KopiLuwak ؛ جاسوسافزاری پیشرفته
مرکز مدیریت راهبردی افتا به نقل از شرکت Proofpoint از ایجاد کمپین سایبری جدیدی توسط گروه Turla خبر داده است.
Proofpoint نمونهای از Dropper جدید بدافزار KopiLuwak را کشف کرده که محققان این شرکت بر این باورند که توسط گروه Turla توسعه داده شده است.
بدافزار مذکور که مبتنی بر JavaScript است، برای اولین بار به همراه یک نامه رسمی در سال 2017، از طرف سفارت قطر در قبرس به وزارت امور خارجه قبرس ارسال شد. بدافزار KopiLuwak از چندین لایه کد JavaScript برای جلوگیری از شناسایی شدن استفاده میکند.
کد مخرب، با ایجاد کلیدی در محضرخانه (Registry) در سیستم ماندگار میشود. با آلوده شدن سیستم، کد مخرب میتواند مجموعهای از فرامین را برای جمعآوری اطلاعات و سرقت آنها اجرا کند. دادههای جمعآوری شده در فایل ذخیره شده و پس از رمز شدن و ذخیره شدن در حافظه، حذف میشوند.
این بدافزار توسط مجموعهای از سایتهای کنترل شده و نشانی IP این سایتها نیز درون این بدافزار وجود دارد. سرور فرماندهی (Command & Control) نیز میتواند با استفاده از دستور Wscript.shell.run()، فرامین مختلف را برای سیستم آلوده ارسال کند.
به گفته مرکز مدیریت راهبردی افتا، Turla نام گروه جاسوسی سایبری مربوط به روسیه است که از سال 2007 فعال بوده و سازمانهای دولتی و سازمانهای تجاری خصوصی را هدف قرار میداده است.
منبع : shabakeh.net