کمپین فیشینگ های هدف دار PittyTiger

به گزارش اِی وی نیوز از مرکز ماهر، طبق بررسی کارشناسان FireEye ، گروهی از مهاجمین که با عنوان PittyTiger شناخته می شوند، از تکنیک مهندسی اجتماعی برای ارسال ایمیل های فیشینگ به زبان های متعدد برای حمله به اهداف خود استفاده می­کنند. گروه PittyTiger با استفاده از ابزارها و بدافزارهای متعدد با سرورهای فرمان و کنترل (C2)ارتباط برقرار کرده و به شبکه های اهداف خود دسترسی کامل پیدا می­کنند. کارشناسان FireEye تایید کردند که حملات انجام شده توسط این گروه مطابق با TTPs مهاجمین چینی است.این گروه به تازگی یک سری حمله علیه یک شرکت فرانسوی را با ارسال آدرس ایمیل رایگان به زبان فرانسه و انگلیسی تحت نام های کارکنان واقعی شرکت آغاز کرده است. بررسی ها نشان می دهد که مهاجمین از صفحات فیشینگ ایمیلYahoo! استفاده می کنند که دارای صفحات فیشینگ به زبان های مختلف برای مناطق مختلف است. اگرچه این گروه برای مدت طولانی فعال بوده است، اما به نظر می رسد بر خلاف دیگر مهاجمین پرسرو صدا، در مورد اهدافش بسیار خاص عمل می کند.

این گروه حملات خود را با شناسایی آسیب پذیری CVE-2012-0158 و CVE-2014-1761 در Microsoft Office انجام می­دهند. بر اساس بررسی ها، ابزاری که مستنداتی با اکسپلویت CVE-2012-0158 ایجاد کرده است، در metadata خود نویسنده را Tran Duy Linhنشان می دهد. ابزار سازندهCVE-2014-1761، murkier است، اما مستندات توسط اکسپلویتی ایجاد شده اند که شامل metadataایی منطبق بر مستندات آلوده ایجاد شده توسط هر دو سازنده Jdoc و Metasploit Framework می باشد. اخیراً در یک حمله بر علیه یک هدف در تایوان، این مستندات آلوده برای نصب بدافزاری با نام Backdoor.APT.Pgift (با نام مستعار Troj/ReRol.A) استفاده شده اند. سپس اتصال به سرور کنترل و فرمان C2 صورت می گیرد و در حالی که برخی از اطلاعات در مورد کامپیوتر آلوده رد و بدل می گردد، بدافزار دیگری در مرحله دوم روی سیستم نصب می گردد. این گروه همچنین از یک Builder برای ایجاد و تست فایل هایی که روی سرور C2 قرار داده شده اند، استفاده می کند که در ارتباط با backdoor بدافزار می باشد.

با توجه به دسترسی به طیف گسترده ای از بدافزارها، از جمله بدافزاهایی که به طور گسترده موجود است و ابزارهای سفارشی که فقط به نظر می رسد این گروه به آن دسترسی داشته باشند، این گروه همچنان از بدافزارهای قدیمی تر بهره ­می گیرند. از بدافزارهای دیگر استفاده شده توسط این گروه می­توان به Backdoor.APT.PittyTiger، Backdoor.APT.Lurid و Poison Ivy اشاره نمود.

About The Author

Related posts

Leave a Reply

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

*