هدف گیری کاربران ویندوز و لینوکس توسط بدافزار جاسوسی چینی
بدافزار جاسوسی چینی به نام ببر آهنین معروف به (LuckyMouse) کاربران ویندوز، لینوکس و macOSرا با نصبکنندههای برنامه MiMi Chatآلوده، هدف قرار میدهد.
به گزارش پایگاه خبری بانکداری الکترونیک ،شرکتهای امنیت سایبریTrend Microو SEKOIA یک کمپین بدافزار جدید از Iron Tiger، یک گروه APTچینی که با نامهای Emissary Panda، Goblin Panda Conimes، Cycldek، Bronze Union، LuckyMouse، APT27 و Threat Group 3390 (TG-3390) نیز شناخته میشود، شناسایی کردهاند.گروه جاسوسی سایبری مرتبط با چین، کاربران ویندوز، لینوکس،macOS و iOS را از طریق نسخههای آلوده نصبکنندههای برنامه چت MiMi هدف قرار داده است. اهداف اولیه ببر آهنین در این کمپین در تایوان و فیلیپین قرار داشتند.
Trend Micro میتواند یکی از قربانیان را شناسایی کند، یک شرکت توسعه بازی مستقر در تایوان با سیزده نهاد مورد هدف قرار گرفت.
تحلیل تفصیلی کمپین جاسوسی ببر آهنین
این گروه قبلاً کمپینهای جاسوسی سایبری با انگیزه سیاسی، سودجویانه و جمعآوری اطلاعات را راهاندازی کرده بود، بهعنوان مثال، در ژوئن 2018 ، Iron Tiger APTدر حال هدف قراردادن مرکز داده ملی یک کشور ناشناخته آسیای مرکزی با استفاده از یک حمله چاله آبی هدف قرار گرفت.
در مارس 2018 ، همین گروه در یک حمله سایبری علیه زیرساختهای دولت پاکستان شناسایی شد،در آوریل 2021، IronTiger APT بار دیگر در حال جاسوسی از دولت و سازمانهای نظامی ویتنام با FoundCore RATهدف قرار گرفت. آخرین کمپین Iron Tigerدر ماه ژوئن پس از اینکه محققان Trend Microننسخههای آلوده نسخه iOS MiMi را دانلود کردند، شناسایی شد.
در این کمپین،روش عملیات Iron Tiger شامل بهخطرانداختن سرورهای برنامه MiMi Chat برای آلودهکردن دستگاههای کاربران ناآگاه است، این برنامه از چارچوب کراس پلتفرم ElectronJSبرای نسخه دسکتاپ خود استفاده میکند.
به گفته Sekoia، این کمپین همه عناصر یک حمله زنجیره تامین را دارد، زیرا سرورهای پشتیبان برنامه که میزبان نصبکنندگان قانونی MiMiهستند ،توسط مهاجمان کنترل میشوند، نصبکنندههای اصلاحشده MiMiیک درب پشتی سفارشی به نام HyperBroدر حافظه را روی دستگاه مورد نظر دانلود میکنند.
مهاجمان بهطور مداوم نصبکنندههای برنامه چت را برای ارائه بدافزار تغییر میدهند.
محققان تأیید کردند که Iron Tigerشروع به دسترسی به سرور میزبان MiMiدر نوامبر 2021 کرد، زمانی که توسعه دهندگان نسخههای جدید برنامه چت MiMiرا منتشر کردند، اپراتورهای بدافزار بیشتر از دسترسی آنها به سرورهای میزبان برای اصلاح سریع نصبکنندهها سوءاستفاده کردند. تنها یک ساعت و نیم طول کشید تا ااپراتورهای بدافزار نصبکنندههای قانونی را تغییر دهند، در حالی که برای نسخههای قدیمیتر، انجام اصلاحات فقط یک روز طول میکشید.
قابلیتهای بدافزار
طبق پست منتشر شده در وبلاگ مربوط به خودشان ، Trend Microنمونههای مختلف rshellرا کشف کرد، از جمله نمونهای که لینوکس را هدف قرار میداد، محققان نمونه iOSرا تجزیه و تحلیل کردند و تشخیص دادند که دربپشتی rshellبرای macOSواکشی شده و میتواند دادههای سیستم را جمعآوری کرده و به سرور C2منتقل کند،همچنین میتواند دستورات مهاجمان را اجرا کند و نتایج را به همان سرور C2ارسال کند.
بررسی بیشتر نشان داد که دربپشتی میتواند دستورات را در یک پوسته باز/بسته/اجرا کند، فایلها را بخواند، حذف کند، یا ببندد، فهرستهای فهرست را فهرست کند و فایلها را برای آپلود/دانلود آماده کند، طبق گفته محققان، قدیمیترین نمونه در ژوئن 2021 بارگذاری شده است.
چرا برنامه Backdooredمشکوک نشد؟
محققان خاطرنشان کردند که نسخههای پشتی برنامه چت MiMi مورد توجه قرار نگرفت و هیچ علامت قرمزی نشانداده نشد ،زیرا نصبکنندههای قانونی امضا نشده بودند، این بدان معناست که کاربران هنگام نصب برنامه چندین هشدار سیستم را دریافت میکنند.
منبع: پلیس فتا