بدافزار MQsTTang و دسترسی به اطلاعات حساس

مقدمه
هکرهای چینی( MQsTTang-A) با دسترسی به فایل های  دارای رفتار معیوب  قصد سرقت اطلاعات حساس را از سازمان‌های هدف دارند .

جزئیات آسیب‌پذیری
Av ،یک نوع پیشرفته‌ از فناوری تشخیص ویروس می باشدکه فایل هایی که رفتار معیوب و مشکوک دارند را با استفاده از این فناوری شناسایی می کنند.
یک گروه از هکر های چینی (MQsTTang) با استفاده از این فناوری (AV)بدافزاری طراحی کرده اند که فایل های معیوب را شناسایی و شرایط دسترسی به اطلاعات حساس سازمان های مختلف را ایجاد کرده اند .این گروه با تمرکز اولیه بر تایوان و اوکراین , انتخابات در حال انجام دولت و سازمان‌های سیاسی در اروپا و آسیا را مورد هدف قرار داده است .
ایمیل‌های )Spear - phishing فیشینگ هدفمند )فایل های معیوب ارجح برای فعالیت این بدافزار هستند .
عملکرد این بدافزار براساس گزارش ESET , MQsTTang بدین صورت است که  این بد افزار قابلیت‌های اجرای فرمان از راه دور را در کامپیوتر قربانی فراهم می‌کند و پس از اجرای فرمان ،خود را در کامپیوتر قربانی کپی می کند و با ایجاد یک کلید رجیستری جدید در مسیر زیرشرایط را  برای فعال سازی بدافزار هنگام راه‌اندازی سیستم به وجود می آورد:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
 

این بدافزار دارای توانایی ذاتی برای مقاومت در برابر شناسایی توسط مدافعان است.
بدافزار MQsTTang برای شناسایی نشدن، از مکانیزمی برای تشخیص ابزارهای عیب یابی یا نظارت بر روی سیستم میزبان استفاده می کند. اگر چنین ابزارهایی شناسایی شوند، بدافزار رفتار خود را برای جلوگیری از شناسایی با آن ابزار تطبیق می دهد.
این بدافزار از پروتکل MQTT برای تسهیل ارتباط بین سرور فرمان و کنترل استفاده می کند.
** پروتکل : MQTT پروتکل MQTT  یک پروتکل ساده است که بر روی بستر TCP/IP سوار شده است و انتقال اطلاعات را بر اساس Socket انجام می دهد، هدر های مورد استفاده در MQTT حجم خیلی کمی دارند و این امر باعث کاهش حجم ترافیک در تبادلات شده و هم چنین باعث سادگی پروتکل می‌شود .
و ارتباط از طریق یک کارگزار را تسهیل می کند و زیرساخت مهاجم را پنهان نگه می دارد.**

محصولات تحت تأثیر
اطلاعات حساس از سازمان‌های هدف

 توصیه‌های امنیتی
ماهیت حملات Spear Phishing به گونه‌ای است که شناسایی آنها بسیار دشوار است و متأسفانه هیچ ابزار و روش فنی کامل و کارآمدی برای توقف وجود ندارد.
بهترین روش دفاع در برابر حملات فیشینگ هدفمند، استفاده از خرد انسانی است و اینکه سازمان‌ها برای حفاظت بهتر باید زیرساخت‌های امنیتی عمیق (مانند احراز هویت دوعاملی (2FA)و سیاست‌های مربوط به مدیریت پسوردها) در مقابل این بدافزار داشته باشند .
و همچنین به کاربران توصیه می‌شود برای مقابله با این بدافزار از ضد بدافزار به‌روزشده استفاده نمایند .

 منابع خبر:

[1] https://gbhackers.com/mqsttang/
[2] Spear Phishing is the Next Big Challenge for CISOs (https://gbhackers.com)
[3] https://thehackernews.com/2023/03/chinese-hackers-targeting-european.html