روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ محققین دریافته‌اند که عاملین تهدید دارند با کمپین جدید فیشینگ خود که Warzone RAT - یک ابزار سرقت داده - را ارسال می‌کند از وبسایت‌های WordPress برای هدف قرار دادن تولیدکنندگان در آسیا استفاده می‌کنند. Warzone RAT اکنون در تالارهای مختلف مجرمان سایبری وجود دارند و بزهکاران خیلی راحت می‌توانند نسبت به خرید آن‌ اقدام کنند. در ادامه با ما همراه بمانید تا شما را از چند و چون این ماجرا باخبر سازیم.

بر اساس پژوهش جدیدی که از سوی شرکت امنیت واکنش و شناسایی تهدید به نام Anomali صورت گرفته، نام این گروه تهدید Aggah است که گمان می‌رود به کشور پاکستان مربوط شود. این گروه اولین بار در مارس 2019 شناسایی شد و کارش ارسال و تحویل RAT در کمپینی است که هدفش توزیع بدافزار به کشورهای تولیدکننده در تایوان و کره جنوبی است.

این کمپین که اوایل جولای فعالیت خود را شروع کرد از آدرس‌های ایمیل جعلی استفاده می‌کند و مشتریان قانونی این تولیدکنندگان را فریب می‌دهد. محققین می‌گویند این کار  Aggah است. تارا گولد و روری گولد از Anomali در گزارشی در خصوص این کمپین چنین نوشتند: «آدرس‌های ایمیل جعلی B2B[1] در مقابل صنعت مور هدف قرار گرفته‌شده فعالیتی است که می‌شود آن را پایاپای با Aggah دید». محققین واحد 42  Palo Alto Network ابتدا Aggah را مارس 2019 کشف کردند آن هم در کمپینی که نهادهای داخل امارات متحده عربی را هدف قرار داده بود –بماند که این کمپین بعدها به عنوان کمپین فیشینگ جهانی طراحی‌شده مخصوص ارسال RevengeRAT شناخته شد. این گروه که معمولاً هدفش سرقت داده از تارگت‌هاست اولین بار گمان می‌رفت به گروه Gorgo–یک گروه تابستانی معروف به هدف قرار دادن دولت‌های غربی- ربط داشته باشد. البته این فرضیه هرگز قطعی نشد اما محققین موافقند که این گروهِ اردو زبان در اصل به کشور پاکستان برمی‌گردد.

از میان تارگت‌های آخرین کمپین Aggah می‌توان به Fon-star International Technology شرکت تولیدکننده تایوانی، FomoTech شرکت مهندسی تایوانی و Hyundai Electric یک شرکت برق کره‌ای اشاره کرد. عاملین تهدید اغلب تولیدکنندگان جهانی و سایر تأمین‌کنندگان را نه تنها برای حمله بدان‌ها بلکه همچنین برای نفوذ به برخی از مشتریان رده‌بالا و مهم آن‌ها مورد هدف قرار می‌دهند. نمونه‌اش همین ماه آوریل دیده شد؛ زمانیکه گروهی به نام REvil (اکنون دیگر فعالیتی ندارد) با موفقیت باج‌افزاری را در شرکت کوانتانا (تأمین‌کننده تایوانی کامپیوتر اپل) درست کمی پیش از رویداد بزرگ لانچ محصول شرکت اپل به کار گرفت. REvil فایل‌ها را از کوانتانا سرقت کرد (این فایل‌ها شامل برخی برنامه‌ کارهای محصولات جدید اپل می‌شد). اپراتورها تهدید شده بودند به دادن هر چه بیشتر اطلاعات در مورد محصولات جدید. از این طریق بزهکاران می‌توانستند پیش از رویداد اپل این شرکت را حسابی تلکه کند.

اکسپلویت کردن سایت‌های دستکاری‌شده‌ی WordPress

آخرین کمپین فیشینگ Aggah با یک ایمیل سفارشی در پوشش FoodHub.co.uk–سرویس تحویل غذای آنلاین واقع در انگلستان- آغاز می‌شود. بدنه ایمیل شامل سفارش و اطلاعات حمل و نقل و نیز یک پیوست فایل پاورپوینت به نام Purchase order 4500061977,pdf.ppam می‌شود. این فایل پاورپوینت در خود ماکروهای مبهم‌سازی‌شده جای داده است که برای اجرای جاواسکریپت از وبسایت برجسته اما دستکاری‌شده از افزونه‌ی mshta.exe استفاده می‌کند. به گفته‌ی محققین، Hoteloscar.in وبسایت قانونی برای هتلی است در هند که طوری دستکاری شده بود که میزبان اسکریپت‌های آلوده باشد. محققین در ادامه چنین موضوع را شرح می‌دهند: «در این کمپین، ما وبسایت‌های قانونی را شاهده بودیم که برای میزبانی اسکریپت‌های آلوده استفاده می‌شدند. بیشتر اینها هم در سایت‌های وردپرس ظاهر می‌شدند و این نشان می‌دهد گروه مذکور شاید آسیب‌پذیری  WordPress  را اکسپلیت کرده باشد. جاوااسکریپت از تکنیک‌های ضد دیباگ همچون setInterval برای شناسایی کارکرد یک دیباگر مبتنی بر زمان اجرا استفاده می‌کند». این کار باعث می‌شود درصورتیکه دیباگر شناسایی گردد setInterval به لوپ بی سر و ته ارسال شود. بعد از چک‌های دیباگینگ، اسکریپت به http://dlsc.af/wp-admin/buy/5[.]html برگشت- وبسایت دستکاری‌شده‌ی دیگر که کارش تحویل غذا بوده و مکانش هم در کشور افغانستان. در نهایت، جاوااسکریپت از پاورشل برای لود کردن پی‌لودهای کدگذاری‌شده استفاده می‌کند - همینطور پی‌لود نهایی که [2]Warzone RAT باشد. محققین اینطور نوشتند، «وارزون یک بدافزار کالایی است با نسخه‌های کرک‌شده که روی گیت‌هاب میزبانی می‌شوند. RAT کد را از سارق  Ave Maria استفاده مجدد می‌کند». قابلیت‌های Warzone RAT عبارتند از افزایش مزیت، کی‌لاگینگ، شل ریموت، دانلد و اجرای فایل‌ها، فایل منیجر و مقاومت روی شبکه.

«برای دور زدن UAC[3]، مسیر Windows Defender به فرمان پاورشل اضافه شد تا آن را از لیست خط بزند. افزایش سطح مزیت در وارزون نیز با استفاده از sdclt.exe–یک ابزار بک‌آپ ویندوزی در ویندوز 10- صورت گرفت. تیم Anomali هچنین به تعدادی تاکتیک بکاررفته در این کمپین اشاره می‌کند که گواهی است بر وجود و مشارکت Aggah. اینها عبارتند از استفاده از داکیومنت‌های آلوده و فایل‌های مخرب پاورپوینت حاوی ماکروها؛ پی‌لودهای مبهم‌سازی‌شده در فایل پاورشل که معمولاً کدگذاری می‌شود؛ استفاده از اسکریپت‌های جاگذاری‌شده در وبسایت‌ها، موضوعات سفارش و اطلاعات پرداخت و استفاده از آدرس‌های ایمیل B2B در صنعت تارگت که پیشتر بدان پرداختیم.

[1] business-to-business

[2]بدافزار مبتنی بر C+++ قابل خرید در دارک‌وب

[3]  User Account Control

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.