گروه حمله APT-C-60 ژاپن را با استفاده از سیستم عامل های قابل اعتماد هدف قرار می دهد

گروه حمله APT-C-60 ژاپن را با استفاده از سیستم عامل های قابل اعتماد هدف قرار می دهد

یک حمله سایبری با هدف قرار دادن سازمان‌های ژاپنی و سایر سازمان‌های آسیای شرقی شناسایی شده است که گمان می‌رود توسط گروه تهدید APT-C-60 هماهنگ شده باشد.

این حمله برای اولین بار در آگوست 2024 شناسایی شد، این حمله شامل ایمیل‌های فیشینگ بود که به ،وان برنامه‌های شغلی برای نفوذ به بخش‌های استخدام، وارد ، ب،زار از طریق پیوندهای م،ب میزب، شده در پلتفرم‌های قانونی مانند Google Drive، پنهان شده بودند.

سری ها و تکنیک های حمله

بر اساس توصیه جدیدی که روز سه شنبه توسط JPCERT منتشر شد، این حمله با یک ایمیل فیشینگ حاوی لینک Google Drive آغاز شد.

این پیوند یک فایل VHDX – فرمت دیسک مجازی – را در سیستم قرب، دانلود می کند. در داخل فایل، یک فایل میانبر LNK م،ب به نام Self-Introduction.lnk با استفاده از یک فایل اجرایی قانونی، ،.exe، یک payload را اجرا کرد. علاوه بر این، payload یک دانلود کننده به نام SecureBootUEFI.dat ایجاد کرد و از طریق یک تکنیک COM hijacking به پایداری دست یافت.

تجزیه و تحلیل بیشتر نشان داد که دانلود کننده به دو سرویس قانونی متصل است:

  • StatCounterبرای شناسایی دستگاه های آلوده با استفاده از داده های رمزگذاری شده منحصر به فرد مانند نام رایانه

  • بیت باکتبرای بازیابی و اجرای بارهای اضافی

این ب،زار از رشته های داده رمزگذاری شده در URL ها و کلیدهای XOR برای مبهم ، اتصال و بار استفاده می کرد.

مک،سم های درب عقب و پایداری

محموله نهایی که برای اولین بار توسط محققان ESET در ماه آگوست با نام SpyGrace شناسایی شد، یک ب،زار پشتی است. این نوع، نسخه 3.1.6، با اجرای چندین دستور، از جمله بررسی اتصال شبکه و اجرای فایل‌ها از دایرکتوری‌های مشخص، مقداردهی اولیه می‌شود.

Backdoor همچنین از تکنیک‌های پیشرفته‌ای مانند استفاده از توابع initterm برای اجرای فرآیندهای م،ب قبل از شروع نرم‌افزار زیربنایی استفاده می‌کند.

در مورد تکنیک های هواپیماربایی بیشتر بخو،د: هواپیماهای اسرائیلی از تلاش های “ربایی الکترونیکی” جان سالم به در می برند

پیامدهای منطقه ای و کمپین گسترده تر

شواهد نشان می دهد که این کمپین سازمان هایی را در ژاپن، کره ج،ی و چین هدف قرار داده است. استفاده از اسناد فریبنده در فایل‌های VHDX با سایر کمپین‌های مشاهده شده در شرق آسیا بین اوت تا سپتامبر 2024 مطابقت دارد.

این کمپین‌ها به طور مداوم از سرویس‌های قانونی مانند Bitbucket برای ارائه ب،زار و استفاده از تکنیک‌های پیچیده تداوم بهره‌برداری می‌کنند و تاکتیک‌های پیچیده APT-C-60 را برجسته می‌کنند.

به گفته JPCERT، این کمپین خطرات ناشی از مجرمان سایبری را که از خدمات قابل اعتماد سوء استفاده می کنند، برجسته می کند. از سازمان‌ها خواسته می‌شود کانال‌های استخدام را نظارت کنند، پیوندهای هر،مه را بررسی کنند و مک،سم‌های پیشرفته تشخیص تهدید را برای کاهش خطرات مشابه به کار گیرند.

منبع: https://www.infosecurity-magazine.com/news/aptc60-targets-،an-using-trusted/