گروه معروف Charming Kitten، چندین قربانی را در ایالات متحده، اروپا و خاورمیانه را با بدافزاری به نام BellaCiao هدف قرار میدهد و آنرا به لیست ابزارهای سفارشی در حال گسترش خود اضافه کرده است. بنابر ادعای بیتدیفندر، بدافزار BellaCiao، یک “دراپر شخصیسازی شده” است که میتواند payloadهای بدافزار دیگر را بر اساس دستورات دریافتشده از یک سرور تحت کنترل مهاجم، در دستگاه قربانی مستقر کند. شرکت بیتدیفندر در گزارشی گفته که هر نمونه جمعآوریشده به یک قربانی خاص مرتبط بوده است و شامل اطلاعات رمزگذاریشده مانند نام شرکت مرتبط بود. گروه Charming Kitten که با نامهای متفاوت APT35، Cobalt Illusion، Educated Manticore، ITG18، Mint Sandstorm، TA453، و Yellow Garuda نیز شناخته میشود. در طول سالها، این گروه از ابزارهای مختلفی جهت استقرار Backdoorهای مختلف در سیستمهای متعلق به طیف گستردهای از صنایع سایبری استفاده کرده است. این بدافزار، به نوبه خود، همچنین به دلیل انجام یک درخواست DNS هر روز برای یک زیر دامنه به یک آدرس IP که متعاقبا برای استخراج دستورات اجرا شده در سیستم در معرض خطر تجزیه میشود، مورد توجه قرارگرفته است. زوگک توضیح داد که آدرس IP ریزالو شده مانند آدرس IP عمومی واقعی است، اما با تغییرات جزئی، به بدافزار BellaCiao اجازه میدهد دستورالعملهای بیشتری را دریافت کند و با یک سرور DNS کنترل شده توسط مهاجم ارتباط برقرار میکند که دستورالعملهای سخت کدگذاری شده مخرب را از طریق یک آدرس IP ریزالو شده ارسال نماید که آدرس IP واقعی هدف را تقلید میکند. در نتیجه، بدافزار اضافی از طریق دستورالعملهای کدگذاری سخت بهجای روش دانلود سنتی، مستقر میشود. بسته به آدرس IP ریزالو شده، زنجیره حمله منجر به استقرار یک وب شِل میشود که از قابلیت آپلود و دانلود فایلهای دلخواه و همچنین اجرای دستورات پشتیبانی میکند.
بدون دیدگاه