به گزارش کارگروه حملات سایبری سایبربان؛ بهتازگی کارشناسان شرکت امنیت سایبری بلک بری سایلنس (BlackBerry Cylance) باج افزاری به نام زپلین (Zeppelin) شناسایی کردهاند که به زبان دلفی و بر پایه کد بدافزار VegaLocker نوشتهشده و کاربران شرکتهای فناوری، خدمات درمانی، پزشکی و سلامت را در اروپا و آمریکای شمالی هدف قرار میدهد.
به اعتقاد کارشناسان، این بدافزار توسط گروه هکری روس زبان توسعه دادهشده و بهراحتی سفارشیسازی میشود و میتواند علیه یک قربانی معین مورداستفاده قرارگرفته و طبق درخواست مهاجم تنظیم گردد. زپلین همچنین میتواند بهعنوان فایلهای EXE ،DLL توزیعشده و یا از PowerShell بهره گیرد و از قابلیتهای دیگر زیر برخوردار است:
• عمل بهعنوان IP Logger و ردیابی آدرسهای آی پی و موقعیت قربانی،
• قابلیت ماندگاری دائمی در سیستم،
• متوقف ساختن سرویسهای خاص، غیرفعال کردن بازیابی فایلها، پاک کردن بکآپها و کپیهای سایه (shadow copy)،
• حذف فرایندهای اعلامشده از سوی مهاجم،
• بازگشایی فایلهایی که حین رمزنگاری قفلشدهاند،
• تخریب خود،
• تلاش برای راهاندازی یک بدافزار با امتیازات بالا.
تجزیهوتحلیل کد زپلین نشان میدهد که نخستین بار اوایل نوامبر سال جاری کامپایل شده است و از طریق حملات به زنجیره تأمین و انجام حملات گودال آب (Watering hole) و نیز از طریق ارائهدهندگان خدمات امنيت مدیریتشده (MSSP)، توزیع شده و به رمزنگار نهچندان بینامونشان Sodinokibi شبیهسازی میگردد.
حمله گودال آب به حملهای گفته میشود که هکرها با ایجاد حفرههای آبی برای قربانی سعی دارند با اجرای اسکریپتی بهصورت کاملاً مخفیانه قربانی را به سمت آن گودال هدایت کنند و از این طریق به سیستم قربانی نفوذ کنند، بهبیاندیگر، مهاجمان بدافزار را در برخی منابعی که قربانی از آن بازدید میکند، مستقر میسازند.
به گفته کارشناسان بلک بری سایلنس، زپلین بهعنوان سرویس در وب تاریک عرضه میشود و بسیاری از مجرمان سایبری آن را اجاره میکنند و برای اهداف خود استفاده میکنند، اما هنوز کمپین گستردهای برای توزیع آن مشاهده نشده است.
