گروهی از مجرمان سایبری وابسته به کره شمالی به نام ” کبری مخفی ” با استفاده از بدافزار بانکی Bankshot موسسات مالی و بانک های ترکیه را هدف حملات خود قرار داده اند.
تیم تحقیقاتی تهدید پیشرفته McAfee این کمپین بدافزاری را در سیستم مالی ترکیه کشف کرده است. که موسسات مالی وابسته به دولت را هدف قرار داده بود. همچنین در یک سازمان دولتی دیگر درگیر در امور مالی و تجاری ظاهر شد. سه مؤسسه بزرگ مالی در ترکیه قربانیان این حمله بودند.
این سازمان ها از طریق ایمیل های فیشینگ که شامل اسناد مخرب مایکروسافت ورد هستند، هدف قرار گرفتند. این اسناد شامل سوءاستفاده Adobe Flash جاسازی شده (با استفاده از CVE-2018-4878) است که اجازه می دهد مهاجم کد دلخواه Bankshot را در سیستم قربانی اجرا کند. این بدافزار Bankshot برای ادامه استفاده شبکه ای از قربانیان برای بهره برداری بیشتر طراحی شده است. این رویکرد نشان می دهد که مهاجمان ممکن است در مراحل ابتدایی جمع آوری اطلاعات قرار داشته باشند. و برنامه ای برای پیشبرد آینده در برابر اهداف باشد.
گفته می شود Bankbot همچنین یک ابزار دسترسی از راه دور است که به مهاجم این امکان را می دهد تا کنترل کامل سیستم قربانی در دست بگیرد. و دارای قابلیت پاک کردن فایل ها و محتویات از سیستم مورد نظر و همچنین پاک کردن ردپای خود و یا انجام اقدامات مخرب دیگر است.
گروه هکری کبری مخفی که با دولت کره شمالی مرتبط هست در سال های گذشته بدافزار Bankshot را برای هدف قرار دادن موسسات مالی و سایر صنایع مورد استفاده قرار داده است.
