[av_textblock size=” font_color=” color=” av-desktop-hide=” av-medium-hide=” av-small-hide=” av-mini-hide=” av-medium-font-size=” av-small-font-size=” av-mini-font-size=”]
[/av_textblock]
[av_heading heading=’یک بدافزار جدید (RogueRobin) که از گوگل درایو به‌عنوان سرور فرمان و کنترل خود استفاده می‌کند، کشف شد.’ tag=’h1′ style=’blockquote modern-quote modern-centered’ size=” subheading_active=” subheading_size=’15’ padding=’10’ color=’custom-color-heading’ custom_font=’#4ecac2′ av-medium-font-size-title=” av-small-font-size-title=” av-mini-font-size-title=” av-medium-font-size=” av-small-font-size=” av-mini-font-size=” admin_preview_bg=”][/av_heading]
[av_textblock size=” font_color=” color=” av-medium-font-size=” av-small-font-size=” av-mini-font-size=” admin_preview_bg=’rgb(34, 34, 34) none repeat scroll 0% 0%’]
ازآنجایی‌که اکثر ابزارهای امنیتی ترافیک شبکه را برای شناسایی آدرس‌های IP موذی نگاه می‌کنند، مهاجمان به‌طور فزاینده‌ای از زیرساخت‌های خدمات قانونی در حملات برای پنهان کردن فعالیت‌های بدخواهانه خود استفاده می‌کنند.
محققان امنیتی سایبری در حال حاضر یک کمپین حملات بدافزاری جدید را که با گروه بدنام DarkHydrus APT مرتبط است کشف کردند، که از گوگل درایو به‌عنوان سرور فرمان و کنترل (C2) خود استفاده می‌کند.
DarkHydrus برای اولین بار در ماه اوت سال گذشته هنگامی‌که گروه APT توانست از ابزار منبع باز Phishery برای انجام کمپینِ جمع‌آوری اطلاعات علیه نهادهای دولتی و مؤسسات آموزشی در خاورمیانه استفاده کند، شناخته شد.
بر اساس گزارش‌های منتشرشده توسط ۳۶۰ TIC و Palo Alto Networks آخرین کمپین مخرب پیاده‌سازی شده توسط گروه DarkHydrus APT همچنین در برابر اهدافی در خاورمیانه نیز مورداستفاده قرار گرفته است .
این بار مهاجمان پیشرفته با استفاده از یک نوع جدید از تروجان‌های در پشتی خود که RogueRobin نامیده می‌شود، کامپیوترهای قربانی را آلوده می‌کنند و آن‌ها را فریب می‌دهند تا یک سند مایکروسافت اکسل حاوی ماکروهای VBA جاسازی‌شده را باز کنند، بجای اینکه از یک آسیب‌پذیری zero-day در ویندوز بهره‌برداری کنند.
فعال کردن ماکرو یک فایل مخرب (.txt) را در دایرکتوری موقت قرار می‌دهد و سپس از برنامه قانونی regsvr32.exe استفاده می‌کند تا آن را اجرا کند، درنهایت در پشتی RogueRobin که به زبان برنامه‌نویسی C # نوشته شده است را در سیستم آسیب‌دیده نصب می‌کند.
[/av_textblock]
[av_image src=’http://sgap.co/wp-content/uploads/2019/01/microsoft-office-macro-malware.png’ attachment=’2998′ attachment_size=’full’ align=’center’ styling=” hover=” link=” target=” caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’ admin_preview_bg=”][/av_image]
[av_textblock size=” font_color=” color=” av-medium-font-size=” av-small-font-size=” av-mini-font-size=” admin_preview_bg=”]
طبق گفته محققان Palo Alto در پشتی RogueRobin شامل بسیاری از قابلیت‌های پنهان برای بررسی اینکه آیا در محیط sandbox اجرا می‌شود یا نه، ازجمله بررسی محیط‌های مجازی، حافظه کم، تعداد پردازنده‌ها و ابزارهای تجزیه‌وتحلیل معمول در حال اجرا روی سیستم است. همچنین این بدافزار دارای کد anti-debug است.
مانند نسخه اصلی، نوع جدیدِ RogueRobin همچنین از Tunneling DNS که یک روش ارسال یا بازیابی داده‌ها و دستورات از طریق بسته‌های درخواست DNS است؛ برای برقراری ارتباط با سرور فرمان و کنترل خود استفاده می‌کند.
بااین‌حال، محققان دریافتند که علاوه بر تونل زدن DNS، این بدافزار برای استفاده از API های گوگل درایو به‌عنوان یک کانال جایگزین برای ارسال و دریافت داده‌ها و دستورات از هکرها طراحی شده است.
محققان Palo Alto می‌گویند: “RogueRobin یک فایل را درون حساب گوگل درایو آپلود می‌کند و به‌طور مداوم زمان اصلاح فایل را بررسی می‌کند تا ببیند آیا یک فرد دیگر تغییراتی در آن ایجاد کرده است یا خیر. این فرد ابتدا فایل را تغییر می‌دهد تا شناسه منحصربه‌فردی که تروجان برای ارتباطات آینده استفاده می‌کند را در آن قرار دهد.”
این کمپین جدید بدافزاری نشان می‌دهد که گروه‌های هکری APT بیشتر به سوءاستفاده از خدمات قانونی برای زیرساخت‌های فرماندهی و کنترل خود برای جلوگیری از تشخیص داده شدن اقدام می‌کنند.
لازم به ذکر است که ازآنجاکه ماکروهای VBA یک ویژگی قانونی است، اکثر آنتی‌ویروس‌ها هشداری در مورد آن نمی‌دهند و یا اسناد مایکروسافت آفیس با کد VBA را بلاک نمی‌کنند.
بهترین راه برای محافظت در مقابل حملات بدافزارها این است که همیشه به هر سندی که ناخواسته برای شما از طریق پست الکترونیک فرستاده می‌شود مشکوک باشید و هرگز بر روی پیوندهای موجود در آن اسناد کلیک نکنید مگر اینکه از منبع سند مطمئن باشید.
[/av_textblock]
[av_textblock size=” font_color=” color=” av-medium-font-size=” av-small-font-size=” av-mini-font-size=” admin_preview_bg=”]
علیرضا خبیر
مشاور و مدرس تست نفوذ و امنیت شبکه‌های اداری و صنعتی
[/av_textblock]
[av_heading tag=’h1′ padding=’10’ heading=’لینک ها ‘ color=’custom-color-heading’ style=’blockquote modern-quote modern-centered’ custom_font=’#37ef34′ size=” subheading_active=” subheading_size=’15’ custom_class=” admin_preview_bg=” av-desktop-hide=” av-medium-hide=” av-small-hide=” av-mini-hide=” av-medium-font-size-title=” av-small-font-size-title=” av-mini-font-size-title=” av-medium-font-size=” av-small-font-size=” av-mini-font-size=”][/av_heading]
[av_textblock size=” font_color=” color=” av-medium-font-size=” av-small-font-size=” av-mini-font-size=” admin_preview_bg=”]

بخش آموزش های سایت

[/av_textblock]
[av_textblock size=” font_color=” color=” av-medium-font-size=” av-small-font-size=” av-mini-font-size=” admin_preview_bg=”]

[/av_textblock]
[av_font_icon icon=’ue8b7′ font=’entypo-fontello’ style=’border’ caption=’لینک کانال تلگرام’ link=’manually,http://t.me/sgapsec’ linktarget=’_blank’ size=’40px’ position=’center’ color=” admin_preview_bg=”]
کانال تلگرام ما
[/av_font_icon]
[av_font_icon icon=’ue909′ font=’entypo-fontello’ style=’border’ caption=’لینک اینستاگرام’ link=’manually,https://www.instagram.com/sgapsec’ linktarget=’_blank’ size=’40px’ position=’center’ color=” admin_preview_bg=”]
کانال تلگرام ما
[/av_font_icon]
[av_postslider link=’category,71,72,70,1,73′ wc_prod_visible=” prod_order_by=” prod_order=” columns=’5′ items=’-1′ offset=’0′ contents=’title’ preview_mode=’auto’ image_size=’portfolio’ autoplay=’yes’ interval=’5′]