شناسایی گروه هکری DRBControl

به گزارش کارگروه حملات سایبری سایبربان؛ به‌تازگی کارشناسان شرکت امنیت سایبری ترند میکرو (Trend Micro) و تلنت جامپ (Talent-Jump) موجی از حملات سایبری شناسایی کرده‌اند که علیه کاربران سایت‌های آنلاین قمار و شرط‌بندی در کشورهای جنوب شرقی آسیا، اروپا و خاورمیانه انجام‌شده است. 

کارشناسان ترند میکرو عامل این حملات را گروه دی‌آر‌بی کنترل (DRBControl) نام‌گذاری کرده‌اند. 

به اعتقاد آن‌ها هدف اصلی گروه دی‌آر‌بی جاسوسی بوده و اعضای آن به دنبال سرقت وجه نیستند و در حمله به شرکت‌ها، سورس کدها و پایگاه داده‌های آن‌ها را سرقت می‌کنند.  

گروه دی‌آر‌بی حملات خود را با ارسال ایمیل‌های فیشنگ آغاز کرده و به کارکنان شرکت‌های هدف پیوست‌های مخرب و تروجان ارسال می‌کند.  

ابزارهای مورداستفاده این گروه بسیار شبیه ابزارهایی است که توسط گروه‌های هکری دولتی Winnti و Emissary Panda مورداستفاده قرار می‌گیرند.

دی‌آر‌بی در حملات خود از دو درب پشتی ناشناخته و بدافزارهای PlugX و HyperBro بهره می‌گیرد. 

برخی از درب پشتی‌ها از سرویس دراپ‌باکس (Dropbox) به‌عنوان سرور کنترل (C&C) استفاده می‌کنند و به همین دلیل نیز کارشناسان ترند میکرو این گروه را DRopBox Control نام‌گذاری کرده‌اند. 

اعضای این گروه با بهره‌گیری از درب پشتی‌ها اقدام به بارگیری دیگر بدافزارها و ابزارهای هکری می‌کنند که قادرند اطلاعات باارزش را شناسایی و سرقت کنند.

از میان ابزارهایی که توسط این گروه مورداستفاده قرار می‌گیرند می‌توان به موارد زیر اشاره کرد:

• ابزارهای اسکن سرورهای NETBIOST،
• ابزارهای حملات بروت فورس،
• ابزارهایی برای دور زدن Windows UAC،
• ابزاری برای ترفیع امتیاز در هاست آلوده،
• ابزاری برای سرقت پسورد هاست‌های آلوده، 
• ابزار سرقت اطلاعات کلیپ بورد،
• ابزار بارگیری و اجرای کدهای مخرب روی هاست‌های آلوده،
• ابزاری برای به دست آوردن آدرس IP عمومی ایستگاه کاری،
• ابزاری برای ایجاد تونل به شبکه‌های خارجی.

 به گفته کارشناسان این دو شرکت اعضای گروه یاده شده از ماه ژوئیه 2019 تا ماه سپتامبر بیش از 280 رایانه را با استفاده از دو اکانت دراپ باکس آلوده کرده‌اند.