تهدیداتخبر

هکرها برای دسترسی به سیستم از Windows Narrator استفاده می‌کنند

هکرهای چینی در حال جایگزین کردن برنامه قانونی Narrator در سیستم‌های ویندوز با اهداف خرابکارانه هستند که امکان دسترسی از راه دور بر روی حساب سیستم‌عامل را برای آنها فراهم می‌کند.

محققان امنیتی بلک بری سیلانس (BlackBerry Cylance) امروز در گزارشی بیان کردند، در حالی که این حمله، حمله جدیدی نیست، هکرهای چینی رویکرد جدیدی برای آن دارند.

بیشتر بدافزارها با سوءاستفاده از ویژگی‌های دسترسی، رابط Narrator را تکرار کرده و دستکاری‌هایی در آن انجام می‌دهند. در این حمله، یک برنامه جعلی جای برنامه مشروع را می‌گیرد و آن را با یک پنجره با هم پوشانی پنهان راه اندازی می‌کند که منتظر ورود کلیدهای خاصی است.

به گفته محققان سیلانس: “هنگامی که رمز‌های عبور صحیح تایپ شده باشد، بدافزار با نمایش گفتگویی به مهاجم اجازه می‌دهد تا مسیر را برای اجرای یک پرونده مشخص کند.”

هنگامی که رمز‌های عبور درست هک شده در بدافزار به صورت “showmememe” وارد می‌شوند، این پنجره پنهان قابل مشاهده می‌شود. به این ترتیب، مهاجم می‌تواند دستورات یا موارد اجرایی را با امتیازات بالا پیاده سازی کند.

برای اجرای Narrator جعلی روی صفحه ورود به سیستم دسکتاپ، هکرها در ابتدا سیستم را با یک نسخه سفارشی از PcShare با منبع باز به خطر می‌اندازند.

آنها برای اطمینان از یک عمل پنهانی، به بارگذاری جانبی، تزریق حافظه و تاکتیک‌های غلط هدایت، متکی هستند.

اجرای درب پشتی روی سیستم مورد نظر با کمک برنامه مشروع “NVIDIA Smart Maximize Helper Host” انجام می‌شود، که بخشی از درایورهای گرافیکی NVIDIA است.

محققان هنگام تجزیه و تحلیل درب پشتی، متوجه تفاوت آن با نسخه عمومی میزبانی شده در GitHub است. برخی از قابلیت‌های اصلی به احتمال زیاد به دلیل عدم نیاز و برای یک برنامه کوچکتر، حذف شده است.

لیست ویژگی‌های مدیریت از راه دوری که محققان به تازگی آن را کشف کردند شامل موارد زیر است:

  • فهرست بندی، ایجاد، تغییر نام، حذف پرونده‌ها
  • فهرست بندی فرایندها
  • ویرایش کلیدها و مقادیر رجیستری
  • فهرست بندی خدمات و سرویس‌ها
  • شمارش و کنترل پنجره
  • اجرای باینری‌ها
  • بارگیری فایل‌های اضافی از C&C یا URL ارایه شده
  • بارگذاری پرونده‌ها در C&C
  • اجرای خط فرمان
  • هدایت URL‌ها
  • نمایش جعبه‌های پیام
  • راه اندازی مجدد یا خاموش کردن سیستم

جدا از این موارد، PcShare سفارشی دارای SSH و سرور Telnet، حالت به‌روزرسانی خودکار و همچنین گزینه‌هایی برای بارگیری و بارگذاری فایل‌ها است.

برای محافظت از زیرساخت‌های C2، هکرها یک پرونده پیکربندی را با متن ساده با آدرس مستقیم به یک پرونده راه دور هدایت می‌کنند که حاوی جزئیاتی برای دستیابی به C2 واقعی است.

سیلانس عنوان می‌کند: “این کار به مهاجمان اجازه می‌دهد تا آدرس C&C مورد نظر را به راحتی تغییر دهند، تصمیم بگیرند که چه زمانی ارتباط برقرار شود، و با استفاده از فیلتر سرور، آدرس واقعی را به درخواست‌هایی که از مناطق خاص یا در زمان‌های خاص محدود است، آشکار کند.”

سیلانس گمان می کند که این حملات کار یک گروه تهدید پیشرفته چینی موسوم به Tropic Trooper یا KeyBoy است که موسسات دولتی و شرکت‌های صنعت سنگین را در تایوان و فیلیپین هدف قرار داده است.

اگرچه این انتساب دقیق بر اساس شواهد موجود امکان پذیر نیست، اما آمار قربانیان، موقعیت جغرافیایی آنها و استفاده از PcShare به این مورد اشاره دارد. این حملات به شرکت‌های فناوری در جنوب شرقی آسیا نیز صورت گرفته است.

 

 

 

نمایش بیشتر

نوشته های مشابه

پاسخی بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

شش − یک =

دکمه بازگشت به بالا
بستن
بستن