گزارش شرکت ایست درباره

به‌روزرسانی بدافزار Okrum و استفاده از آن توسط گروه هک چینی Ke3chang

یافته‌های اخیر محققان امنیتی شرکت ایست نشان می‌دهد که به‌تازگی هکرهای گروه چینی Ke3chang موسوم به APT15 برای رسیدن به اهداف مخرب خود در حملات سایبری علیه سازمان‌های فعال در عرصه سیاست امور خارجه اروپا، از نسخه به‌روزرسانی شده بدافزار Okrum استفاده کرده‌اند.
نسخه جدید بدافزار Okrum

براساس خبرهای منتشر شده، هکرهای گروه Ke3chang در جدیدترین حملات سایبری خود علیه سازمان‌های فعال در عرصه سیاست امور خارجه اروپا، از نسخه به‌روزرسانی شده بدافزار Okrum استفاده کرده‌اند. 

بدافزار Okrum برای اولین‌بار در ماه دسامبر سال ۲۰۱۶ در حملات متعدد علیه کشورهای اسلواکی، بلژیک، شیلی، گواتمالا و برزیل در حالی شناسایی شد که این بدافزار پس از آلوده‌سازی دستگاه قربانی، شروع به جمع‌آوری اطلاعات مختلف از جمله نام کاربری، نشانی IP، تنظیمات DNS، نسخه سیستم‌عامل و... می‌کرد.

به گفته‌ی شرکت امنیتی ایست، هکرهای گروه Ke3chang همزمان با به‌روزرسانی بدافزار Okrum، از یک درب‌پشتی با نام Ketrican به‌صورت ترکیبی استفاده کرده‌اند که پیش از این از آن در دیگر حملات به‌صورت مستقل استفاده کرده بودند.

فعالیت‌های مخرب هکرهای گروه چینی Ke3chang موسوم به AP15 که با نام‌‌هایی همچون Vixen Panda, Royal APT و Playful Dragon نیز شناخته می‌شود، به یک دهه پیش باز می‌گردد. این گروه در طول سال‌های اخیر مجموعه‌های متعدد فعال در بخش‌های سیاست امور خارجه اروپا، سازمان‌ها و شرکت‌های فعال در حوزه‌های نفت، صنایع نظامی و پیمانکاران دولتی را مورد هدف حملات خود قرار داده است و به سبب مدیریت کمپین‌های متعدد جاسوسی، یکی از تهدیدهای مستمر و پیشرفته در فضای اینترنت شناخته شده است.

استفاده از بدافزار TidePool طی سال‌های ۲۰۱۲ تا ۲۰۱۵ برای بهره‌برداری از آسیب‌پذیری CVE-2015-2545 در برنامه مایکروسافت آفیس و استفاده از بدافزارهای درب‌پشتی  RoyalCLI و RoyalDNS علیه صنایع نظامی و سازمان‌های دولتی انگلستان در سال‌های ۲۰۱۶ و ۲۰۱۷، همچنین استفاده از بدافزار Migrae بخشی از فعالیت‌های گذشته‌ی این گروه هک چینی است.

 

 

توضیحات بیشتر در:

Okrum: Ke3chang group targets diplomatic missions