بر اساس گزارش های شرکت Microsoft و مؤسسه Citizen Lab در تاریخ ۲۴ تیرماه ۱۴۰۰، یک بدافزار ساخت یکی از شرکت های رژیم اشغالگر قدس Candiru با سوءاستفاده از دو آسیب پذیری روز – صفر جدید ویندوز در حال آلوده سازی دستگاه قربانیان به بدافزار DevilsTongue است.
Candiru شرکتی با فعالیتهای مخفی است که دفتر آن در فلسطین اشغالی قرار دارد. نام این شرکت در سال های گذشته به صورت مکرر تغییر داده شده است.
به گفته Citizen Lab، این شرکت ابزارهای جاسوسی سایبری ساخت خود را فقط به دولتها و نهادهای وابسته به خود در کشورهای مختلف میفروشد و این ابزارها قادر به جاسوسی از تلفنهای همراه دارای سیستمعاملهای iOS و Android، کامپیوترهای مجهز به سیستمعاملهای OSX و Windows و حسابهای کاربری در بسترهای رایانش ابری هستند.
این ابزارهای جاسوسی یا بهعبارتدیگر سلاح های سایبری به مشتریان این شرکت امکان میدهند تا با نفوذ به کامپیوترها، تلفنهای همراه، زیرساختهای شبکه و بهطورکلی هر دستگاه متصل به اینترنت متعلق به اهداف خود، کنترل آنها را در اختیار گرفته و در ادامه عملیات موردنظر خود را به اجرا درآورند. تحقیقات Microsoft در خصوص DevilsTongue پس از آن آغاز شد که Citizen Lab نمونه بدافزارهایی را که بر روی دستگاه یکی از قربانیان شناسایی کرده بود به اشتراک گذاشت. این نمونه بدافزارها از دو آسیبپذیری CVE-۲۰۲۱-۳۱۹۷۹ و CVE-۲۰۲۱-۳۳۷۷۱ که هر دو در ماه ژوئیه توسط Microsoft ترمیم شدند، سوءاستفاده میکردند.
محققان Microsoft حداقل ۱۰۰ قربانی DevilsTongue را در کشورهای مختلف از جمله ایران شناسایی کردهاند.
در حملات اخیر، مهاجمان با سوءاستفاده از زنجیرهای از اکسپلویتها اقدام به آلودهسازی دستگاه قربانی به DevilsTongue میکنند.
DevilsTongue مهاجمان را قادر به جمعآوری و سرقت فایلهای قربانیان و رمزگشایی و سرقت پیامهای برخی پیامرسانها، سرقت کوکیها و رمزهای عبور ذخیره شده از LSASS و مرورگرهای رایج میسازند.
همچنین با بهکارگیری کوکیهای ذخیره شده بر روی دستگاه قربانی اطلاعات حساس و تصاویر تبادل شده در سایتهایی همچون موارد زیر را استخراج میکند:
- Gmail
- Yahoo
- Mail.ru
- Odnoklassniki
- Vkontakte
از همه بدتر این که در برخی از این سایتها، DevilsTongue قادر به ارسال هر نوع پیام از طرف قربانی به هر فردی است که پیشتر قربانی پیامی به او ارسال کرده است. بدین ترتیب مهاجمان میتوانند با استفاده از این قابلیت، پیام حاوی لینک یا پیوست مخرب را به افراد بیشتری ارسال کنند. به دلیل شناخت دریافتکنندگان از فرستنده و اعتماد به او، احتمال به دام افتادن آنها در کلیک بر روی لینک افزایش مییابد.
همچنین، در اکثر مواقع در انتشار تهدیدات Candiru از تکنیکهای مهندسی اجتماعی بهره گرفته میشود. برای مثال Citizen Lab بیش از ۷۵۰ سایت مرتبط با زیرساخت Candiru را کشف کرده است. به گفته محققان، طراحی و نامگذاری بسیاری از این دامنهها تداعیکننده دامنه رسانههای بینالمللی، شرکتهای معروف، شبکههای اجتماعی و نهادهای مدنی است که نمونههایی از آنها در تصویر زیر قابلمشاهده است.
در یکی از موارد مهاجمان از دامنه جعلی tehrantimes [.]org برای به دام انداختن قربانیان بهره گرفته بودند. این در حالی است که نشانی صحیح و واقعی روزنامه تهران تایمز، tehrantimes.com است.
متخصصان امنیتی مرکز مدیریت راهبردی افتا اشاره میکنند اطمینان از اعمال کامل اصلاحیههای امنیتی، بهکارگیری ضدویروس بهروز و توجه و حساسیت بالا در هنگام بازکردن پیامها و ایمیلها از جمله اقدامات مؤثر در ایمن ماندن از گزند این نوع تهدیدات مخرب است.
جزئیات بیشتر در خصوص DevilsTongue و نشانههای آلودگی (IOC) در لینکهای زیر قابل مطالعه است:
[su_note]ملاحظه: این سایت تنها خبر منتشر شده در فضای مجازی را صرفاً منتشر نموده و تایید و یا تکذیب آن بر عهده نهادهای مرتبط و نظارتی می باشد”[/su_note]
بدون دیدگاه