נחשף אופן פעולה חדש של דלת אחורית ע"י קבוצת התקיפה Fancy Bear
מאת:
מערכת Telecom News, 22.5.19, 15:15
הדלת האחורית בשם “zebrocy” מופצת לראשונה בשימוש בהנדסה חברתית ובעלת יכולת לקבל יותר מ-30 פקודות שונות על גבי המחשב הנפגע. איך זה עובד?
במשך שנים קבוצת התקיפה הידועה
Fancy Bear, שכיכבה בכותרות גם בשמות נוספים
Sednit ,APT28 ,Sofacy ו-
STRONTIUM, תוקפת מטרות באירופה, מרכז אסיה והמזרח התיכון ודרכי הפעולה שלה השתכללו באופן דרסטי.
כעת החוקרים של
ESET מפרסמים את הממצאים האחרונים אודות הקבוצה: יכולות הדלת האחורית “
zebrocy” משוכללות יותר וכוללות יכולת ביצוע של יותר מ-
30 פקודות שונות במחשב הנפגע.
הפקודות הראשוניות כמו צילומי מסך ומידע נוסף על הרשת והמערכת, מאפשרות לתוקפים להסיק האם מדובר במטרת איכות ובהתאם להשתמש בפקודות נוספות כמו שליפה של כל המסמכים מיום נבחר או מחודש שלם.
הדלת האחורית מסיימת את פעולתה במהירות וברגע ששולחת מידע אודות המערכת, המפעיל תופס שליטה ומתחיל בשליחת פקודות נוספות. זאת, כאשר התהליך כולו לוקח דקות בודדות בלבד. במידה ומתגלה, שהמטרה מעניינת במיוחד, תישלח אל הקורבן דלת אחורית נוספת עם יכולות נוספות.
בנוסף, במסגרת הקמפיין הנ"ל ,
Fancy Bear לראשונה השתמשה ב-Spear Phishing והפיצה מייל בו לינק זדוני מקוצר המוביל לשלב הראשון של הדלת האחורית. זו דרך לא שגרתית, שכן הקבוצה לא השתמשה עד כה בטכניקה של שליחה ישירה של הנוזקה לנתקפים והפעם נשענה באופן מלא על הנדסה חברתית כדי למשוך קורבנות להריץ את השלב הראשון בשרשרת התקיפה.
יחס הגילוי של דלת אחורית זו הוא נמוך מהרגיל הודות להתקפה ממוקדת על רשימת מטרות מצומצמת, זמן פעולה קצר מרגע ההפעלה והסרה מהירה של הדלת האחורית ע"י התוקפים בעת שהשיגו את מטרתם. זאת, כדי לחמוק מזיהוי וניתוח של הדלת האחורית ע"י חוקרי אבטחה.
המחקר המלא –
כאן.