امنیت

تجارت الکترونیک

رمز ارز

فناوری اطلاعات

May 19, 2021
15:12 چهارشنبه، 29ام اردیبهشتماه 1400
کد خبر: 124331

بدافزاری در کمین پروکسی استخراج ارز دیجیتال

 
 
مهاجمان در کمپین بدافزار لمون داک و با استفاده از یک پروکسی استخراج ارز دیجیتال به اهداف خود نفوذ می‌کنند و برخی از سرورهای ایرانی را نیز هدف قرار داده‌اند.
 
 بدافزار لمون داک مکانیزم‌های امنیتی ناقص را دور زده و به اجرای محصولات امنیتی خاتمه می‌دهد. نمونه‌های جدید بدافزار Lemon Duck با استفاده از دستور ویندوزی certutil و کدهای اجرایی مخرب، روی دیسک ذخیره و در ادامه با استفاده از PowerShell اجرا می‌شوند.
 
یکسان بودن نام کاربری و رمز عبور ایجادشده در فرمان‌ها با حساب‌های کاربری ساخته‌شده در حملات مبتنی بر دستور ویندوزی certutil، به همراه عواملی دیگر موجب شده است که گردانندگان همه این حملات، یک فرد یا گروه تلقی شوند. مهاجمان در کمپین بدافزار Lemon Duck با استفاده از ProxyLogon برای استخراج ارز دیجیتال به اهداف خود نفوذ می‌کنند و برخی از سرورهای ایرانی را نیز  هدف قرار داده‌اند.
 
شرکت امنیتی Sophos اعلام کرده است که نسخه جدید بدافزار لمون داک، برای ماندگاری روی سیستم‌ها، ماینر را به‌عنوان سرویس ویندوزی نصب می‌کند و آلودگی را در سطح شبکه گسترش می‌دهد. مهاجمان سایبری همچنین با استفاده از تیم بدافزار، حساب کاربری با قابلیت دسترسی از راه دور، در سرورهای قربانی ایجاد  و به‌خوبی از سرورهای آسیب‌پذیر Exchange سوءاستفاده می‌کنند.
 
کارشناسان مرکز مدیریت راهبردی افتا می‌گویند: در صورت مجهز بودن محصول امنیتی به قابلیت‌ حفاظت از دستکاری (Tamper Protection)، تکنیک‌های مهاجمان لمون داک،  بی‌ثمر خواهند بود. مشروح اطلاعات فنی، نشانه‌های آلودگی سرورهای قربانی شده و لینک‎‌ دسترسی به گزارش شرکت امنیتی Sophos در پایگاه اینترنتی مرکز مدیریت راهبردی افتا قابل دریافت و مطالعه است.
 
  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.