اخبار

استفاده از سامانه ابری گوگل برای حمله به بانک‌های آمریکا

محققان آزمایشگاه Menlo حملات پیاپی در قالب ایمیل­‌های مخرب را که با سوءاستفاده از فضای ذخیره­‌سازی ابری Google، کارمندان بانک­ها و شرکت­های خدماتی مالی را مورد هدف قرار می­دادند، کشف کردند.

این حملات با سوءاستفاده از فضای ذخیره‌سازی ابری Google برای انتقال payload، سازمان­‌های آمریکایی و انگلیسی را مورد هدف قرار ­می­دادند. این حملات در قالب هرزنامه­‌هایی حاوی پیام هستند. در این پیام‌­ها  لینکی که به فایل‌­های با فرمت .zip و .gz ارجاع داده می‌شوند، قرار داده‌شده است. مهاجمان تلاش می­کنند با استفاده از برخی حقه­‌ها، ترتیبی را اتخاذ کنند که قربانی روی لینک مخرب کلیک کند. آن‌ها این کار را با قرار دادن payload مخرب بر روی storage.googleapis.com که مربوط به سرویس فضای ذخیره‌سازی ابری Google است، انجام می­دهند. این payload از خانواده‌­ی  Houdini و QRat malware است.

از این طریق مهاجمان می­توانند تدابیر امنیتی موجود در سازمان­های مورد هدف را دور بزنند.

تحلیل منتشرشده توسط محققین امنیتی آزمایشگاه Menlo

در همه موارد، payload روی storage.googleapis.com، دامنه­‌ای از فضای ذخیره­‌سازی ابری Google که توسط بسیاری از شرکت­‌ها مورداستفاده قرار می‌گیرد، قرار داشت. ممکن است مهاجمان payload هایشان را روی این دامنه که مورد اعتماد بسیاری از افراد است، قرار دهند تا از آن برای دور زدن تدابیر امنیتی موجود در محل سازمان یا محصولات امنیتی تجاری بهره ببرند.

این نمونه­‌ای از افزایش بهره­‌گیری از ” reputation-jacking” است که پشت سرویس­‌های میزبان شناخته‌شده و محبوب برای جلوگیری از شناسایی، پنهان می­شود.

مهاجمان برای حملات خود از شهرت سامانه‌هایی چون سامانه ابری گوگل سوء استفاده می‌کنند.

مهاجمان به‌جای وصله‌­های مخرب اغلب از لینک­‌های مخرب استفاده می­‌کنند تا با استفاده از ترکیب ایمیل و وب، قربانی تحت تأثیر این تهدید قرار بگیرد. بسیاری از راه‌حل‌ها امنیتی توانایی تشخیص وصله­‌های مخرب را دارند؛ اما تشخیص URLهای مخرب فقط در صورت موجود بودن در لیست سیاه امکان­‌پذیر است.

مهاجمان با استفاده از دو نوع payload به سراغ قربانیان می­روند: اسناد VBS  یا فایل­های JAR.؛ کارشناسان پس از تحلیل برخی از اسکریپت­های VBS مخرب که بسیار هم مبهم بودند به این نتیجه رسیدند که احتمالاً توسط یک مجرم سایبری زیرزمینی ایجادشده است.

همچنین سه سند متعلق به خانواده بدافزار Houdini را تحلیل کردند. کد مذکور با سه لایه­‌ی تودرتو از VBScript مبهم­‌سازی و توسط الگوریتم Base64، رمزگذاری شده بود. محققان دریافتند که آن‌ها از همان دامنه C2 یعنی (pm2bitcoin[.]com) و (fud [.] fudcrypt [.] com به‌عنوان دامنه­‌ی ثانویه استفاده می‌کنند.

همچنین  رشته­‌ی ” <[ recoder : houdini (c) skype : houdini-fx ]>” در لایه سوم  VBScript وجود داشت که همگی یک فایل JAR را دانلود می­‌کردند. یکی از فایل­‌ها، متعلق به خانواده بدافزار  Houdini/jRAT و دیگر فایل­‌ها متعلق به خانواده بدافزار QRat بودند.

نتیجه‌گیری آزمایشگاه Menlo

سرویس‌­های مالی همچنان هدف جذابی برای مهاجمان هستند. در این میان دسترسی راه دور تروجان (RAT) نقش بسیار مهمی در به­ دست آوردن دسترسی به سیستم در معرض خطر را بازی می­کند. راه­های دسترسی به سرور­ها نیز همواره در حال پیشرفت است. سرویس­های مالی باید انتظار حملات بدافزارهای پیشرفته­‌تر و حملات فیشینگ اساسی را داشته باشد.

استفاده از سامانه ابری گوگل برای حمله به بانک‌های آمریکا
To Top