چه کسی هکرها را هک می‌کند: بی شرف ها! – بخش دوم

در بخش اول به معرفی این گروه پرداختیم و اهداف این گروه را مطرح کردیم، در این بخش ادامه تحقیقات، شرح داده شده است.

یادآوری از بخش اول:

شرکت Cybereason در حال تحقیق در مورد کمپینی است که مهاجمان در حال آلوده کردن چند ابزار هک به تروجان با njRat (یک RAT شناخته شده) هستند. این کمپین در نهایت به مهاجمان امکان دسترسی کامل به دستگاه هدف را می‌دهد. گروه هکری این کمپین، بدافزارهای تعبیه شده در ابزارهای مختلف هک که crack شده اند را در چندین سایت ارسال می‌کنند. پس از بارگذاری و باز شدن برنامه ها توسط افراد بی اطلاع، مهاجمان می‌توانند دستگاه هدف را بطور کامل تصاحب کنند (hijack). در این مقاله، تجزیه و تحلیل خود را در مورد تاکتیک ها ، تکنیک ها و رویه های مهاجمان را شرح می‌دهیم.

نکته‌ی مهم: انجمن RTN در هنگام نوشتن این گزارش غیرقابل دسترس بود، نمی‌دانیم که پرونده‌های آلوده شده با تروجان ارتباطی با سازندگان اصلی keygen های RTN دارند یا خیر. با این‌حال، تفاوتی نمی کند چرا که بسیاری از فایل های آلوده و نرم افزارهای کرک شده در سایت Mediafire میزبانی شده اند و هنوز قابل دسترس می باشند.

هنگامی که به دنبال منبع این فایل ها در اینترنت هستیم در انتها به این وبلاگ منتهی می شود که در Blogspot ایجاد شده است و بسیاری از برنامه های هک و کرک شده و ابزارهای آلوده به تروجان فوق‌الذکر را برای دریافت قرار داده است و بدین ترتیب به لینک های منتهی به MediaFire مواجه می شویم. همانطور که در بالا ذکر شد، به نظر می‌رسد این کمپین چندین سال است که در حال فعالیت می باشد. تاکنون، نمونه‌هایی را پیدا کردیم که یا وانمود می‌کنند ابزارهای مختلف هک کردن هستند یا وانمود می‌کنند که نصب کننده مرورگر اینترنت کروم هستند. حدود 700 نمونه‌ی مرتبط با زیر دامنه‌ی * .capeturk.com وجود دارد که البته به همین مقدار محدود نمی شود و تعداد بیشتری نمونه وجود دارد که بصورت روزانه این گروه هکری ایجاد می کنند.

نتیجه‌گیری
این تحقیق در حدود 1000 نمونه njRat را که تقریبا بصورت روزانه گردآوری و ساخته شده‌اند را بررسی کرده است. براحتی می‌توان فرض کرد که بسیاری از افراد ناآگاه با این کمپین آلوده شده‌اند (اگرچه در حال حاضر ما قادر به تشخیص دقیق تعداد افراد نیستیم). این کمپین در نهایت به گروه هکری مدیریت کننده این کمپین اجازه دسترسی کاملی به دستگاه فرد آلوده شده را می‌دهد، بنابراین آن‌ها می‌توانند از آن برای هر کاری از انجام حملات DDoS گرفته تا سرقت داده‌های حساس از فرد آلوده شده استفاده کنند. مشخص است که این گروه سرورهایی استفاده می‌کنند که متعلق به خود آنها نمی باشد که به نظر می‌رسد برخی از آن‌ها وبلاگ‌های وردپرس هک شده‌، هستند.دیگر زیرساخت ها وسایت ها متعلق به خود این گروه هکری هستند و با هاستینگ های مختلف و رورد های متفاوت DNS و غیره فعال هستند.

 

       
Subscribe
Notify of
guest
0 Comments
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x