به گزارش زوم تک به نقل از The Hacker News، محققان امنیت سایبری در مورد یک کمپین فیشینگ جدید هشدار میدهند که کاربران در تایوان را با خانوادههای بدافزاری مانند HoldingHands RAT و Gh0stCringe هدف قرار داده است.
فعالیت این گروه بخشی از یک کمپین گستردهتر است که پیشتر در ژانویه امسال، با ارسال پیامهای فیشینگ که خود را به عنوان اداره ملی مالیات تایوان جا میزدند، از چارچوب بدافزاری Winos 4.0 استفاده کرده بود. آزمایشگاههای FortiGuard شرکت Fortinet در گزارشی که با The Hacker News به اشتراک گذاشته شده، این موضوع را اعلام کردهاند.
این شرکت امنیت سایبری گفت که از طریق نظارت مستمر، نمونههای بدافزاری اضافی را شناسایی کرده و مشاهده کرده است که همان عامل تهدید، که با نام Silver Fox APT شناخته میشود، از اسناد PDF یا فایلهای ZIP آلوده به بدافزار استفاده میکند. این فایلها از طریق ایمیلهای فیشینگ توزیع میشوند تا بدافزارهای Gh0stCringe و نمونهای از بدافزار بر اساس HoldingHands RAT را منتشر کنند.
شایان ذکر است که هر دو بدافزار HoldingHands RAT (با نام مستعار Gh0stBins) و Gh0stCringe، نسخههایی از یک تروجان دسترسی از راه دور شناخته شده به نام Gh0st RAT هستند که به طور گسترده توسط گروههای هکری چینی استفاده میشود.
نقطه شروع این حمله یک ایمیل فیشینگ است که خود را به عنوان پیامهایی از سوی دولت یا شرکای تجاری نشان میدهد و از ترفندهایی مرتبط با مالیات، صورتحساب و بازنشستگی استفاده میکند تا دریافتکنندگان را به باز کردن فایل پیوست ترغیب کند. زنجیرههای حمله جایگزین نیز شناسایی شدهاند که از یک تصویر جاسازیشده استفاده میکنند که با کلیک روی آن، بدافزار را دانلود میکند.
فایلهای PDF نیز به نوبه خود حاوی لینکی هستند که اهداف احتمالی را به صفحهای برای دانلود هدایت میکند که یک آرشیو ZIP را میزبانی میکند. در داخل این فایل، چندین فایل اجرایی قانونی، لودرهای شلکد و شلکد رمزگذاریشده وجود دارد.
دنباله آلودگی چندمرحلهای شامل استفاده از لودر شلکد برای رمزگشایی و اجرای شلکد است که چیزی نیست جز فایلهای DLL که توسط باینریهای قانونی با استفاده از تکنیکهای DLL side-loading بارگذاری میشوند. بارهای میانی که به عنوان بخشی از حمله مستقر میشوند، شامل قابلیتهای ضد-VM و ارتقاء امتیازات هستند تا اطمینان حاصل شود که بدافزار بدون هیچ مانعی روی میزبان آلوده اجرا میشود.
این حمله با اجرای “msgDb.dat” به اوج خود میرسد، که توابع فرمان و کنترل (C2) را برای جمعآوری اطلاعات کاربر و دانلود ماژولهای اضافی برای تسهیل مدیریت فایل و قابلیتهای دسکتاپ از راه دور پیادهسازی میکند.
Fortinet اعلام کرد که همچنین مشاهده کرده است که عامل تهدید، بدافزار Gh0stCringe را از طریق پیوستهای PDF در ایمیلهای فیشینگ منتشر میکند که کاربران را به صفحات HTML دانلود سند هدایت میکند.
این شرکت گفت: “زنجیره حمله شامل قطعات متعددی از شلکد و لودرها است که جریان حمله را پیچیده میکند.” “در Winos، HoldingHands و Gh0stCringe، این گروه تهدید به طور مداوم بدافزار و استراتژیهای توزیع خود را تکامل میدهد.”





نظرات در مورد : گروه APT Silver Fox تایوان را با بدافزارهای پیچیده Gh0stCringe و HoldingHands RAT هدف قرار میدهد