کمپین‌ها

حمله Dragonfly 2.0
۱۳ آبان ۱۳۹۶

حمله Dragonfly 2.0

هدف این حمله علاوه بر جاسوسی و پی بردن به نحوه‌ی عملکرد صنایع انرژی در اختیار گرفتن کنترل این صنایع و ایجاد خلل در آن‌هاست. به طور مثال گرفتن کنترل یک دکل برقی و قطع و وصل کردن آن. Dragonfly 2.0 کشورهای آمریکا، سوییس و ترکیه را مورد حمله قرار داده است.  Dragonfly 2.0 از سال ۲۰۱۵ فعال است و در آخرین حمله‌ی خود در اکتبر ۲۰۱۷ به صنایع انرژی آمریکا و اروپا حمله کرده است. این حمله توسط گروه Dragonfly که با نام Energetic Bear شناخته می‌شود، صورت پذیرفت. این گروه برای اولین بار در سال ۲۰۱۱ با هدف قرار دادن صنایع هوایی و دفاع آمریکا و کانادا در رسانه‌ها مطرح شدند. از سال ۲۰۱۳ به بعد هم تمرکز خود را بر روی صنایع انرژی قرار دادند.

ابزارهای استفاده شده

  • Dragonfly 2.0 برای ورود از چندیدن روش استفاده کرد. استفاده از حملات Spear phishing، Watering Hole و تروجان‌ها. کمپین بدافزاری که در این حمله استفاده شد متشکل از چندیدن تروجان بود که اجازه‌ی دسترسی از راه دور به مهاجم می‌داد. این تروجان‌ها در غالب به روز رسانی تقلبی فلش بر روی سیستم قربانیان و با اجازه‌ی خود آن‌ها نصب می‌شدند. همان‌طور که در مقاله‌های امنیتی آرمان داده پویان بارها بر روی آموزش کاربران تاکید کرده‌ایم در بررسی Dragonfly 2.0 هم شاهد هستیم که مهاجمان از خطای انسانی برای ورود به شبکه استفاده کرده‌اند. تروجانها عبارتند از Backdoor، Goodor، Backdoor.Dorshel و Trojan.Karagany.B که زمانی که نصب می‌شوند اجازه‌ی دسترسی از راه دور را به مهاجم می‌دهند.
  • محققان امنیتی دریافتند که در این حمله از هیچگونه آسیب‌پذیری صفر روزه‌ای استفاده نشده است.
  • ابزارهای استفاده شده عبارتند از PowerShell، PsExec و Bitsadmin.
  • برای سرقت credentialها هم از ابزاری به نام Phishery استفاده شده است.

نتایچ پویش Dragonfly 2.0

  • کدهای هش شناسایی شده:

  • f765c448b6a1eb75862ab362897c35fbafcb2a43
  • ۹۵db15c67b48945237af7de61f3dbab92c99edd1
  • c7eae6cd08d0601223b641745f078dffce285066
  • d6ef3e457819425bf9524e8a7070f3fcf21c3ad5
  • eff5e2a3ac471a1b5ecdf51a72e003a82c350506
  • cd9519127efcc9a65068befe17ae038c94085358

  • سرورهای C & C شناسایی شده:

  • hxxp://103[.]41[.]177[.]69/A56WY
  • hxxp://37[.]1[.]202[.]26/getimage/622622.jpg
  • hxxp://184[.]154[.]150[.]66

راهکارهای پیشنهادی

  • از یک ضد ویروس معتبر استفاده نمایید
  • اگر از کسپرسکی استفاده می‌نمایید پیشنهاد میکنیم تا کارهای زیر را انجام دهید:
  • System Watcher کسپرسکی را فعال نمایید.
  • از پلتفرم‌هایی مانند KATA استفاده نمایید.
  • لاگ‌ها را بررسی نمایید اگر سیستم مشکوکی یافت شد بر روی آن پویش عمیق انجام دهید.
  • از راهکارهای امنیت رایانامه،کسپرسکی استفاده نمایید.
  • کاربران شبکه تان را آموزش دهید.
  • از گذرواژه‌های قوی استفاده کنید و از کاربران خود بخواهید این کار را انجام دهند.
  • فایل‌های مهم را به صورت رمز شده نگه دارید و برای انتقال آن‌ها از کانال‌های امن استفاده نمایید.

آرمان داده پویان نمایندگی رسمی محصولات کسپرسکی در ایران


تازه ترین ها