن را کوآلای تنبل نامیده‌اند. کوالا فردی است که ربات‌های تلگرام را با اطلاعات دزدیده شده مدیریت می‌کند. محققان قادر به برقراری ارتباط با گروه‌های از قبل شناخته شده با استفاده از تکنیک‌های مشابه نبودند.

دِنیس کوشینوف (Denis Kuvshinov)، رئیس تجزیه و تحلیل تهدید مرکز تخصصی امنیت فناوری‌های مثبت، گفت : 

«کارت ویزیت گروه جدید این است : سخت‌تر به معنای بهتر نیست. کوالای تنبل با ابزارها، تاکتیک‌ها و تکنیک‌های پیچیده خود را خسته نمی‌کند، اما همچنان کار را انجام می‌دهند. سلاح اصلی آن‌ها یک بدافزار بدوی دزد رمز عبور است که ما فرض می‌کنیم با استفاده از فیشینگ اولیه توزیع شده است. کلاهبرداران قربانیان را متقاعد می‌کنند که یک فایل پیوست را باز و فایل را در مرورگر راه‌اندازی کنند. برای هر کشور، پیوست حتی به زبان محلی است. بدافزار پس از استقرار خود در دستگاه آلوده، داده‌های سرقت شده را با استفاده از تلگرام، ابزار مورد علاقه مهاجمان، استخراج می‌کند. ما به قربانیان اطلاع دادیم و معتقدیم که سرنوشت داده‌های دزدیده شده، فروش مجدد و استفاده در حملات بعدی به ساختارهای داخلی سازمان‌ها است.»
 

به گفته کارشناسان، فیشینگ یکی از راه‌های اصلی نفوذ مهاجمان به زیرساخت‌ها است. به کاربران توصیه می‌شود پیام‌های مشکوک را باز، لینک‌های ناشناس را دنبال و نرم‌افزار را از سایت‌ها و تورنت‌های مشکوک دانلود نکنند. در عوض، از نسخه‌های دارای مجوز از منابع قابل اعتماد استفاده کنند. کارکنان باید از آخرین تکنیک‌های فیشینگ و کلاهبرداری‌ها مطلع شوند.
 

ابزارهای امنیتی تخصصی

این حملات را می‌توان با استفاده از ابزارهای امنیتی تخصصی شناسایی کرد، در حالیکه تجزیه و تحلیل و پیشگیری از حملات باید متخصصان بررسی حوادث سایبری را شامل شود.

«MaxPatrol SIEM» می‌تواند رویداد کلیدی سرقت اطلاعات را با قانون «Credential_Access_to_Passwords_Storage» و مراحل قبلی (فیشینگ و انتقال داده) را با استفاده از «Run_Masquerading_Executable_File» و قوانین ارتباط مشکوک (Suspicious_Connection) شناسایی کند. سیستم تحلیل رفتاری ترافیک شبکه «PT NAD» با استفاده از فیلتر «tls.server_name == "api.telegram.org» تماس‌ها را به «API» تلگرام شناسایی و اعلان‌های راحت را در مورد آنها تنظیم می‌کند. اگر یک هاست جدید شروع به دسترسی به API تلگرام کند، PT NAD یک اعلان به اپراتور مرکز عملیات امنیتی (SOC) ارسال می‌کند. «PT Sandbox» اقدامات این گروه APT را با استفاده از قاعده‌ای که به طور خاص برای آنها نوشته شده شناسایی می‌کند : یک حکم تحلیل رفتاری «Trojan-PSW.Win32.LazyStealer.n». حملات مشابه را می‌توان با استفاده از سیستم‌های حفاظت نقطه پایانی مانند «MaxPatrol EDR» نیز شناسایی کرد.