واترینگ‌هل؛ ترفند CopyKittens برای توزیع

امتیاز کاربران

ستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعال
 

محققان امنیتی روند حملات سایبری-جاسوسی گروه CopyKittens را بررسی کردند که یکی از روش‌های توزیع خود را واترینگ ‌هل قرار داده‌است.

محققان امنیتی یک پویش سایبری عظیم و بزرگ را کشف کردند که به‌طور ویژه افراد مختلف در بخش‌های دولتی، دفاعی و آموزشی در کشورهای مختلف را هدف قرار داده‌اند. گفته می‌شود این حملات توسط یک گروه نفوذ ایرانی انجام شده است. هرچند گزارش این بررسی توسط شرکت ترندمیکرو و یک شرکت امنیتی از رژیم صهیونیستی صورت گرفته‌است.

محققان این گروه را CopyKittens نام‌گذاری کردند و گفته می‌شود عوامل آن حداقل از سال ۲۰۱۳ میلادی فعالیت‌های خود را آغاز کرده‌اند. گفتنی است این گروه نفوذ، افراد و سازمان‌ها را در کشورهایی همچون رژیم صهیونیستی، عربستان سعودی، ترکیه، آمریکا، اردن و آلمان هدف قرار داده‌است.

سازمان‌های هدف شامل نهادهای دولتی مانند وزارت امور خارجه، شرکت‌های دفاعی، شرکت‌های بزرگ فناوری اطلاعات، مؤسسات علمی، وزارت دفاع و مقامات شهرداری و کارمندان سازمان ملل متحد هستند. در آخرین گزارش محققان امنیتی، ابزارها و روش‌های حمله و زیرساخت‌های دستور و کنترل توضیح داده شده‌است.

 CopyKittens از روش‌های مختلفی برای آلوده کردن دستگاه‌ های هدف استفاده می‌کند که
یکی از آنها روشهای واترینگ‌ هُل است. در این روش کدهای جاوا اسکریپت در وب‌سایت‌های هدف تزریق می‌شود تا بهره ‌برداری های مختلف را توزیع کنند. علاوه‌بر حملات واترینگ ‌هُل، گروهCopyKittens  از روش‌های مختلف دیگری برای توزیع بدافزار استفاده می‌کند.

ایمیل‌هایی که در آنها پیوندی به وب‌سایت‌های مهاجمان وجود دارد. اسناد آفیس که در آنها از جدیدترین آسیب‌پذیری با شناسه‌ CVE-۲۰۱۷-۰۱۹۹ بهره‌برداری می‌شود. بهره‌برداری از کارگزارهای وب با استفاده از پویشگرهای آسیب ‌پذیری و ابزارهای SQLi. استفاده از رکوردهای رسانه‌ای-اجتماعی جعلی برای جلب اعتماد هدف‌ها و ارسال  پیوندهای مخرب به آنها.

ترندمیکرو در توضیحات خود نوشته‌است : «این گروه، ترکیبی از روش‌ها برای هدف قرار دادن سامانه‌ها و بسترهای مختلف را به کار می‌گیرد تا با آن یک ارتباط موفق، برقرار و آلودگی خود را توزیع کند».

برای آلوده کردن سامانه‌های هدف، گروهCopyKittens  از ابزارها و بدافزارهای خاص خود استفاده می‌کند و از سایر ابزارهای تجاری نیز بهره می‌برد.

بدافزاری با نام Matryoshka تروجان دسترسی از راه دوری است که این گروه توسعه داده و از پروتکل DNS برای ارتباطات دستور و کنترل خود استفاده می‌کند. این بدافزار قابلیت‌هایی مانند سرقت گذرواژه ‌ها، اسکرین گرفتن از صفحه‌ نمایش، ضبط کلیدهای فشرده‌شده جمع‌آوری و بارگذاری پرونده‌ها و ارائه‌ دسترسی به شِلMeterpreter  را داراست.

اولین نسخه از این بدافزار در سال ۲۰۱۵ میلادی مورد بررسی قرار گرفت و از جولای سال ۲۰۱۶ میلادی تا ژانویه‌ ۲۰۱۷ در دنیای واقعی استفاده از آن مشاهده شده ‌است. پس از آن نیز این گروه نسخه‌ ۲ از بدافزار Matryoshka را توسعه داده و از آن استفاده‌کرده‌اند. به کاربران توصیه شده برای جلوگیری از در خطر قرار گرفتن حساب‌های کاربری، احراز هویت دو‌عاملی را فعال کنند.