روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ محققین دریافتهاند که عاملین تهدید دارند با کمپین جدید فیشینگ خود که Warzone RAT - یک ابزار سرقت داده - را ارسال میکند از وبسایتهای WordPress برای هدف قرار دادن تولیدکنندگان در آسیا استفاده میکنند. Warzone RAT اکنون در تالارهای مختلف مجرمان سایبری وجود دارند و بزهکاران خیلی راحت میتوانند نسبت به خرید آن اقدام کنند. در ادامه با ما همراه بمانید تا شما را از چند و چون این ماجرا باخبر سازیم.
بر اساس پژوهش جدیدی که از سوی شرکت امنیت واکنش و شناسایی تهدید به نام Anomali صورت گرفته، نام این گروه تهدید Aggah است که گمان میرود به کشور پاکستان مربوط شود. این گروه اولین بار در مارس 2019 شناسایی شد و کارش ارسال و تحویل RAT در کمپینی است که هدفش توزیع بدافزار به کشورهای تولیدکننده در تایوان و کره جنوبی است.
این کمپین که اوایل جولای فعالیت خود را شروع کرد از آدرسهای ایمیل جعلی استفاده میکند و مشتریان قانونی این تولیدکنندگان را فریب میدهد. محققین میگویند این کار Aggah است. تارا گولد و روری گولد از Anomali در گزارشی در خصوص این کمپین چنین نوشتند: «آدرسهای ایمیل جعلی B2B[1] در مقابل صنعت مور هدف قرار گرفتهشده فعالیتی است که میشود آن را پایاپای با Aggah دید». محققین واحد 42 Palo Alto Network ابتدا Aggah را مارس 2019 کشف کردند آن هم در کمپینی که نهادهای داخل امارات متحده عربی را هدف قرار داده بود –بماند که این کمپین بعدها به عنوان کمپین فیشینگ جهانی طراحیشده مخصوص ارسال RevengeRAT شناخته شد. این گروه که معمولاً هدفش سرقت داده از تارگتهاست اولین بار گمان میرفت به گروه Gorgo–یک گروه تابستانی معروف به هدف قرار دادن دولتهای غربی- ربط داشته باشد. البته این فرضیه هرگز قطعی نشد اما محققین موافقند که این گروهِ اردو زبان در اصل به کشور پاکستان برمیگردد.
از میان تارگتهای آخرین کمپین Aggah میتوان به Fon-star International Technology شرکت تولیدکننده تایوانی، FomoTech شرکت مهندسی تایوانی و Hyundai Electric یک شرکت برق کرهای اشاره کرد. عاملین تهدید اغلب تولیدکنندگان جهانی و سایر تأمینکنندگان را نه تنها برای حمله بدانها بلکه همچنین برای نفوذ به برخی از مشتریان ردهبالا و مهم آنها مورد هدف قرار میدهند. نمونهاش همین ماه آوریل دیده شد؛ زمانیکه گروهی به نام REvil (اکنون دیگر فعالیتی ندارد) با موفقیت باجافزاری را در شرکت کوانتانا (تأمینکننده تایوانی کامپیوتر اپل) درست کمی پیش از رویداد بزرگ لانچ محصول شرکت اپل به کار گرفت. REvil فایلها را از کوانتانا سرقت کرد (این فایلها شامل برخی برنامه کارهای محصولات جدید اپل میشد). اپراتورها تهدید شده بودند به دادن هر چه بیشتر اطلاعات در مورد محصولات جدید. از این طریق بزهکاران میتوانستند پیش از رویداد اپل این شرکت را حسابی تلکه کند.
اکسپلویت کردن سایتهای دستکاریشدهی WordPress
آخرین کمپین فیشینگ Aggah با یک ایمیل سفارشی در پوشش FoodHub.co.uk–سرویس تحویل غذای آنلاین واقع در انگلستان- آغاز میشود. بدنه ایمیل شامل سفارش و اطلاعات حمل و نقل و نیز یک پیوست فایل پاورپوینت به نام Purchase order 4500061977,pdf.ppam میشود. این فایل پاورپوینت در خود ماکروهای مبهمسازیشده جای داده است که برای اجرای جاواسکریپت از وبسایت برجسته اما دستکاریشده از افزونهی mshta.exe استفاده میکند. به گفتهی محققین، Hoteloscar.in وبسایت قانونی برای هتلی است در هند که طوری دستکاری شده بود که میزبان اسکریپتهای آلوده باشد. محققین در ادامه چنین موضوع را شرح میدهند: «در این کمپین، ما وبسایتهای قانونی را شاهده بودیم که برای میزبانی اسکریپتهای آلوده استفاده میشدند. بیشتر اینها هم در سایتهای وردپرس ظاهر میشدند و این نشان میدهد گروه مذکور شاید آسیبپذیری WordPress را اکسپلیت کرده باشد. جاوااسکریپت از تکنیکهای ضد دیباگ همچون setInterval برای شناسایی کارکرد یک دیباگر مبتنی بر زمان اجرا استفاده میکند». این کار باعث میشود درصورتیکه دیباگر شناسایی گردد setInterval به لوپ بی سر و ته ارسال شود. بعد از چکهای دیباگینگ، اسکریپت به http://dlsc.af/wp-admin/buy/5[.]html برگشت- وبسایت دستکاریشدهی دیگر که کارش تحویل غذا بوده و مکانش هم در کشور افغانستان. در نهایت، جاوااسکریپت از پاورشل برای لود کردن پیلودهای کدگذاریشده استفاده میکند - همینطور پیلود نهایی که [2]Warzone RAT باشد. محققین اینطور نوشتند، «وارزون یک بدافزار کالایی است با نسخههای کرکشده که روی گیتهاب میزبانی میشوند. RAT کد را از سارق Ave Maria استفاده مجدد میکند». قابلیتهای Warzone RAT عبارتند از افزایش مزیت، کیلاگینگ، شل ریموت، دانلد و اجرای فایلها، فایل منیجر و مقاومت روی شبکه.
«برای دور زدن UAC[3]، مسیر Windows Defender به فرمان پاورشل اضافه شد تا آن را از لیست خط بزند. افزایش سطح مزیت در وارزون نیز با استفاده از sdclt.exe–یک ابزار بکآپ ویندوزی در ویندوز 10- صورت گرفت. تیم Anomali هچنین به تعدادی تاکتیک بکاررفته در این کمپین اشاره میکند که گواهی است بر وجود و مشارکت Aggah. اینها عبارتند از استفاده از داکیومنتهای آلوده و فایلهای مخرب پاورپوینت حاوی ماکروها؛ پیلودهای مبهمسازیشده در فایل پاورشل که معمولاً کدگذاری میشود؛ استفاده از اسکریپتهای جاگذاریشده در وبسایتها، موضوعات سفارش و اطلاعات پرداخت و استفاده از آدرسهای ایمیل B2B در صنعت تارگت که پیشتر بدان پرداختیم.
[1] business-to-business
[2]بدافزار مبتنی بر C+++ قابل خرید در دارکوب
[3] User Account Control
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
