جاسوس های روسی از طریق حمله DDE بدافزارها را توزیع می کنند!

گروه های جاسوسی سایبری روسی مسوم به APT28 و خرس فانتزی اقدام به ارسال بدافزار برای کاربران هدف خود کرده اند. این کار با استفاده از تکنیک های جدید نظیر اسناد مایکروسافت آفیس و DDE (Data Dynamic Data Exchange) انجام شده است.

محققان هشدار دادند DDE که یک پروتکل برای تبادل اطلاعات بین برنامه‌های ویندوز، می‌تواند توسط هکرها به‌عنوان ابزاری نظیر ماکرو در حملات مورداستفاده قرار گیرد و اسناد مخرب را توزیع کند. شرکت‌های امنیتی گزارش دادند چندین حمله ی اعمال‌نفوذ DDE برای نشر بدافزار ازجمله باج افزار Locky را کشف کرده اند.

مایکروسافت اعلام کرد که DDE با Object Linking و Embedding (OLE) جایگزین شده است که قابلیت های امنیتی آن را گسترش دهد.

در حملات APT28 که توسط McAfee کشف شد، جاسوسان سایبری سند مربوط به حمله شهر نیویورک را برای ارائه‌ی یک بدافزار استفاده کردند. این حمله از حادثه شهر نیویورک برای فریب افراد استفاده کرده است. بدافزار عموما توسط مجرمان به‌عنوان ابزار کشف مورداستفاده قرار می‌گیرد و از طریق یک سرور راه دور با استفاده از فرمان‌های PowerShell دانلود می‌شود.

یکی دیگر از حمله های اخیر APT28، استفاده از یک سند CyCon U.S بود. این سند یکی از اسناد اجلاس تاتو و مرکز تعلیم و تربیت دفاعی سایبری (CCDCOE) در همکاری با موسسه Cyber Intelligence بوده است. حمله CyCon به یک اسکریپت VBA مخرب متکی بود و DDE را شامل نمی‌شد.

محققان McAfee بیان کردند: “با توجه به تبلیغات کمپین Cy Con U.S، ممکن است اعضای APT28  از اسکریپت VBA استفاده‌شده در اقدامات گذشته استفاده نکنند و تکنیک DDE را برای دور زدن امنیت شبکه انتخاب کنند.” .

همچنین آن‌ها گفتند: “استفاده از رویدادهای اخیر داخلی و تمرکز نظامی برجسته ایالات‌متحده بر بازدارندگی از تجاوز روسیه، توانایی و علاقه APT28 در بهره‌برداری از رویدادهای ژئوپلیتیک برای عملیاتشان را دوچندان کرده است.”

 

منبع خبر: http://www.securityweek.com/russia-linked-spies-deliver-malware-dde-attack

پاسخی بگذارید