به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، در گزارشی که سهشنبه توسط شرکت امنیت سایبری ترند میکرو (Trend Micro) منتشر شد، کارن (Charon) بهعنوان باجافزاری با قابلیتهای مشابه تهدیدات پیشرفته و پایدار (APT) توصیف شده است.
این باجافزار پیش از رمزگذاری فایلها، آنتیویروس و سایر سرویسهای امنیتی را غیرفعال میکند، نسخههای پشتیبان را حذف و سطل بازیافت را خالی میکند تا روند بازیابی سختتر شود.
یادداشت باجخواهی که برای هر قربانی بهطور اختصاصی تهیه میشود، شامل نام سازمان، فهرست دادههای رمزگذاریشده و دستورالعملهای پرداخت است؛ نشانهای از هدفگیری دقیق و برنامهریزیشده، نه یک کارزار گسترده و تصادفی.
به گفتهی ترند میکرو، گروه هکری پشت این کارزار از روشهایی مشابه گروه ارث باکسیا (Earth Baxia) استفاده کرده است؛ گروهی وابسته به چین که به هدفگیری نهادهای دولتی در منطقه آسیا-اقیانوسیه شهرت دارد.
این شباهتها میتواند به معنای دخالت مستقیم ارث باکسیا، تقلید عمدی مهاجمان از این گروه، یا توسعهی مستقل تاکتیکهای مشابه باشد؛ موضوعی که پژوهشگران میگویند در حال حاضر امکان انتساب قطعی آن وجود ندارد.
ترند میکرو مشخص نکرده است که کارن در آخرین حمله از چه روشی منتقل شده است.
اگر هکرها همان روشهای پیشین ارث باکسیا را دنبال کرده باشند، احتمالاً از ایمیلهای فیشینگ هدفمند استفاده شده است.
در کارزارهای پیشین، ارث باکسیا نهادهای دولتی تایوان و دیگر کشورهای آسیا-اقیانوسیه از جمله فیلیپین، کره جنوبی، ویتنام و تایلند را هدف قرار داده و اغلب از طریق ایمیلهای فیشینگ هدفمند بدافزار خود را منتقل کرده است.
مهمترین اهداف این گروه شامل نهادهای دولتی، شرکتهای مخابراتی و بخش انرژی بودهاند.
پژوهشگران عنوان کردند:
این مورد نمونهای نگرانکننده از بهکارگیری تکنیکهای در سطح تهدیدات پیشرفته و پایدار توسط مجریان باجافزار است.
آنها همچنین هشدار دادند که این کارزار میتواند ریسک تجاری قابلتوجهی ایجاد کند که احتمالاً منجر به اختلال عملیاتی، از دست رفتن دادهها و هزینههای مالی ناشی از توقف فعالیتها خواهد شد.
