یک کمپین مخرب که در نوامبر 2022 علیه نهادها در ارمنستان انجام شد توسط محققان امنیتی در Check Point Research (CPR) مشاهده شد. با توجه به مشاوره روز پنجشنبه، این کمپین متکی به یک درب پشتی بود که توسط شرکت امنیتی OxtaRAT ردیابی می شد.
در نوشته فنی آمده است: “جدیدترین نسخه OxtaRAT یک فایل چند زبانه است که اسکریپت AutoIT کامپایل شده و یک تصویر را ترکیب می کند.”
قابلیتهای ابزار شامل جستجو و استخراج فایلها از دستگاه آلوده، ضبط ویدئو از دوربین وب و دسکتاپ، کنترل از راه دور دستگاه آسیبدیده با TightVNC، نصب پوسته وب، انجام اسکن پورت و موارد دیگر است.
به گزارش CPR، این کمپین مخرب در بحبوحه افزایش تنش بین آذربایجان و ارمنستان بر سر کریدور لاچین در اواخر سال 2022 اجرا شد.
«همه نمونههای این کمپین و نمونههای قبلی مربوط به منافع دولت آذربایجان است. آنها یا فعالان سیاسی و حقوق بشر آذربایجان را هدف قرار دادند و یا اگر اهداف به صورت علنی فاش نشدند، به تنشهای بین آذربایجان و ارمنستان بر سر آرتساخ/قرهباغ کوهستانی اشاره کردند.»
با این حال، این شرکت تصریح کرد که کمپین جدید اولین نمونه از این مهاجمان است که از OxtaRAT علیه افراد و شرکت های ارمنی استفاده می کنند. علاوه بر این، CPR اضافه کرد که کمپین نوامبر 2022 با فعالیت قبلی انجام شده توسط عوامل تهدید متفاوت است.
«[این] تغییراتی را در زنجیره عفونت، بهبود امنیت عملیاتی و عملکرد جدید برای بهبود راههای سرقت دادههای قربانی ارائه میکند.»
در مشاوره، CPR به مدافعان نشانگرهای سازش (IOC) مرتبط با حملات اخیر OxtaRAT را ارائه می دهد. این شرکت همچنین به آنها هشدار می دهد که این حملات احتمالا ادامه خواهند داشت.
همه جزئیات نشان میدهد که عوامل تهدید اصلی در هفت سال گذشته توسعه بدافزار مبتنی بر Auto-IT را حفظ کردهاند و از آن در کمپینهای نظارتی استفاده میکنند که اهداف آن با منافع آذربایجان سازگار است.
توصیه CPR چند هفته پس از مشاهده یک بدافزار جداگانه تروجان دسترسی از راه دور (RAT) به نام SparkRAT منتشر شد که سازمانهای آسیای شرقی را هدف قرار میداد.
