روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ سال گذشته، آژانس یوروپل[1] و وزارت دادگستری ایالات متحده آمریکا[2] عده‌ای مجرم سایبری را -مظنون به سرکردگی گروه‌هایی به نام FIN7 و Carbanak- دستگیر کردند. رسانه‌های خبری از فروپاشی این گنگ سایبری خبر داده‌اند اما متخصصین ما هنوز هم در حال شناسایی علایمی از فعالیت آن‌ها هستند. علاوه بر این، تعداد گروه‌های به هم پیوسته که از کیت‌های ابزاری و نیز زیرساخت‌هایی مشابه استفاده می‌کنند رو به افزایش است. در ادامه با ماه همراه شوید تا فهرستی از ابزار اصلی و ترفندهای عمده آن‌ها را خدمتتان ارائه داده و البته راه‌هایی نیز برای جلوگیری معرفی کنیم.

FIN7 تخصصش در حمله‌های سازمانی است؛ از این طریق می‌تواند به اطلاعات مالی و یا زیرساخت [3]PoS دسترسی پیدا کند. کار این گروه از طریق کمپین‌های فیشینگ و البته مهندسی اجتماعی پیچیده جلو می‌رود. برای مثال قبل از ارسال داکیومنت‌های آلوده، ممکن است این گروه برای رد گم‌کنی کلی پیام نرمال رد و بدل کند. در بسیاری از موارد، این حملات از داکیومنت‌های مخرب برای نصب بدافزار روی کامپیوتر قربانی استفاده کرده‌اند. همچنین برای مداوم بودنِ آن نیز  ترتیب برنامه‌های جدول‌بندی‌شده‌ای را داده؛ بعد ماژول دریافت کرده و آن‌ها را در مموری سیستم جاگذاری نمودند. به طور خاص، شاهد ماژول‌هایی بوده‌ایم که کارشان جمع‌آوری اطلاعات، دانلود بدافزار اضافی، گرفتن اسکرین‌شات و ذخیره نمونه‌ی دیگری از همان بدافزار داخل رجیستری بود (که اگر اولی شناسایی شد راه فراری باشد). مجرمان سایبری به طور کلی ممکن است هر زمانی ماژول‌های اضافی بسازند.

گروه CobaltGoblin/Carbanak/EmpireMonkey

سایر مجرمان سایبری نیز از تکنیک‌ها و ابزارهای مشابهی (که فقط شاید در بخش هدف کمی با هم فرق کنند) استفاده می‌کنند- در اینجا منظورمان بانک‌ها و توسعه‌دهندگان نرم‌افزارهای بانکداری و پردازش پول است.

استراتژی اصلیِ Carbanak (یا همان CobaltGoblin یا EmpireMonkey) دسترسی به شبکه‌های قربانی و بعد پیدا کردن اندپوینت‌هایی است که بتوان یک‌جورهایی از آن‌ها پول درآورد.

بات‌نت AveMaria

AveMaria بات‌نت جدیدی است که برای سرقت اطلاعات مورد استفاده قرار می‌گیرد. این بات‌نت به محض آلوده شدن دستگاه شروع می‌کند به جمع‌آوری تمام اطلاعات ممکن (از نرم‌افزارهای مختلف): مرورگرها، کلاینت‌های ایمیل، مسنجرها و غیره. تازه نقش کی لاگر را هم ایفا می‌کند.

مجرمان سایبری برای تحویل پی‌لود از فیشینگ، مهندسی اجتماعی و پیوست‌های مخرب استفاده می‌کنند. متخصصین ما شکشان بر کانکشن‌های آن‌ها با  Fin7 رفته است، زیرا هم زیرساخت C&C (فرمان و کنترل) و هم متودهایشان مثل هم است. شاخص دیگر ارتباط آن‌ها توزیع تارگت است: 30 درصد از تارگت‌ها روی شرکت‌های کوچک و متوسط بود؛ آن‌هایی که تأمین‌کننده‌ و یا ارائه‌دهنده‌ی خدمات برای سازمان‌های بزرگ‌ترند و 21 درصد آن‌ها انواع مختلفی از شرکت‌های تولیدی‌اند.

CopyPaste

متخصصین ما به مجموعه‌ای از فعالیت‌ها با نام رمزی CopyPaste پی بردند که مؤسسات و شرکت‌های مالی یک کشور آفریقایی را مورد هدف قرار داده بود. عاملین دخیل در این اقدامات از ابزارها و روش‌های متعددی برای بکارگیری Fin7 استفاده کردند. با این حال، این امکان نیز وجود دارد که مجرمین سایبری مذکور تنها از نشریات منبع باز استفاده کرده باشند و شاید هیچ ارتباطی نیز با FIN7 در میان نباشد.

چطور ایمن بمانیم

• از راه‌حل‌های امنیتی با کارکردهایی خاص (شناسایی و مسدود کردن اقدامات فیشینگ) استفاده کنید. سازمان‌ها می‌توانند با کاربردهای هدف‌دار داخل بسته‌ی اندپویت سکیوریتیِ سازمانی کسپرسکی[4] از سیستم‌های ایمیل سازمانی خود محافظت کنند.
• مهارت‌های اجرایی دریافت کنید و خود را در محیط آموزشیِ امنیت قرار دهید. برنامه‌هایی چون Kaspersky Automated Security Awareness Platform به شما کمک می‌کند تا مهارت‌های خود را پروزش داده و خود را در معرض حملات فیشینگ را به طور شبیه‌سازی‌شده‌ای قرار دهید تا واکنش‌دهی به آن‌ها برایتان ساده‌تر شود.
• همه‌ی گروه‌هایی که نامشان در این مقاله ذکر شد تا حد زیادی از سیستم‌های وصله‌نشده (در محیط‌های سازمانی) تغذیه می‌کنند. برای محدود کردن توانایی‌شان از استراتژی قویِ پچینگ مانند بسته‌ی اندپویت سکیوریتیِ سازمانی کسپرسکی استفاده کنید که می‌تواند به طوراتوماتیک نرم‌افزار مربوطه را وصله کند. 

[1] Europol

[2]  US Department of Justice

[3]پایانه فروش

[4] Kaspersky Endpoint Security for Business