گروه پژوهشی تهدیدات پیشرفته McAfee اخیراً گزارشی را منتشر کرده است که بیان می کند یک حمله بدون فایل ، سازمان های برگزارکننده المپیک زمستانی پیونگ چانگ را که در کره جنوبی برگزار می شود، هدف حمله خود قرار داده است. این حمله از قرار دادن یک اسکریپت PowerShell بر روی سیستم قربانی استفاده می کند که کانالی را به سمت سرور مهاجم برای جمع آوری اطلاعات پایه در سطح سیستم ایجاد می کند.
تحلیل گران McAfee در 24 دسامبر 2017، یک بدافزار با نام Gold Dragon به زبان کره ای را مشاهده کردند. به گفته McAfee در حال حاضر این بدافزار، مرحله دوم این حملات به بازی های المپیک است که گروه پژوهشی تهدیدات پیشرفته McAfee آن را در 6 ژانویه 2018 کشف کرد. اسکریپت PowerShell که در کمپین های المپیک مورد استفاده قرار می گرفت، یک عامل قدیمی مبتنی بر چارچوب Empire PowerShell بود که یک کانال رمز شده را به سمت سرور مهاجم ایجاد می کرد. با این حال، این اسکریپت، نیاز به ماژول های اضافی دارد تا به عنوان یک درب پشتی کاملاً کارآمد اجرا شود. علاوه بر این، اسکریپت PowerShell دارای مکانیزمی نیست که فراتر از یک وظیفه ساده زمان بندی شده دوام بیاورد. Gold Dragon مکانیزم ماندگاری بسیار قوی تری نسبت به اسکریپت مخرب PowerShell اولیه دارد و مهاجم را قادر می سازد تا سیستم هدف را خیلی بیشتر مورد حمله قرار دهد. همان روزی که کمپین المپیک آغاز شد، Gold Dragon دوباره ظاهر شد. بدافزار Gold Dragon قابلیت های گسترده ای برای به دست آوردن اطلاعات از سیستم هدف و ارسال نتایج آن به یک سرور کنترل دارد. اسکریپت اجرایی PowerShell فقط قابلیت جمع آوری داده های اولیه مانند نام کاربری، دامنه، نام دستگاه و پیکربندی شبکه را داشت که تنها برای شناسایی قربانیان و راه اندازی بدافزارهای پیچیده تری علیه آنها قابل استفاده بود.
- 2