ابزارهای کنترل از راه دور محبوب در بین مجرمان سایبری
اخبار داغ فناوری اطلاعات و امنیت شبکه
ابزارهای دسترسی از راه دور به یک پشتیبانی همه کاره برای سازمانها تبدیل شدهاند. بااینحال، این ابزارها با خطر نیز همراه هستند؛ مانند خطر استفاده توسط مجرمان سایبری علیه سازمانها. در اینجا برخی از ابزارهای دسترسی از راه دور مرسوم برای مجرمان سایبری، توسط AhnLab مشخص شده است.
Shell از راه دور
این رایجترین ابزار دسترسی از راه دور است که میتواند به shell معکوس (Reverse Shell) و Blind Shell طبقهبندی شود.
هنگامی که Shell راه دور بر روی یک سیستم در معرض خطر مستقر میشود، مهاجم میتواند سیستم قربانی را کنترل کند و دستورات را اجرا کند.
آخرین نسخه تروجان بانکی Ursnif، با نام LDR4، بهعنوان یک تروجان backdoor عمل میکند و تلاش میکند VNC یا shell راه دور را بهدستگاه آلوده وارد کند.
رتها (RAT)
محبوبترین RATهایی که در دارکوب فروخته میشوند عبارتند از RedLine Stealer، NanoCore، BitRAT و Remcos RAT.
جدای از موارد فوق، RAT دیگر Gh0stCringe است که گونهای از Gh0st RAT است. در ماه مارس، کشف شد که Gh0st سرورهای پایگاه داده مایکروسافت SQL و MySQL را هدف قرار داده است.
حتی مهاجمان نیز Backdoorهای خود را میسازند، مانند AppleSeed، NukeSped، و PebbleDash که توسط گروههای Kimsuky و NukeSped. Lazarus APT مورد حمایت کره شمالی در حال سواستفاده از آسیبپذیری Log4j برای حذف backdoor با نام NukeSped است که در راستای جاسوسی سایبری استفاده میگردد.
کبالت استرایک (Cobalt Strike)
بدافزار Cobalt Strike یک ابزار امنیتی تهاجمی است که توسط تیمهای پرخطر استفاده میشود. بااینحال، مهاجمان به طور فزایندهای از آن برای فعالیتهای مخرب خود استفاده میکنند.
اخیرا، HHS نسبت به افزایش آلودگیهای Cobalt Strike در بخش مراقبتهای بهداشتی هشدار داده بود. ابزار pentesting بیشتر توسط بازیگران تهدید تحت حمایت دولت ملی، ازجمله Mustang Panda، APT10، APT41 و Winnti مورد سواستفاده قرار میگیرد.
گروه باجافزار Black Basta از QAKBOT، Cobalt Strike و Brute Ratel (یکی دیگر از ابزار Red Teaming) برای نفوذ به شبکه استفاده کرده است.
AveMaria یا Warzone RAT
اساسا Warzone RAT به طور معمول از طریق ایمیلهای اسپم مستقر میشود، که میتواند وظایف متعددی ازجمله اجرای shell از راه دور و keylogging را انجام دهد.
در ماه سپتامبر، مشاهده شد که گروه روسی Sandworm APT با تظاهر به ارائهدهندگان مخابرات، اوکراین را با بدافزارهای مناسب اهدافشان، هدف قرار میداد. هدف نهایی، استقرار Warzone RAT و Colibri Loader بر روی سیستمهای حیاتی بود.
کلام پایانی
ابزارهای دسترسی از راه دور به طور فزایندهای مورد سواستفاده قرار میگیرند، زیرا میتوانند به مهاجمان اجازه آسیب رساندن به شبکهها و سیستمهای قربانیان را از طرق مختلف بدهند. بنابراین، تیمهای امنیتی باید فعالیتهای مجاز عادی را بررسی کرده و آنها را اجرا کنند. اتخاذ یک استراتژی امنیت سایبری فعال و اجرای اصول اولیه بهداشت امنیت سایبری برای محافظت از یک سازمان در برابر تهدیدات امنیتی بسیار مهم است.
برچسب ها: Sandworm APT, Colibri Loader, Warzone RAT, AveMaria, Red Teaming, Brute Ratel, Black Basta, APT41, PebbleDash, Gh0st, Gh0st RAT, Gh0stCringe, Remcos RAT, NanoCore, BitRAT, Ursnif, Blind Shell, Remote Shell, Pentesting, APT10, کنترل از راه دور, MySQL, NukeSped, keylogging, Mustang Panda, VNC, Lazarus APT, Log4j, RedLine Stealer, reverse shell, Qakbot, Winnti, باجافزار, Cybercriminal, Cobalt Strike, AppleSeed, Kimsuky, DarkWeb, RAT, malware, ransomware , تروجان, Cyber Security, حملات سایبری, جاسوسی سایبری, backdoor, SQL, بدافزار, امنیت سایبری, Cyber Attacks, مجرمان سایبری, حمله سایبری, news