گزارشی نشان میدهد که گروهی از هکرهای وابسته به دولت چین به نام TAG-112 با هک کردن وبسایتهای جامعه تبت، بدافزار Cobalt Strike را منتشر کردهاند. این حملات از طریق سوءاستفاده از نقاط ضعف سیستم مدیریت محتوای جوملا انجام شد و بازدیدکنندگان را فریب میداد تا بدافزارهایی به شکل گواهینامههای امنیتی جعلی دانلود کنند. Cobalt Strike ابزاری مشروع برای تست نفوذ است که میتواند کنترل سیستمهای آلوده را به مهاجمان بدهد و در این مورد برای جاسوسی و جمعآوری اطلاعات استفاده شده است.
مکانیزم حمله: این هکرها کدهای مخربی را در وبسایتها تعبیه کردند که بازدیدکنندگان را به دانلود بدافزاری تحت پوشش گواهینامه امنیتی هدایت میکند. به این ترتیب، زمانی که کاربر وارد یکی از این وبسایتهای آلوده میشود، جاوا اسکریپت مخربی که سیستمعامل و مرورگر کاربر را شناسایی میکند، اجرا میشود. در صورتی که دستگاه کاربر سازگار باشد، به دامنهای تحت کنترل TAG-112 هدایت شده و با یک پیام خطای جعلی TLS از گوگل کروم روبهرو میشود. این پیام کاربران را فریب میدهد تا “گواهینامه امنیتی” تقلبی را دانلود کنند که در واقع بدافزار Cobalt Strike است و امکان دسترسی از راه دور به سیستم قربانی را برای این گروه فراهم میکند.
پیشینه و اهداف: TAG-112 با سوءاستفاده از نسخههای قدیمی و آسیبپذیر جوملا، موفق به تزریق کدهای مخرب شده و به این ترتیب، ابزار Cobalt Strike را برای جاسوسی و جمعآوری اطلاعات مورد استفاده قرار میدهد. این گروه تاکتیکها و زیرساختهای مشترکی با TAG-102، معروف به Evasive Panda، دارد اما در مقایسه با آن از ابزارهای عمومی بهجای بدافزارهای سفارشی استفاده میکند.
کارشناسان امنیت سایبری برای مقابله با این تهدید توصیه میکنند که سامانههای شناسایی نفوذ برای نظارت بر شاخصهای مربوط به TAG-112 پیادهسازی شوند، آگاهی کاربران نسبت به دانلود از منابع غیرمطمئن افزایش یابد و نظارت بر ارتباطات Cobalt Strike به صورت زنده صورت گیرد. این حمله جدید نشاندهنده تلاشهای مستمر دولت چین برای کنترل و نظارت بر گروههایی است که آنها را تهدیدی برای خود میداند، از جمله جامعه تبتی.
یک نظر