امروز: پنجشنبه، 18 آذر 1400

شرکت امنیتی پالو آلتو گزارش داد، مشاهده شده است که یک گروه جاسوسی سایبری که با نام OilRig شناخته می‌شود و پیش از این به ایران ربط داده شده است، در حملات اخیر خود از یک تروجان جدید استفاده می‌کند.

  


گروه OilRig که یک گروه سایبری بسیار فعال است و عمدتا سازمان‌های خاورمیانه را هدف قرار می‌دهد، در دو حمله پیشین خود که یک سازمان بیمه و یک موسسه مالی را هدف قرار داده بود، تلاش کرده بود تا یک تروجان به نام OopsIE توزیع کند. در حالی که یکی از این حملات به یک نوع سند توزیع به نام ThreeDollars متکی بود، حمله‌ی دیگر در تلاش بود تا این بدافزار را به طور مستقیم و احتمالا از طریق یک پیوند در یک رایانامه‌ی فیشینگ هدف‌دار در سامانه‌های قربانی توزیع کند.

اولین حمله در ۸ ژانویه سال ۲۰۱۸ میلادی اتفاق افتاد، این حمله با ارسال دو رایانامه به دو آدرس رایانامه‌ی مختلف در سامانه‌های یک سازمان در یک مدت زمان شش دقیقه‌ای شروع شد. هر دو رایانامه از طرف یک رایانامه‌ با دامنه‌ی لبنانی مربوط به یک موسسه مالی بزرگ جهانی ارسال شده‌اند‌، اما پژوهش‌گران شرکت پالو آلتو معتقدند که این آدرس رایانامه جعلی است.

در تاریخ ۱۶ ژانویه، OilRig سازمانی را هدف قرار داد که یک سال پیش نیز مورد حمله این گروه قرار گرفته بود. در این حمله تروجان OopsIE به طور مستقیم از طریق کارگزار دستور و کنترل بارگیری شد، که نشان‌دهنده‌ی این است که این کارگزار برای آماده‌سازی بدافزار نیز مورد استفاده قرار می‌گیرد. این مسأله همچنین نشان‌دهنده‌ی این است که ممکن است این گروه پس از این‌که این سازمان به دنبال حادثه‌ی سال گذشته اقداماتی را برای مقابله با حملاتی با نام OilRig TTPs انجام داده بود، روش‌های خود را تغییر داده باشد.

 

نمونه‌های ThreeDollars که در حمله‌ی جدید جمع‌آوری شده‌اند، مشابه بدافزاری که در اکتبر سال ۲۰۱۷ میلادی مورد تجزیه و تحلیل قرار گرفت، از یک تصویر جذاب (اگرچه یک نسخه ی بریده و ویرایش‌شده) استفاده می‌کند که کاربران را فریب می‌دهد تا ماکروهایی را فعال کنند. در حالی‌که یک ماکرو مخرب در پس‌زمینه اجرا می‌شود، سند مخرب یک تصویر دلپذیر نمایش می‌دهد تا کاربر مشکوک نشود.

این ماکرو یک فرآیند برنامه‌ریزی‌شده را ایجاد می‌کند که پس از یک دقیقه اجرا می‌شود تا با استفاده از برنامه‌ی Certutil داده‌های رمزنگاری‌شده با base۶۴ رمزگشایی کند، و یک فرآیند دیگر که پس از دو دقیقه اجرا می‌شود، به منظور اجرای تروجان OopsIE و پاک‌سازی نصب یک پرونده‌ی VBScript را اجرا می‌کند.

توسعه‌دهندگان این بدافزار از نرم‌افزار ConfuserEx استفاده کرده‌اند تا پژوهش‌گران نتوانند به کدهای منبع آن‌ها دست پیدا کنند، همچنین با ایجاد یک پرونده‌ی VBScript تلاش کرده‌اند که به پایداری دست یابند. این بدافزار همچنین فرآیند برنامه‌ریزی‌شده را ایجاد می‌کند تا هر سه دقیقه خود را اجرا کند. ان بدافزار با استفاده از برنامه‌ی اینترنت اکسپلورر و پروتکل HTTP با کارگزار دستور و کنترل ارتباط برقرار می‌کند.

پژوهش‌گران توضیح می‌دهند: «این تروجان URLهای خاصی را برای برقراری ارتباط با کارگزار دستور و کنترل ایجاد می‌کند و به منظور پیدا کردن محتوای داخل تگ‌هایpre  پاسخ این کارگزار را تجزیه می‌کند. درخواست HTTP اولیه به عنوان یک چراغ‌ قوه عمل می‌کند.»

 

روشی که گروه OilRig در حال حاضر استفاده می‌کند این است که یک پرونده‌ی اسمبلی جاسازی‌شده را از طریق الحاق محتوای دو منبع بارگذاری و استخراج می‌کند.

این تروجان، بر اساس پاسخی که از طرف کارگزار دریافت می‌کند، می‌تواند یک دستور را اجرا کند، یک پرونده را بارگذاری کند و یا یک پرونده‌ی مشخص‌شده را بارگیری کند.

علاوه‌بر استفاده از سند توزیع ThreeDollars، حملاتی که اخیرا مشاهده شده‌اند در استفاده از یک کارگزار دستور و کنترل میزبانی‌شده در دامنه‌ی msoffice۳۶۵cdn[.]com که در حوادث پیشین مربوط به گروه سایبری OilRig نیز مورد استفاده قرار گرفته بود، اشتراک دارند. پژوهش‌گران همچنین ثبت‌کننده‌های این دامنه‌ را به دامنه‌های office۳۶۵-management[.]com و office۳۶۵-technical[.]info مرتبط دانسته و معتقدند که گروه OilRig پشت همه‌ی آن‌ها است.

شرکت پالو آلتو نتیجه‌گیری کرد: «بارها اثبات شده است که این گروه تمایل دارد که روش‌های خود را تغییر داده و تکمیل کند، در حالی‌که از برخی از روش‌های خاصی نیز دوباره استفاده می‌کند. در حال حاضر ما مشاهده کرده‌ایم که این گروه نفوذ ابزارهای زیادی را به کار می‌گیرد، و هربار که حمله‌ی جدیدی را راه‌اندازی می‌کند به نوعی از یک ابزار تکراری که در گذشته استفاده کرده بود، استفاده می‌کند.»


منبع: news.asis.io