هکرها از طریق Java RAT به بانک های هندی حمله کردند تا بتوانند کامپیوترهای ویندوز، لینوکس و مکینتاش که جاوا نصب کرده اند را هک کنند
1399/2/29 دوشنبهدر حال حاضر که به دلیل بیماری همهگیر COVID-19، تمام دنیا در حال تعطیلی هستند، برای مجرمان سایبری فرصتهای بسیاری فراهم شده است تا جاییکه اخیراً مهاجمان سایبری تمام بانکهای تعاونی در هند را هدف قرار دادهاند. محققان از فعالیتهای جدیدی پرده برداشتند که در آن مهاجمان از موج تجدید شده Adwind Java RAT برای شروع حملات علیه بانکهای تعاونی در هند استفاده کردهاند.
کلیات
در حال حاضر که به دلیل بیماری همهگیر COVID-19، تمام دنیا در حال تعطیلی هستند، برای مجرمان سایبری فرصتهای بسیاری فراهم شده است تا جاییکه اخیراً مهاجمان سایبری تمام بانکهای تعاونی در هند را هدف قرار دادهاند. محققان از فعالیتهای جدیدی پرده برداشتند که در آن مهاجمان از موج تجدید شده "Adwind Java RAT" برای شروع حملات علیه بانکهای تعاونی در هند استفاده کردهاند.
بانکهای تعاونی، بانکهایی هستند که از نظر اندازه کوچک بوده و به طور کلی هیچ تیم بزرگی آموزشدیده در زمینه فناوری اطلاعات و امنیت سایبری ندارند که بتواند این قبیل حملات سایبری را کنترل کند.
درست مانند سایر حملات سایبری با موضوعCOVID-19 ، کمپین Java RAT نیز فعالیت خود را با یک ایمیل فیشینگ آغاز میکند اما در اینجا، تفاوت این است که ایمیلهای فیشینگی که مهاجم برای قربانیان خود ارسال میکند، مدعی ارسال از بانک Reserve هند یا هر موسسه بزرگ بانکی دیگری در این کشور است.
سامانهها/خدمات تحتتأثیر
این کمپینهای مخرب میتوانند تأثیر مستقیمی بر بانکها و مشتریانشان داشته باشند. در نتیجه، بازیگران سایبری به راحتی میتوانند اطلاعات مشتریان و جزئیات مهم زیرساختهای مالی بانکها را سرقت کنند.
تشریح
براساس گزارشQuick Heal ، همه این ایمیلهای فیشینگ به دستورالعملهای جدید RBI یا هرگونه تراکنش با اطلاعات دقیق در یک فایل ضمیه، که به صورت یک فایل zip است، ارجاع دادند. در واقع در داخل آن فایلzip ، مهاجم یک فایل JAR مخرب را به عنوان یک ضمیمه به نام یک گزارش مفصل الحاق میکند.
پرونده مخربJAR ، که توسط مهاجمان برای قربانیان ارسال میشود، یک تروجان از راه دور است و به همین دلیل مهاجمان میتوانند به راحتی آنها را در رایانههای شخصی ویندوز، لینوکس و مک که جاوا نصب شده است، اجرا میکنند.
بار مخرب با تغییر کلید رجیستری خود را تحمل میکند و سپس payload، پرونده JAR را در٪ appdata٪ رها میکند و همه این موارد بطور خودکار هنگامی که کاربر به طور دستی پیوست ارسال شده توسط مهاجم را باز کند، اتفاق میافتد. برای دور زدن تشخیص آنتیویروسها، این پرونده مخرب JAR، حاوی چندین لایه رمزگذاری و برنامهنویسی پیچیده است.
هنگامی که پرونده مخرب JAR در سیستم قربانی اجرا شد، آن را به طور خودکار به یک ابزار مدیریت از راه دور (JRAT) تبدیل میکند که به مهاجمان اجازه میدهد انواع مختلفی از فعالیتهای مخرب زیر را انجام دهند:
- این Backdoor میتواند با ارسال دستورات، پایداری آن را ایجاد یا حذف کند.
- Adwind RAT قادر است از راه دور دسکتاپ قربانی را کنترل کند.
- مهاجم از robot class برای کنترل ماوس و صفحهکلید با ارسال دستورات از یک دستگاه از راه دور استفاده کرده و از کامپیوتر قربانی اسکرینشات تهیه میکند.
- Backdoor ها اغلب منجر به سرقت اعتبار برای زیرساختهای مهم مالی میشوند.
مشخصههای شناسایی
حملات سایبری در بانکها میتواند منجر به سرقت کلیه اطلاعات مشتری و جزئیات مهم زیرساختهای مالی شود.
در اینجا برخی از اسامی مورد استفاده در پیوستهای کمپین Java RAT آورده شده است:
موضوعات ایمیل:
- فوری - الگوی نظارت بر اقدامات COVID
- گزارش پرس و جو برای RBI INSPECTION
- مهلت قانونی
- FMR returns
- مشاوره ارزیابی - MH-603
- [874890897] – MIS for NEFT/RTGS, 06-04-2020 [1]
- فرم DI
نام فایلهای پیوست:
- Covid_19_measures_Monitoring_Template-Final_xlsx.zip
- NSBL-AccListOnTheBasisOfKYCData_0600402020_pdf.zip
- Gazette notification&RBI_Directives_file-00000120_pdf.zip
- Fmr-2_n_fmr_3_file_000002-pdf.zip
- MON01803_DIC_pdf.zip
- FIXEDCOMPNULL_xls.zip
- SHRIGOVARDHANSING0023JI001_pdf.zip
- DI_form_HY_file_00002_pdf .zip
راهکار
شرکت امنیتی Quick Heal اکیداً به کاربران توصیه کرده است که اقدامات امنیتی لازم را انجام دهند و از باز کردن پیوست های ضمیمه شده در ایمیل از منابع ناشناخته خودداری کنند.
منبع :
https://www.reddit.com/r/HackingTechniques/comments/gjhfmq/hackers_attacking_indian_banks_via_java_rat_to/