هکرها سد دفاعی را دور زدند،وقتی آنتیویروسها دیگر امنیت را تضمین نمیکنند!
به گزارش ترفندستان به نقل از کانال تلگرامی ITsec NEWS
.
یک گروه سایبری جدید به نام NGC4020 که تخصصش خاموش کردن راهکارهای امنیتی است، در حملات به شرکتهای روسی شناسایی شده. این گروه موفق شده آنتیویروسها را بدون توجه به برندشان از کار بیندازد.
در یکی از تازهترین حملات، مجرمان سایبری با استفاده از نقص امنیتی در نرمافزار «DameWare Mini Remote Control» وارد شبکه یک سازمان صنعتی شدهاند. مشکل از آنجایی شروع شد که از زمان پاندمی، پورت مربوط به DameWare در برخی سیستمها باز مانده بود و این فرصت طلایی برای نفوذگران بود.
پس از دسترسی به سیستم، مهاجمان یک فایل مخرب را در دایرکتوری مدیریت آنتیویروس قرار داده و راهکار امنیتی «Kaspersky» را از کار انداختهاند. محققان Solar 4RAYS بلافاصله این نقص را به سازنده اطلاع دادند که در نهایت، مکانیزمهای حفاظتی بهروزرسانی و آپدیت امنیتی منتشر شد.
یکی از قابلیتهای این بدافزار، غیرفعال کردن فناوری MiniFilter در ویندوز است که برای نظارت بر فعالیتهای فایلسیستم و تشخیص تهدیدها استفاده میشود. این فناوری همچنین وظیفه محافظت از خود آنتیویروس در برابر تغییرات غیرمجاز را بر عهده دارد. مهاجمان با جایگزین کردن توابع اصلی MiniFilter با نسخه جعلی، توانستهاند کنترل آنتیویروس را مختل کرده و هر بدافزاری را بدون شناسایی اجرا کنند.
محققان همچنین هشدار دادهاند که تکنیکهای مشابه برای غیرفعال کردن آنتیویروسها بهطور فزایندهای در حملات اخیر دیده شده. در یک مورد دیگر، مهاجمان ابتدا راهکارهای امنیتی یک شرکت صنعتی روسی را از کار انداخته و سپس کل زیرساخت IT آن را نابود کردهاند. ضعف در تعامل ویندوز با امضای دیجیتال درایورها، نقطه ضعف اصلی در این حمله بوده است.
در ماههای اخیر، متخصصان افزایش چشمگیری در حملات سایبری مشاهده کردهاند که بر دور زدن و غیرفعالسازی ابزارهای امنیتی برندهای مختلف متمرکز است. آنها هشدار دادهاند که گروههای حامی اوکراین دیگر به سرقت اطلاعات راضی نیستند و حالا هدفشان خرابکاری گسترده در زیرساختهای روسیه است.
پاسخ با نقل قول
