XÜSUSİ DÖVLƏT MÜHAFİZƏ XİDMƏTİ
XÜSUSİ RABİTƏ VƏ İNFORMASİYA
TƏHLÜKƏSİZLİYİ DÖVLƏT AGENTLİYİ

KOMPÜTER İNSİDENTLƏRİNƏ QARŞI MÜBARİZƏ
MƏRKƏZİ

İnsident bildir

Xəbərlər > Azərbaycanın dövlət sektoruna hədəfli hücumlarda COVID-19 mövzusu istifadə olunur.

22 Apr 2020

   Yeni kibercinayətkarlıq şirkəti Azərbaycanın dövlət və enerji sektoruna hədəfli hücumlarda yeni koronavirus infeksiyası COVID-19 mövzusundan istifadə edir. Cinayətkarların əməliyyatlarında məxfi sənədləri, klavişlərin basılması, şifrə, hətta veb-kamera çəkilişlərini ələ keçirən RAT troyanı iştirak edir. Hücumlar zamanı cinayətkarlar Microsoft Word sənədlərini dropper kimi istifadə edir. Onlar vasitəsilə sistemdə Python proqramlaşdırma dilində yazılan “PoetRAT” troyanı quraşdırılır. “RAT ziyanverici troyanı bu sinifdən olan proqramların bütün standart funksiyalarına malikdir. O operatora hücuma məruz qalan sistem üzərində tam nəzarəti verir”, - deyə Cisco Talos komandası yazır. Mütəxəssislərin sözlərinə görə, ziyanverici proqram enerji sahəsində SCADA sistemlərinə hədəflənir. Yeni koronavirus infeksiyası COVID-19 mövzusu yem kimi istifadə olunur, nəticədə qurban pandemiyanın yaratdığı təlaşa qapılaraq troyanı quraşdırır. Operatorlar PoetRAT troyanını Word sənədinə əlavə edir, sənəd açıldığı zaman ziyanverici proqramın çıxarılaraq işə salınması üçün makrosları aktiv edir. Tədqiqatçılar hələ ki ilkin bədniyyətli sənədin hansı üsulla çatdırıldığını dəqiq müəyyən edə bilməyib. Hal-hazırda hücumlarda istifadə olunan Word sənədinin sadə URL vasitəsilə yükləndiyi məlumdur. Beləliklə, cinayətkarlar bir yolla belə keçidi qurbana göndərir. Çox güman ki, bunun üçün fişinq məktubları istifadə olunur. PoetRAT troyanı iki skripti ehtiva edir. Onlardan biri (frown.py) komanda serveri (C&C) ilə əlaqəyə görə cavabdehdir, digəri isə (smile.py) operatorların komandalarını yerinə yetirir.