بدافزار Datper

امتیاز کاربران

ستاره فعالستاره فعالستاره فعالستاره فعالستاره فعال
 

بدافزار Datper

q1052

پژوهشگران امنیتی Cisco Talos یک گروه جاسوس سایبری با نام Tick را شناسایی کرده‌اند که در عملیات‌های اخیر خود از بدافزار Datper استفاده کرده است.
گروه Tick که با نام‌های Redbaldknight و Bronze Butler نیز شناخته می‌شود، در چند سال گذشته چندین حمله سایبری انجام داده است. با اینکه این گروه از ابزارهای سفارشی در هر عملیات استفاده کرده است، اما مهاجمان از الگوهای تکراری (مانند آی‌پی‌ها یا دامنه‌های مشابه) در بکارگیری از زیرساخت‌ها استفاده کرده‌اند.
براساس این الگوها، پژوهشگران مشابهت‌هایی را بین بدافزارهای Datper، xxmm backdoor و Emvidi در حملات یافتند.
بدافزار Datper که اخیرا مورد تحلیل قرار گرفته است، می‌تواند دستورهای shell را روی دستگاه هدف اجرا کند. همچنین می‌تواند نام‌هاست و اطلاعات درایو آن را نیز بدست آورد. پژوهشگران Talos می‌گویند که بردار آلودگی این بدافزار هنوز ناشناخته است.
Datper از یک وب‌سایتی که به آن نفوذ شده برای راه اندازی سرور C&C استفاده کرده است. این وب‌سایت مربوط به یک سرویس خشکشویی قانونی کره‌ای و آدرس آن whitepia[.]co.kr است. این وب‌سایت فاقد گواهی است و از رمزگذاری SSL استفاده نمی‌کند، در نتیجه برای انجام حملات آسیب‌پذیر است. وب‌سایت‌های دیگری نیز مشاهده شده که برای سرور C&C مورد استفاده قرار گرفتند. این موضوع فرض استفاده مهاجمین از تکنیک‌های حملات مبتنی بر وب مانند watering hole را تقویت می‌بخشد.
پس از آلوده شدن سیستم هدف، Datper یک شیء mutex ایجاد می‌کند و اطلاعات مختلفی را از سیستم قربانی از جمله اطلاعات سیستم و طرح صفحه‌کلید را دریافت می‌کند. بدافزار در ادامه یک درخواست HTTP GET را برای سرور C&C ارسال می‌کند.
بررسی‌های Cisco Talos نشان می‌دهد که در زیرساخت‌های استفاده شده توسط بدافزارهای Datper، xxmm backdoor و Emvidi، اشتراک‌هایی وجود دارد.

منبع:
https://www.securityweek.com/chinese-hackers-use-datper-trojan-recent-campaign

مرجع : مرکز مدیریت راهبردی افتا