به گزارش کارگروه حملات سایبری سایبربان؛ یک سازمان غیرانتفاعی خیریه اسلامی مستقر در عربستان سعودی هدف یک کمپین طولانی جاسوسی سایبری قرار گرفته است. این کمپین در می 2023 آغاز شد و شامل تاکتیکهای پیچیدهای بود که توسط یک عامل تهدید ناشناس به کار گرفته شد.
براساس مشاوره جدید شرکت امنیت سایبری تالوس (Talos)، مهاجمان که بردار دسترسی اولیه آنها فاش نشده، از بدافزاری به نام زَردور (Zardoor) برای تثبیت پایداری در شبکه سازمان هدف استفاده کردند.
برای فرار از تشخیص، آنها از ابزارهای منبع باز معکوس پروکسی مانند «FRP»، «sSocks» و «Venom» استفاده گسترده کردند. این ابزارها برای به حداقل رساندن وابستگیها و اجرای یکپارچه دستورات سفارشی شده بودند.
به گفته کارشناسان، پس از ورود به شبکه، عامل تهدید از ابزار مدیریت ویندوز (WMI) برای حرکت جانبی و اجرای دستورات از راه دور استفاده کرد. آنها یک سری از درهای پشتی، از جمله «zar32.dll» و «zor32.dll» را برای حفظ دسترسی و استخراج دادهها از سیستمهای در معرض خطر مستقر کردند.
برای اطمینان از تداوم، مهاجمان از تکنیکهای مختلفی از جمله دستکاری سرویسهای سیستم و ایجاد وظایف برنامهریزی شده استفاده کردند. علاوه بر این، آنها از پروکسیهای معکوس برای برقراری ارتباط با سرورهای خارجی استفاده کردند که تشخیص ترافیک مخرب را دشوار میکند.
استفاده عامل تهدید از ابزارهایی مانند FRP و Venom بر پیچیدگی حمله تأکید میکند، زیرا این ابزارها ابزارهای قانونی هستند که برای فعالیتهای مخرب تغییر کاربری دادهاند. چنین تاکتیکهایی مخفی بودن حمله را افزایش میدهد و تلاشها برای شناسایی و کاهش تهدید را پیچیده میکند.
تالوس اعلام کرد :
«عامل تهدید براساس تواناییاش در ایجاد ابزارهای جدید، مانند درهای پشتی زَردور، سفارشیسازی ابزارهای پروکسی منبع باز و استفاده از چندین «LoLBin» از جمله «msdtc.exe» برای فرار از شناسایی، بسیار ماهر به نظر میرسد. به ویژه، درهای پشتی بارگذاری جانبی موجود در «oci.dll» از طریق «MSDTC» یک روش بسیار مؤثر برای ناشناخته ماندن و در عین حال حفظ دسترسی طولانی مدت به شبکه قربانی است.»
علیرغم تجزیه و تحلیل گسترده، تالوس نتوانست این کمپین را به هیچ یک از عوامل تهدید شناخته شده نسبت دهد. سطح تخصص نشان داده شده توسط مهاجمان، همراه با توانایی آنها در ایجاد و سفارشیسازی ابزار، نشان دهنده دخالت یک دشمن پیشرفته و ماهر است.
