اخیرا سرورهایی که برای بارگذاری CCleaner استفاده میشدند، مورد حمله قرار گرفته و کسانی که در بازهی زمانی ۲۴ مرداد تا ۲۱ شهریور این نرمافزار را از سایت رسمیاش دریافت نمودهاند در معرض خطر میباشند.
متخصصان امنیت در هفته گذشته به کاربران توصیه کردند که اگر از نسخهی V5.33.6162 برای ویندوزهای ۳۲ بیتی، نرمافزار CCleaner استفاده مینمایند آن را به آخرین نسخه ارتقا داده و دیگر نگران نباشند. اما متخصصان Cisco Talos که قبلتر موفق به کشف حمله به سرورها شده بودند، پس از بررسی سرور C2 مهاجمین دریافتند که بدافزار یافت شده حاوی یک backdoor نیز میباشد در حقیقت این بدافزار، حاوی یک payload ثانویه GeeSetup_x86.dll نیز هست و موضوع به این سادگی نمیباشد.
محققین بعد از بررسی سرور C2 مهاجمین به فهرستی از شرکتهای بزرگی که مهاجمین حملهای را بر ضدشان برنامهریزی کرده بودند دست یافتند. فهرست این شرکتها عبارت بود از:
- Google
- Microsoft
- Cisco
- Intel
- Samsung
- Sony
- HTC
- Linksys
- D-Link
- Akamai
- VMware
همچنین محققین در پایگاه داده سرور C2 مهاجمان، فهرستی از ۷۰۰٫۰۰۰ backdoor machine های آلوده به نسخهی آلوده CCleaner یافتند. این ماشینهای آلوده به payload اولیه بودند. اما علاوه بر این ماشینها، ۲۰ ماشین آلوده به payload ثانویه را نیز یافتند. که این قضیه نشاندهندهی نفوذی عمیقتر و مقاصد جدی تری میباشد.
بر طبق اظهارات متخصصین کسپرسکی، برخی کدهای مورد استفاده در بدافزار CCleaner با ابزار مورد استفادهی گروه مهاجم چینی موسوم به Axiom یکی میباشد. این گروه با نام APT17 نیز شناخته میشوند.
همچنین متخصصان سیسکو گفتهاند که یکی از فایلهای کشف شده بر روی سرور مهاجمین با time zone چین تنظیم گشته است.
محققین معتقد هستند که در انتخاب بیست ماشینی که آلوده به payload ثانویه بودهاند، نام دامنه، آدرس IP و نام میزبان مد نظر بوده است. آنها بررسیهای خود را اینطور جمعبندی کردهاند، که هدف از طراحی payload ثانویه، در حقیقت جاسوسی صنعتی بوده است.
اگر به این بدافزار آلوده شدهاید، توصیه میگردد تنها به پاک کردن نرمافزار CCleaner اکتفا نکرده و نسخهی پشتیبان سیستمها، پیش از ریختن نرمافزار CCleaner را بازیابی نمایید.
منبع:www.armandata.ir/hacked-ccleaner-sep20-2017/