حمله هکرهای ایرانی به سرورهای RDP و استقرار باج‌افزار Dharma

حمله هکرهای ایرانی به سرورهای RDP و استقرار باج‌افزار Dharma

گروهی از هکرهای کم مهارت که به نظر می‌رسد از کشور ایران باشند، به حمله باج‌افزاری علیه کشورهای روسیه، هند، چین و ژاپن پیوسته‌اند. این هکرها، از روش‌های ساده و ابزارهای عمومی در فعالیت‌های خود استفاده می‌کنند.

این گروه جدید، از باج‌افزار Dharma استفاده می‌کند و براساس آرتیفکت‌های فارنزیک، انگیزه‌های مالی دارند. البته، مبلغ درخواستی این گروه، نسبت به میانگین باج‌های درخواستی، کمتر است (بین ۱ تا ۵ بیت‌کوین).

حمله با استفاده از باج‌افزار Dharma

این هکرها، با استفاده از اسکن رنج آدرس IPها، RDPهای (remote desktop connections) در معرض خطر را پیدا می‌کنند. در این مرحله، ابزار مورد استفاده آن‌ها، یک اسکن پورت متن‌باز به نام Massacan است.

در مرحله بعد، با استفاده از NLBrute که لیستی از رمزعبورهای RDP را بررسی می‌کند تا یک کمبو مناسب پیدا کند، یک حمله بروت‌فورس راه‌اندازی می‌کنند. در صورت موفقیت، از یک آسیب‌پذیری قدیمی در ویندوز ۷ تا ۱۰ (CVE-2017-0213) استفاده می‌کنند تا سطح دسترسی خود را ارتقاء دهند.

مطلب زیر می‌تواند برای شما مفید باشد:

آشنایی با گروه هکرها

محققان شرکت امنیت سایبری Group-IB طی عملیات واکنش به حادثه در یک شرکت روسی، با این گروه آشنا شدند و براساس شواهد فارنزیک، اعلام کردند که این هکرها ممکن است هکرهای فارسی زبان و تازه‌کار باشند.

رفتار این هکرها بعد از انجام عملیات بالا، تأییدی است بر نتیجه گیری Group-IB. به نظر می‌رسد که این هکرها نمی‌دانند بعد از نقض امنیتی یک شبکه، چه باید بکنند و بعد از برقراری اتصال RDP، تصمیم می‌گیرند که از چه ابزاری استفاده کنند. برای مثال، برای غیرفعال کردن آنتی ویروس داخلی، از Defender Control و Your Uninstaller استفاده کردند.

شواهد دیگر، نشان می‌دهد که این عملیات، نتیجه یک script kiddie از ایران است و از جملات جستجو شده به زبان فارسی برای پیدا کردن ابزارهای دیگر برای حمله و کانال‌های تلگرامی فارسی زبانی که این ابزارها را در اختیار آن‌ها قرار می‌دهند، می‌آید.

شرکت Group-IB، تکنیک‌ها، تاکتیک‌ها و رویه‌های زیر را در رابطه با این گروه مشاهده کرده است:

IranCrimTTP-Group-IB

اطلاعات دقیقی درباره تعداد قربانیان این گروه وجود ندارد، درست مانند مسیری که باعث شده اعضای آن از عملیات RaaS دارما استفاده کنند. در اخبار باج افزار این هفته گفتیم که دارما ابزاری ارائه می‌دهد که ارتکاب جرم را برای مهاجمان آسان می‌کند. با وجود چنین ابزارهایی، نباید از به وجود آمدن این گروه‌های کم‌تجربه تعجب کنیم.

موضوعی که برای محققان عجیب است، انگیزه مالی این گروه است زیرا معمولاً هدف چنین گروه‌هایی، خرابکاری و جاسوسی است.

علاقمند به حوزه امنیت اطلاعات و آشنا به حوزه تست نفوذ
  • facebook
  • twitter
  • googleplus
  • linkedIn
  • flickr

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.