تروجان Volgmer به کره شمالی منتسب شده است
به گزارش کارگروه امنیت سایبربان؛ پس از ارائه هشدارهای مشترک وزارت امنیت داخلی و اداره تحقیقات فدرال آمریکا در رابطه با فعالیت باج افزارها مشخص شد که باج افزار Volgmer فعالیت مخرب خود را روی زیرساختهایی مانند آدرسهای اینترنتی (IP) و سایر شاخصهای ارتباطی را با استفاده از این تروجان تحت تأثیر قرار دادهاند. این در حالی است که دولت آمریکا، کره شمالی را مقصر اصلی و سازنده این تروجان اعلام کرده است. در این میان سیستمهای شبکه از مهمترین تجهیزات و زیرساختهای تحت حمله توسط این تروجان شناختهشدهاند.
کارشناسان امنیتی FBI معتقدند که سازندگان تروجان نامبرده که در قالب نام کبری پنهان (HIDDEN COBRA) فعالیت خود را پیش میبرند با استفاده از آدرس IP های مورداستفاده در فایلهای IOC، جهت حضور در شبکه قربانی و افزایش بهرهوری شبکه استفاده میکردند.
در این میان مرکز ملی امنیت سایبری، پس از شناسایی IP آدرسهای آلوده توسط بدافزار Volgmer راهکارهای مقابله با آن را ارائه کرد که شامل پاسخ به IOC های پیشنهادی، تکنیکهای کاهش روند رشد حملات و اطلاعات مربوط به حوادث گزارششده از کاربران درخواست میکند که در صورت دریافت اطلاعاتی از این قبیل وزارت امنیت داخلی، مرکز ملی امنیت سایبری و ارتباطات (NCCIC) یا (CyWatch) گزارش دهند.
NCCIC پس از بررسیهای خود در رابطه با شناسایی بدافزار نامبرده گزارش تجزیهوتحلیل بدافزار را در قالب (MAR) ارائه کرد. در این میان MAR-10135536-D به بررسی روشها، تاکتیکها و روشهای شناسایی میپردازد.
توضیحات
تروجان نامبرده بهعنوان یکی از درب پشتیهای مورداستفاده در زیرساختها به شمار میرود که برای دسترسی پنهان به سیستمهای آسیبدیده طراحیشده است. این در حالی است که سازندگان این بدافزار از قابلیتهای تروجان ساختهشده زیرساختهای صنایع دولتی، مالی، خودرویی و رسانهای را تحت حملات خود قرار دادهاند.
بررسیهای انجامشده حاکی از آن است که بدافزار نامبرده فعالیت خود را در وهله اول با استفاده از حملات فیشینگ اجرا میکند و فعالیت مخرب خود را با استفاده از این قابلیت پیش میبرد.
پس از شناسایی IP آدرسهای استاتیک موجود در زیرساختهای سیستم شبکه مشخص شد که بدافزار نامبرده با استفاده از نفوذ به حداقل 94 آدرس مختلف و آدرسهای پویا فعالیت خود را در کشورهای مختلف اجرا کرده است که در زیر بیشترین درصد استفاده از این آدرسها را نشان دادهشده است.
• هند، 772 آدرس 25.4 درصد
• ایران، 373 آدرس 12.3 درصد
• پاکستان، 343 آدرس، 11.3 درصد
• عربستان سعودی، 182 آدرس، 6 درصد
• تایوان، 169 آدرس، 5.6 درصد
• تایلند، 140 آدرس 4.6 درصد
• سریلانکا، 121 آدرس، 4 درصد
• چین، 82 آدرس که سهم هنگکنگ 12 آدرس با 2.7 درصد
• ویتنام، 80 آدرس،2.6 درصد
• اندونزی، 68 آدرس، 2.2 درصد
• روسیه، 68 آدرس، 2.2 درصد