هدف گیری کاربران ویندوز و لینوکس توسط بد‌افزار جاسوسی چینی

به گزارش پایگاه خبری بانکداری الکترونیک ،شرکت‌های امنیت سایبریTrend Microو SEKOIA یک کمپین بد‌افزار جدید از Iron Tiger، یک گروه APTچینی که با نام‌های Emissary Panda، Goblin Panda Conimes، Cycldek، Bronze Union، LuckyMouse، APT27 و Threat Group 3390 ‪(TG-3390)‬ نیز شناخته می‌شود، شناسایی کرده‌اند.گروه جاسوسی سایبری مرتبط با چین، کاربران ویندوز، لینوکس،macOS و iOS را از طریق نسخه‌های آلوده نصب‌کننده‌های برنامه چت MiMi هدف قرار داده است. اهداف اولیه ببر آهنین در این کمپین در تایوان و فیلیپین قرار داشتند.

Trend Micro می‌تواند یکی از قربانیان را شناسایی کند، یک شرکت توسعه بازی مستقر در تایوان با سیزده نهاد مورد هدف قرار گرفت.

تحلیل تفصیلی کمپین جاسوسی ببر آهنین

این گروه قبلاً کمپین‌های جاسوسی سایبری با انگیزه سیاسی، سود‌جویانه و جمع‌آوری اطلاعات را راه‌اندازی کرده بود، به‌عنوان مثال، در ژوئن 2018 ، Iron Tiger APTدر حال هدف قرار‌دادن مرکز داده ملی یک کشور نا‌شناخته آسیای مرکزی با استفاده از یک حمله چاله آبی هدف قرار گرفت.

در مارس 2018 ، همین گروه در یک حمله سایبری علیه زیر‌ساخت‌های دولت پاکستان شناسایی شد،در آوریل 2021، IronTiger APT بار دیگر در حال جاسوسی از دولت و سازمان‌های نظامی ویتنام با FoundCore RATهدف قرار گرفت. آخرین کمپین Iron Tigerدر ماه ژوئن پس از اینکه محققان Trend Microننسخه‌های آلوده نسخه iOS MiMi را دانلود کردند، شناسایی شد.

در این کمپین،روش عملیات Iron Tiger شامل به‌خطر‌انداختن سرور‌های برنامه MiMi Chat برای آلوده‌کردن دستگاه‌های کاربران نا‌آگاه است، این برنامه از چار‌چوب کراس پلتفرم ElectronJSبرای نسخه دسکتاپ خود استفاده می‌کند.

به گفته Sekoia، این کمپین همه عناصر یک حمله زنجیره تامین را دارد، زیرا سرور‌های پشتیبان برنامه که میزبان نصب‌کنندگان قانونی MiMiهستند ،توسط مهاجمان کنترل می‌شوند، نصب‌کننده‌های اصلاح‌شده MiMiیک درب پشتی سفارشی به نام HyperBroدر حافظه را روی دستگاه مورد نظر دانلود می‌کنند.

مهاجمان به‌طور مداوم نصب‌کننده‌های برنامه چت را برای ارائه بد‌افزار تغییر می‌دهند.

محققان تأیید کردند که Iron Tigerشروع به دسترسی به سرور میزبان MiMiدر نوامبر 2021 کرد، زمانی که توسعه دهندگان نسخه‌های جدید برنامه چت MiMiرا منتشر کردند، اپراتور‌های بد‌افزار بیشتر از دسترسی آن‌ها به سرور‌های میزبان برای اصلاح سریع نصب‌کننده‌ها سوء‌استفاده کردند. تنها یک ساعت و نیم طول کشید تا ااپراتور‌های بد‌افزار نصب‌کننده‌های قانونی را تغییر دهند، در حالی که برای نسخه‌های قدیمی‌تر، انجام اصلاحات فقط یک روز طول می‌کشید.

قابلیت‌های بد‌افزار

طبق پست منتشر شده در وبلاگ مربوط به خود‌شان ، Trend Microنمونه‌های مختلف rshellرا کشف کرد، از جمله نمونه‌ای که لینوکس را هدف قرار می‌داد، محققان نمونه iOSرا تجزیه و تحلیل کردند و تشخیص دادند که درب‌پشتی rshellبرای macOSواکشی شده و می‌تواند داده‌های سیستم را جمع‌آوری کرده و به سرور C2منتقل کند،همچنین می‌تواند دستورات مهاجمان را اجرا کند و نتایج را به همان سرور C2ارسال کند.

بررسی بیشتر نشان داد که درب‌پشتی می‌تواند دستورات را در یک پوسته باز/بسته/اجرا کند، فایل‌ها را بخواند، حذف کند، یا ببندد، فهرست‌های فهرست را فهرست کند و فایل‌ها را برای آپلود/دانلود آماده کند، طبق گفته محققان، قدیمی‌ترین نمونه در ژوئن 2021 بار‌گذاری شده است.

چرا برنامه Backdooredمشکوک نشد؟

محققان خاطر‌نشان کردند که نسخه‌های پشتی برنامه چت MiMi مورد توجه قرار نگرفت و هیچ علامت قرمزی نشان‌داده نشد ،زیرا نصب‌کننده‌های قانونی امضا نشده بودند، این بدان معناست که کاربران هنگام نصب برنامه چندین هشدار سیستم را دریافت می‌کنند.

منبع: پلیس فتا