محققان بدافزار "Whiffy Recon" را که توسط این سازمان مستقر شده بود، کشف کردند بات نت SmokeLoader، که یک اسکن Wi-Fi سفارشی قابل اجرا برای سیستم های ویندوز است که مکان های فیزیکی قربانیان را ردیابی می کند.
Whiffy Recon نام خود را از تلفظ Wi-Fi استفاده شده در بسیاری از کشورهای اروپایی و روسیه گرفته است ("wiffy" به جای آمریکایی "why fie"). طبق گفتهها، این کارتها یا دانگلهای Wi-Fi را در سیستمهای در معرض خطر جستجو میکند و سپس هر 60 ثانیه نقاط دسترسی Wi-Fi (AP) را اسکن میکند. گزارش این هفته از Secureworks Counter Threat Unit.
سپس با وارد کردن دادههای AP به API مکان جغرافیایی Google، موقعیت سیستم آلوده را مثلث میکند و سپس دادههای مکان را به یک دشمن ناشناس ارسال میکند.
داده های موقعیت جغرافیایی برای حملات بعدی
Rafe Pilling، مدیر تحقیقات تهدید برای واحد مقابله با تهدید Secureworks، میگوید که در حالی که فاصله اسکن 60 ثانیه برای APها وجود دارد، مشخص نیست که آیا هر مکان ذخیره میشود یا اینکه آخرین موقعیت ارسال شده است.
این امکان وجود دارد که کارگری یک لپتاپ با Whiffy Recon روی آن حمل کند می توان نقشه برداری کرد مسافرت بین خانه و محل کسب و کار،” او می گوید.
درو اشمیت، تحلیلگر ارشد تیم تحقیقاتی امنیتی و اطلاعاتی GuidePoint (GRIT)، میگوید که بینش در مورد حرکات افراد ممکن است الگوهایی را در رفتار یا مکانها ایجاد کند که ممکن است امکان هدفگیری خاصتری را فراهم کند.
او میگوید: «این میتواند برای ردیابی افراد متعلق به یک سازمان خاص، دولت یا نهاد دیگر استفاده شود. مهاجمان میتوانند بهطور انتخابی بدافزار را زمانی که سیستم آلوده به طور فیزیکی در یک مکان حساس یا در زمانهای خاص قرار گرفته است، به کار گیرند که احتمال موفقیت عملیاتی و تأثیر بالایی را به آنها میدهد.»
شاون سوربر، مدیر ارشد مدیریت حساب فنی در Tanium، اشاره میکند که این گزارش صنعت یا بخش خاصی را به عنوان هدف اصلی مشخص نمیکند، اما او میافزاید: «چنین دادههایی میتوانند برای جاسوسی، نظارت یا هدفگیری فیزیکی ارزشمند باشند».
او میافزاید که این میتواند نشان دهد که نهادهای دولتی یا وابسته به دولت که در کمپینهای طولانیمدت جاسوسی سایبری شرکت میکنند، پشت این کمپین هستند. برای مثال، APT35 ایران در کمپین اخیر به شناسایی مکان پرداخت به گفته محققان در آن زمان، اهداف رسانهای اسرائیل، احتمالاً در خدمت حملات فیزیکی احتمالی است.
او توضیح میدهد: «چند گروه APT به خاطر منافع خود در جاسوسی، نظارت و هدفگیری فیزیکی شناخته شدهاند، که اغلب توسط اهداف سیاسی، اقتصادی یا نظامی کشورهایی که آنها را نمایندگی میکنند هدایت میشوند.
SmokeLoader: An Attribution Smokescreen
روال عفونت با ایمیل های مهندسی اجتماعی که دارای یک آرشیو فایل فشرده مخرب هستند شروع می شود. معلوم می شود که یک فایل چند زبانه است که هم شامل یک سند فریبنده و یک فایل جاوا اسکریپت است.
سپس از کد جاوا اسکریپت برای اجرای بدافزار SmokeLoader استفاده میشود که علاوه بر انداختن بدافزار بر روی دستگاه آلوده، نقطه پایانی را با یک فرمان و کنترل (C2) ثبت میکند. سرور و آن را به عنوان یک گره در بات نت SmokeLoader اضافه می کند.
در نتیجه، آلودگیهای SmokeLoader پایدار هستند و میتوانند بدون استفاده در نقاط پایانی ناخواسته پنهان شوند تا زمانی که گروهی بدافزاری را که میخواهند آن را مستقر کنند، داشته باشند. عوامل مختلف تهدید دسترسی به بات نت را خریداری می کنند، بنابراین همان عفونت SmokeLoader را می توان در طیف گسترده ای از کمپین ها استفاده کرد.
پیلینگ توضیح می دهد: «برای ما معمول است که چندین گونه بدافزار را مشاهده کنیم که به یک عفونت SmokeLoader منتقل می شود. «SmokeLoader بیرویه است و بهطور سنتی توسط مجرمان سایبری با انگیزه مالی استفاده و اداره میشود».
اشمیت اشاره می کند که با توجه به ماهیت خدماتی آن، تشخیص اینکه در نهایت چه کسی پشت هر چیزی است دشوار است. کمپین سایبری که از SmokeLoader به عنوان ابزار دسترسی اولیه استفاده می کند.
او میگوید: «بسته به لودر، میتواند تا 10 یا 20 بار مختلف وجود داشته باشد که میتوانند بهطور انتخابی به سیستمهای آلوده تحویل داده شوند، که برخی از آنها مربوط به باجافزار و حملات جرایم الکترونیکی هستند در حالی که برخی دیگر انگیزههای متفاوتی دارند».
از آنجایی که عفونتهای SmokeLoader بیرویه هستند، استفاده از Whiffy Recon برای جمعآوری دادههای موقعیت جغرافیایی ممکن است تلاشی برای محدود کردن و تعریف اهداف برای فعالیتهای بعدی جراحی بیشتر باشد.
اشمیت میگوید: «از آنجایی که این توالی حمله به گسترش خود ادامه میدهد، جالب است که ببینیم Whiffy Recon به عنوان بخشی از زنجیره بزرگتر پس از بهرهبرداری چگونه استفاده میشود.»
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. خودرو / خودروهای الکتریکی، کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- ChartPrime. بازی معاملاتی خود را با ChartPrime ارتقا دهید. دسترسی به اینجا.
- BlockOffsets. نوسازی مالکیت افست زیست محیطی. دسترسی به اینجا.
- منبع: https://www.darkreading.com/attacks-breaches/whiffy-recon-malware-transmits-device-location-every-60-seconds
- : دارد
- :است
- :نه
- $UP
- 10
- 20
- 60
- a
- دسترسی
- مطابق
- حساب
- مدیریت حساب
- فعالیت
- بازیگران
- اضافه
- می افزاید:
- اجازه دادن
- امریکایی
- an
- روانکاو
- و
- هر
- API
- APT
- بایگانی
- هستند
- صف
- AS
- At
- حمله
- حمله
- به عقب
- BE
- پشت سر
- بودن
- میان
- هر دو
- بات نت
- کسب و کار
- اما
- خرید
- by
- کمپین بین المللی حقوق بشر
- مبارزات
- CAN
- کارت ها
- انجام
- حمل
- حمل
- زنجیر
- رمز
- مشترک
- در معرض خطر
- ادامه
- میتوانست
- مقابله با
- کشور
- سفارشی
- مجرمان سایبری
- داده ها
- تعريف كردن
- تحویل داده
- بستگی دارد
- گسترش
- مستقر
- دستگاه
- مختلف
- مدیر
- سند
- میکند
- رانده
- رها کردن
- هر
- اقتصادی
- تلاش
- ایمیل
- نقطه پایانی
- نقاط پایان
- تعامل
- مهندسی
- اشخاص
- موجودیت
- جاسوسی
- ایجاد
- اتر (ETH)
- اروپایی
- کشورهای اروپایی
- هر
- اجرا کردن
- توضیح می دهد
- تغذیه
- پرونده
- به لحاظ مالی
- برای
- از جانب
- جمع آوری
- دادن
- داده
- گوگل
- دولت
- گروه
- گروه ها
- سخت
- آیا
- he
- زیاد
- صفحه اصلی
- چگونه
- HTTPS
- if
- تأثیر
- in
- نشان دادن
- افراد
- صنعت
- عفونت
- عفونت
- اول
- بینش
- نمونه
- در عوض
- اطلاعات
- جالب
- منافع
- به
- اسرائیلی
- IT
- ITS
- جاوا اسکریپت
- JPG
- تنها
- شناخته شده
- لپ تاپ
- بزرگتر
- رهبری
- بارکننده
- واقع شده
- محل
- مکان
- دستگاه
- نرم افزارهای مخرب
- مدیریت
- بسیاری
- ممکن است..
- رسانه ها
- نظامی
- بیش
- اکثر
- انگیزه
- انگیزه
- جنبش ها
- چندگانه
- نام
- سازمان ملل
- طبیعت
- گره
- اهداف
- مشاهده کردن
- رخ می دهد
- of
- غالبا
- on
- عمل
- قابل استفاده
- or
- کدام سازمان ها
- دیگر
- دیگران
- خارج
- بخش
- ویژه
- الگوهای
- فیزیکی
- از نظر جسمی
- افلاطون
- هوش داده افلاطون
- PlatoData
- نقطه
- سیاسی
- موقعیت
- ممکن
- احتمالا
- پتانسیل
- اصلی
- احتمال
- باجافزار
- اخیر
- ثبت
- مربوط
- گزارش
- نشان دادن
- تحقیق
- محققان
- نتیجه
- روسیه
- s
- همان
- می گوید:
- پویش
- اسکن
- ثانیه
- بخش
- تیم امنیت لاتاری
- دیدن
- جستجو می کند
- می فرستد
- ارشد
- حساس
- دنباله
- سرویس
- چند
- تنها
- So
- آگاهی
- مهندسی اجتماعی
- برخی از
- خاص
- شروع می شود
- ذخیره شده
- فشارها
- موفقیت
- چنین
- جراحی
- نظارت
- سیستم
- سیستم های
- طول می کشد
- هدف
- هدف گذاری
- اهداف
- تیم
- فنی
- گفتن
- که
- La
- شان
- آنها
- سپس
- آنجا.
- آنها
- این
- این هفته
- تهدید
- بازیگران تهدید
- زمان
- بار
- به
- پیگردی
- به طور سنتی
- سفر
- تبدیل
- در نهایت
- کشف
- واحد
- ناشناخته
- تا
- استفاده نشده
- us
- استفاده کنید
- استفاده
- استفاده
- ارزشمند
- مختلف
- قربانیان
- می خواهم
- هفته
- چه زمانی
- چه
- که
- در حین
- WHO
- چرا
- وای فای
- وسیع
- اراده
- پنجره
- با
- در داخل
- کارگر
- خواهد بود
- می داد
- زفیرنت
- زیپ