گزارش دیجیتال فارنزیک - بخش چهارم

یکی از کمپین بدافزاری پیشرفته که پیشتر، از آن استفاده گردید به خانواده بدافزاری Gozi (Ursnif) نسبت داده می‌شود. این کمپین با هدف قرار دادن سازمان‌ها و نهادهای مختلف در آمریکای شمالی و اروپا، از تکنیک‌ها، تاکتیک‌ها و رویه‌هایی (TTPs) استفاده می‌کند که به‌طور مؤثری توانسته‌اند از چندین لایه کنترل‌های امنیتی عبور کنند.

آنچه این فعالیت مخرب را متمایز می‌کند، بهره‌گیری هوشمندانه از زیرساخت‌های قابل اعتماد مانند Google Drive، سوءاستفاده از حساب‌های ایمیل هک‌شده برای ورود به زنجیره مکاتبات قبلی، و استفاده گسترده از تکنیک‌های اجرای بدون فایل (Fileless Execution) است؛ عواملی که شناسایی این تهدید را برای ابزارهای امنیتی مبتنی بر امضا و حتی برخی راهکارهای پیشرفته دشوار کرده‌اند.

بررسی‌ها نشان می‌دهد این کمپین از اوایل آوریل آغاز شده و با جابه‌جایی مداوم زیرساخت فرماندهی و کنترل (C2) و تحویل ماژول‌های تکمیلی نظیر Cobalt Strike و TVRat (TeamViewer RAT)، به‌سرعت به مرحله دسترسی کامل مهاجم به سیستم قربانی منتهی شده است. این رفتار نشان‌دهنده سطح بالای بلوغ عملیاتی مهاجمان و احتمال تداوم این فعالیت در آینده نزدیک است.

این گزارش با هدف تشریح زنجیره آلودگی، تحلیل مراحل حمله از دسترسی اولیه تا کنترل نهایی، و ارائه توصیه‌های عملی برای شناسایی و مقابله با این تهدید تهیه شده است.

به منظور دانلود نسخه کامل این گزارش به لینک زیر مراجعه نمایید:

دانلود گزارش دیجیتال فارنزیک بخش چهارم