شماره: IRCNE2014082272
تاريخ: 93/5/13
طبق بررسي كارشناسان FireEye ، گروهي از مهاجمين كه با عنوان PittyTiger شناخته مي شوند، از تكنيك مهندسي اجتماعي براي ارسال ايميل هاي فيشينگ به زبان هاي متعدد براي حمله به اهداف خود استفاده ميكنند. گروه PittyTiger با استفاده از ابزارها و بدافزارهاي متعدد با سرورهاي فرمان و كنترل (C2)ارتباط برقرار كرده و به شبكه هاي اهداف خود دسترسي كامل پيدا ميكنند. كارشناسان FireEye تاييد كردند كه حملات انجام شده توسط اين گروه مطابق با TTPs مهاجمين چيني است.
اين گروه به تازگي يك سري حمله عليه يك شركت فرانسوي را با ارسال آدرس ايميل رايگان به زبان فرانسه و انگليسي تحت نام هاي كاركنان واقعي شركت آغاز كرده است. بررسي ها نشان مي دهد كه مهاجمين از صفحات فيشينگ ايميلYahoo! استفاده مي كنند كه داراي صفحات فيشينگ به زبان هاي مختلف براي مناطق مختلف است. اگرچه اين گروه براي مدت طولاني فعال بوده است، اما به نظر مي رسد بر خلاف ديگر مهاجمين پرسرو صدا، در مورد اهدافش بسيار خاص عمل مي كند.
اين گروه حملات خود را با شناسايي آسيب پذيري CVE-2012-0158 و CVE-2014-1761 در Microsoft Office انجام ميدهند. بر اساس بررسي ها، ابزاري كه مستنداتي با اكسپلويت CVE-2012-0158 ايجاد كرده است، در metadata خود نويسنده را Tran Duy Linh نشان مي دهد. ابزار سازندهCVE-2014-1761، murkier است، اما مستندات توسط اكسپلويتي ايجاد شده اند كه شامل metadata ايي منطبق بر مستندات آلوده ايجاد شده توسط هر دو سازنده Jdoc و Metasploit Framework مي باشد. اخيراً در يك حمله بر عليه يك هدف در تايوان، اين مستندات آلوده براي نصب بدافزاري با نام Backdoor.APT.Pgift (با نام مستعار Troj/ReRol.A) استفاده شده اند. سپس اتصال به سرور كنترل و فرمان C2 صورت مي گيرد و در حالي كه برخي از اطلاعات در مورد كامپيوتر آلوده رد و بدل مي گردد، بدافزار ديگري در مرحله دوم روي سيستم نصب مي گردد. اين گروه همچنين از يك Builder براي ايجاد و تست فايل هايي كه روي سرور C2 قرار داده شده اند، استفاده مي كند كه در ارتباط با backdoor بدافزار مي باشد.
با توجه به دسترسي به طيف گسترده اي از بدافزارها، از جمله بدافزاهايي كه به طور گسترده موجود است و ابزارهاي سفارشي كه فقط به نظر مي رسد اين گروه به آن دسترسي داشته باشند، اين گروه همچنان از بدافزارهاي قديمي تر بهره مي گيرند. از بدافزارهاي ديگر استفاده شده توسط اين گروه ميتوان به Backdoor.APT.PittyTiger، Backdoor.APT.Lurid و Poison Ivy اشاره نمود.
- 2