یک حمله سایبری با هدف قرار دادن سازمانهای ژاپنی و سایر سازمانهای آسیای شرقی شناسایی شده است که گمان میرود توسط گروه تهدید APT-C-60 هماهنگ شده باشد.
این حمله برای اولین بار در آگوست 2024 شناسایی شد، این حمله شامل ایمیلهای فیشینگ بود که به ،وان برنامههای شغلی برای نفوذ به بخشهای استخدام، وارد ، ب،زار از طریق پیوندهای م،ب میزب، شده در پلتفرمهای قانونی مانند Google Drive، پنهان شده بودند.
سری ها و تکنیک های حمله
بر اساس توصیه جدیدی که روز سه شنبه توسط JPCERT منتشر شد، این حمله با یک ایمیل فیشینگ حاوی لینک Google Drive آغاز شد.
این پیوند یک فایل VHDX – فرمت دیسک مجازی – را در سیستم قرب، دانلود می کند. در داخل فایل، یک فایل میانبر LNK م،ب به نام Self-Introduction.lnk با استفاده از یک فایل اجرایی قانونی، ،.exe، یک payload را اجرا کرد. علاوه بر این، payload یک دانلود کننده به نام SecureBootUEFI.dat ایجاد کرد و از طریق یک تکنیک COM hijacking به پایداری دست یافت.
تجزیه و تحلیل بیشتر نشان داد که دانلود کننده به دو سرویس قانونی متصل است:
-
StatCounterبرای شناسایی دستگاه های آلوده با استفاده از داده های رمزگذاری شده منحصر به فرد مانند نام رایانه
-
بیت باکتبرای بازیابی و اجرای بارهای اضافی
این ب،زار از رشته های داده رمزگذاری شده در URL ها و کلیدهای XOR برای مبهم ، اتصال و بار استفاده می کرد.
مک،سم های درب عقب و پایداری
محموله نهایی که برای اولین بار توسط محققان ESET در ماه آگوست با نام SpyGrace شناسایی شد، یک ب،زار پشتی است. این نوع، نسخه 3.1.6، با اجرای چندین دستور، از جمله بررسی اتصال شبکه و اجرای فایلها از دایرکتوریهای مشخص، مقداردهی اولیه میشود.
Backdoor همچنین از تکنیکهای پیشرفتهای مانند استفاده از توابع initterm برای اجرای فرآیندهای م،ب قبل از شروع نرمافزار زیربنایی استفاده میکند.
در مورد تکنیک های هواپیماربایی بیشتر بخو،د: هواپیماهای اسرائیلی از تلاش های “ربایی الکترونیکی” جان سالم به در می برند
پیامدهای منطقه ای و کمپین گسترده تر
شواهد نشان می دهد که این کمپین سازمان هایی را در ژاپن، کره ج،ی و چین هدف قرار داده است. استفاده از اسناد فریبنده در فایلهای VHDX با سایر کمپینهای مشاهده شده در شرق آسیا بین اوت تا سپتامبر 2024 مطابقت دارد.
این کمپینها به طور مداوم از سرویسهای قانونی مانند Bitbucket برای ارائه ب،زار و استفاده از تکنیکهای پیچیده تداوم بهرهبرداری میکنند و تاکتیکهای پیچیده APT-C-60 را برجسته میکنند.
به گفته JPCERT، این کمپین خطرات ناشی از مجرمان سایبری را که از خدمات قابل اعتماد سوء استفاده می کنند، برجسته می کند. از سازمانها خواسته میشود کانالهای استخدام را نظارت کنند، پیوندهای هر،مه را بررسی کنند و مک،سمهای پیشرفته تشخیص تهدید را برای کاهش خطرات مشابه به کار گیرند.
منبع: https://www.infosecurity-magazine.com/news/aptc60-targets-،an-using-trusted/