به گزارش کارگروه حملات سایبری سایبربان؛ بهتازگی کارشناسان شرکت امنیت سایبری ترند میکرو (Trend Micro) و تلنت جامپ (Talent-Jump) موجی از حملات سایبری شناسایی کردهاند که علیه کاربران سایتهای آنلاین قمار و شرطبندی در کشورهای جنوب شرقی آسیا، اروپا و خاورمیانه انجامشده است.
کارشناسان ترند میکرو عامل این حملات را گروه دیآربی کنترل (DRBControl) نامگذاری کردهاند.
به اعتقاد آنها هدف اصلی گروه دیآربی جاسوسی بوده و اعضای آن به دنبال سرقت وجه نیستند و در حمله به شرکتها، سورس کدها و پایگاه دادههای آنها را سرقت میکنند.
گروه دیآربی حملات خود را با ارسال ایمیلهای فیشنگ آغاز کرده و به کارکنان شرکتهای هدف پیوستهای مخرب و تروجان ارسال میکند.
ابزارهای مورداستفاده این گروه بسیار شبیه ابزارهایی است که توسط گروههای هکری دولتی Winnti و Emissary Panda مورداستفاده قرار میگیرند.
دیآربی در حملات خود از دو درب پشتی ناشناخته و بدافزارهای PlugX و HyperBro بهره میگیرد.
برخی از درب پشتیها از سرویس دراپباکس (Dropbox) بهعنوان سرور کنترل (C&C) استفاده میکنند و به همین دلیل نیز کارشناسان ترند میکرو این گروه را DRopBox Control نامگذاری کردهاند.
اعضای این گروه با بهرهگیری از درب پشتیها اقدام به بارگیری دیگر بدافزارها و ابزارهای هکری میکنند که قادرند اطلاعات باارزش را شناسایی و سرقت کنند.
از میان ابزارهایی که توسط این گروه مورداستفاده قرار میگیرند میتوان به موارد زیر اشاره کرد:
- ابزارهای اسکن سرورهای NETBIOST،
- ابزارهای حملات بروت فورس،
- ابزارهایی برای دور زدن Windows UAC،
- ابزاری برای ترفیع امتیاز در هاست آلوده،
- ابزاری برای سرقت پسورد هاستهای آلوده،
- ابزار سرقت اطلاعات کلیپ بورد،
- ابزار بارگیری و اجرای کدهای مخرب روی هاستهای آلوده،
- ابزاری برای به دست آوردن آدرس IP عمومی ایستگاه کاری،
- ابزاری برای ایجاد تونل به شبکههای خارجی.
به گفته کارشناسان این دو شرکت اعضای گروه یاده شده از ماه ژوئیه 2019 تا ماه سپتامبر بیش از 280 رایانه را با استفاده از دو اکانت دراپ باکس آلوده کردهاند.
