انتشار نسخه کامل NanoCore RAT برای حمله به شرکت‌های انرژی

از ابتدای بکارگیری NanoCore RAT توسط مجرمان سایبری در سال 2013، نسخه‌های متفاوت و تکامل‌یافته‌تری از این تروجان در مراحل مختلف عرضه‌شده است.

تروجان دسترسی از راه دور (Remote Access Trojan) NanoCore اولین بار در سال 2013 در زمان انتشار نسخه آلفا توسط فروم‌های زیرزمینی و در زمانی که هنوز کامل نشده بود، منتشر شد.

از آن زمان 4 نسخه بتا توسط منابع مختلف منتشر شد و درنهایت یک نسخه کامل و کاربردی توسط وب‌سایت‌های جرائم سایبری در مارس 2015 ساخته شد. این نکته قابل‌توجه است که قیمت این تروجان بسیار پایین بوده و یک نسخه کپی آن چیزی در حدود 25 دلار قیمت دارد.

محققان امنیتی شرکت سیمنتک فعالیت‌های این تروجان را از زمان آغاز به کار آن زیر نظر گرفتند و متوجه شدند که این تروجان به‌صورت مجانی و در تعداد بالا در دسترس همگان قرار دارد.

بنابر گفته محقق امنیتی شرکت سیمنتک، آقای لیونل پایت، حملات توسط این تروجان از 6 مارس آغاز شد و شرکت‌های انرژی در آسیا و منطقه خاورمیانه را هدف قرار داده‌اند.

تروجان مورد نظر توسط یک فایل RTF (Rich Text Format) و یا یک فایل Word نفوذ می‌کند. تروجان مورد نظر از یک آسیب‌پذیری قدیمی در سیستم‌عامل ویندوز استفاده می‌کند که در نسخه‌های قدیمی‌تر این سیستم‌عامل یافت می‌شود. تروجان مورد نظر هم‌چنین از طریق فایل‌های SQL Server 2005/2008 و Office 2003 /2007/ 2010 قابل‌انتشار است.

فایل آلوده به کاربر پیشنهاد تائید قرارداد را می‌دهد و پس از تائید، پیغام باز شدن برنامه را به کاربر می‌دهد و پس از باز شدن فایل متنی آلوده‌شده توسط کاربر، رایانه را آلوده می‌کند.

بر طبق گفته پایت: "پس از انتشار نسخه‌های مختلف از NanoCore در فضای مجازی، نه‌تنها مجرمان حرفه‌ای بلکه مجرمان تازه‌کار نیز می‌توانند به‌آسانی از این تروجان استفاده کنند."

بر اساس اطلاعات جمع‌آوری‌شده توسط شرکت سیمنتک، از ژانویه 2014 تا مارس 2015، کشورهای آمریکا با 40 درصد، کانادا با 14 درصد و سنگاپور با 9 درصد هدف بیشترین حملات این تروجان قرارگرفته‌اند.

تصویر زیر  10 کشوری را که مورد بیشترین حملات این تروجان از ژانویه 2014 قرارگرفته‌اند نشان می‌دهد