انتشار شده در تاریخ 1402/04/29 - 11:18

تغییر کاربری سرورهای مایکروسافت اکسچنج به مراکز کنترل بدافزار هکرها!

شرکت مایکروسافت اعلام کرد هکرها با استفاده از در پشتی جدید خود توانسته اند سرورهای اکسچنج را تبدیل به مراکز کنترل کننده بدافزار خود تبدیل کنند!

به گزارش کارگروه حملات سایبری سایربان؛ شرکت مایکروسافت و گروه پاسخ‌گویی حوادث رایانه‌ای اوکراین در مورد حملات جدید گروه هکری روس تورلا هشدار دادند. این گروه با استفاده از یک در پشتی بدافزاری جدید به نام 'DeliveryCheck' در حال هدف قرار دادن صنعت دفاعی و سرورهای مایکروسافت اکسچنج است.

گروه تورلا یا همان سِکرت بلیزارد به سرویس امنیت فدرال روسیه (اف اس بی) ارتباط داده شده است.

گروه جاسوسی سایبری نام برده طی این سال ها حملات متعدد و متنوعی را به اهداف اروپایی پی ریزی کرده است. گزارش منتشر شده امروز از سوی مایکروسافت و گروه پاسخ حوادث رایانه ای اوکراین حاکی از موج جدید حملات تورلا به صنعت دفاعی اوکراین و شرق اروپاست.

این حملات با ایمیل های فیشینگ حاوی ضمایم اکسلی آغاز میشوند که حاوی ماکروهای آلوده هستند. هنگامی که این ماکروها فعال می شوند ضمن اجرای فرمان پاورشِل، اقدام به جعل آپدیت کننده مرورگر فایر فاکس می کنند. این کار منجر به دانلود درپشتی DeliveryCheck و راه اندازی آن در حافظه می شود. در پشتی نام برده در این مرحله با هدف دریافت فرمان برای اجرای پی لودهای بدافزاری بیشتر، به سرور کنترل و فرمان بازیگر مخرب متصل می شود.

طبق گفته مایکروسافت این پی لودهای بدافزاری در استایل شیت XSLT قرار داده شده اند.

بازیگران مخرب پس از آلوده سازی دستگاه، با استفاده از در پشتی نام برده و ابزار Rclone داده ها را به صورت غیر قانونی منتقل می کنند.

چیزی که DeliveryCheck را متمایز کرده، ابزار سمت سرور مایکروسافت اکسچنجی است که سرور را به یک سرور کنترل وفرمان برای بازیگران مخرب تبدیل می کند.

مایکروسافت مدعی است این ابزار با استفاده از ماژول پاورشل Desired State Configuration (پیکربندی حالت مورد نظر) نصب میشود و این امکان را به ادمین ها می دهد تا پیکربندی سرور استانداردی را به وجود بیاورند و آن را در دستگاه ها اعمال کنند.

بازیگران مخرب با استفاده از این ابزار سرور قانونی اکسچنج را به یک سرور منتشر کننده بدافزار تبدیل می کنند.

طبق مشاهدات مایکروسافت، تورلا یک درپشتی سارق اطلاعات به نام KAZUAR را نیز در حین حمله رها سازی می کند. این بدافزار یک ابزار جاسوسی سایبری است که امکان راه اندازی جاوا اسکریپت را برای بازیگران مخرب مهیا می کند و آن ها می توانند اطلاعات متنوعی مانند توکن های احراز هویت را به سرقت ببرند.

بازیگران مخرب به طور خاص بر روی سرقت فایل هایی متمرکز هستند که شامل پیام های اپلیکیشن معروف سیگنال باشند. آن ها در این صورت می توانند چت های بسیار محرمانه، تصاویر، فایل ها و اسناد را پایش کنند!