روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ انتساب حمله هدفمند همیشه کاری پیچیده است و به طور کلی، ما معتقدیم که انتساب به سازمان‌های مجری قانون بهتر است. دلیل این است که گرچه 90٪ موارد می‌توان در مورد مهاجمین به سرنخ‌هایی رسید (مانند زبان بومی‌شان یا حتی لوکیشن آن‌ها) اما 10٪ باقی مانده می‌تواند منجر به خطاهای شرم‌آور انتساب یا پیامدهایی بدتر از اینها شود. عاملین حرفه‌ای تمام تلاش خود را می‌کنند تا در زیرساخت‌های قربانی پنهان بمانند و تا جایی که می‌توانند ردپایی از خود به جای نگذارند. آنها تکنیک‌های مختلفی را برای دشوارتر کردن بررسی کمپین‌های خود پیاده می‌کنند. با استفاده از LOLBINS، ابزارهای رایج و قانونی تست نفوذ و بدافزارهای بدون فایل؛ گمراه کردن محققین امنیتی با قرار دادن پرچم های دروغین - این ترفندها انتساب تهدید را اغلب به موضوعی شانسی تبدیل می‌کنند. به همین دلیل است که همیشه درصدی از حملات هدفمند وجود دارد که برای سال‌ها نسبت داده نشده باقی می‌مانند. در ادامه قرار است شما را با 10 پرونده رمزآلود APT آشنا کنیم؛ حملاتی که نسبت داده نشده باقی مانند. با ما همراه بمانید.

1.      Project TajMahal

اواخر سال 2018، ما یک چارچوب جاسوسی پیچیده را کشف کردیم که آن را «تاج محل» نامیدیم. این بسته خود از دو بسته مختلف به نام‌های «توکیو» و «یوکوهاما» تشکیل شده است و می‌تواند انواع داده‌ها از جمله داده‌های سی‌دی‌های رایت شده در دستگاه قربانی و اسناد ارسال شده به صف چاپگر را به سرقت ببرد. هر بسته شامل تعدادی ابزار مخرب است: بک‌درها، کی لاگرها، دانلودکننده‌ها، ارکستراتورها، گیرنده های صفحه نمایش و وب کم، ضبط کننده‌های صوتی و غیره. در مجموع تا 80 ماژول مخرب کشف شد. پروژه تاج محل حداقل پنج سال قبل از شناسایی‌اش فعال بود. چیزی که این موضوع را مرموزتر می‌کند این است که تنها قربانی شناخته شده آن یک نهاد دیپلماتیک بلندپایه است. اینکه چه کسی پشت این حمله بود، آیا قربانیان دیگری نیز وجود داشت، یا اینکه آیا کل مجموعه ابزار برای نفوذ فقط به یک سازمان توسعه داده شده است - این سؤالات بی پاسخ مانده است!

2.      DarkUniverse

DarkUniverse یکی دیگر از چارچوب‌های APT است که ما در سال 2018 کشف و گزارش کردیم. این فریم‌ورک حداقل به مدت هشت سال در فضای بیرون فعال بود - از سال 2009 تا 2017 - و حداقل 20 نهاد غیرنظامی و نظامی را در سوریه، ایران، افغانستان، تانزانیا، اتیوپی ، سودان، روسیه، بلاروس و امارات متحده عربی هدف قرار داد. این بدافزار از طریق ایمیل‌های فیشینگ با یک سند مخرب مایکروسافت آفیس به عنوان پیوست پخش می‌شود. دارک یونیورس چندین ماژول است که آن‌ها عهده‌دار فعالیت‌های جاسوسی مختلف مانند ثبت کلید، رهگیری ترافیک ایمیل، تهیه اسکرین شات، جمع‌آوری طیف گسترده‌ای از اطلاعات سیستم و غیره هستند.  تنها مورد مهم DarkUniverse که در فضای بیرون مشاهده شد زمانی بود که بدافزار پیچیده ItaDuke آنها با یک اکسپلویت PDF روز صفر به نام "Visaform Turkey.pdf" حذف شد. DarkUniverse منتسب نشده است و مشخص نیست پس از سال 2017 چه اتفاقی برای این عامل افتاده است.

3.      PuzzleMaker

آوریل 2021، ما چندین حمله هدفمند را با استفاده از زنجیره پیچیده‌ای از اکسپلویت‌های روز صفر شناسایی کردیم. برای نفوذ به سیستم، این عامل تهدید از آسیب‌پذیری Google Chrome RCE استفاده کرد. ما نتوانستیم این اکسپلویت را گیر بیاندازیم، اما مشکوک بودیم که نقص مورد نظر CVE-2021-21224 باشد که به مهاجم امکان داده کد دلخواه را سندباکس مرورگر اجرا کند. به محض ورود، عامل تهدید آسیب‌پذیری CVE-2021-31955 را که آسیب‌پذیری افشای اطلاعات در هسته ویندوز بود اکسپلویت کرد تا بدین‌ترتیب آدرس هسته ساختار EPROCESS را بدست آورده و با استفاده از یک نقص هسته ویندوز دیگر، CVE-2021-31956، امتیازات را افزایش داد. پس از اکسپلویت موفقیت‌آمیز آسیب‌پذیری ها، بدافزار سفارشی متشکل از چهار ماژول به سیستم آلوده تحویل داده می‌شود. ماژول‌ها عبارتند از استیجر، دراپر، سرویس و پوسته راه دور که آخرین مورد، پی‌لود نهایی است. ما نام این APT را  PuzzleMaker  گذاشتیم.  تنها ضعف کمپین‌های APT شناخته شده، تکنیک پسا اکسپلویتی‌شان است که هم توسط PuzzleMaker و بدافزار CHAINSHOT و هم توسط حداقل دو عامل تهدید مورد استفاده قرار گرفت. با این حال، این تکنیک به طور عمومی شناخته شده است و می‌تواند توسط گروه‌های مختلف به طور مستقل استفاده شود.

4.      ProjectSauron (یا همان استرایدر)

ProjectSauron اولین بار سپتامبر 2015 کشف شد، زمانیکه پلتفرم ضد حمله کسپرسکی ترافیک غیرعادی شبکه را در یک سازمان مشتری شناسایی کرد. منبع این ترافیک آرشیو مشکوکی بود لودشده در مموری یک سرور کنترل‌گر دامنه و بعد در قاموس یک فیلتر پسورد ویندوز رجیستر شد؛ فیلتری که به پسوردهای متن ساده برای اکانت‌های ادمین دسترسی داشت. در آخر ثابت شد این بخشی از یک پلت‌فرم پیچیده APT بوده است که سازمان‌های دولتی، مخابرات، علمی، نظامی و مالی را در روسیه، ایران، رواندا و احتمالاً کشورهای ایتالیایی‌زبان هدف قرار داده بوده.

عامل تهدید پسِ پروژه Sauron از یک زیرساخت پیچیده فرمان و کنترل استفاده می‌کند که شامل طیف گسترده‌ای از ISP‌های مختلف و تعدادی آدرس IP در سراسر ایالات متحده و اروپا است. این بازیگر تمام تلاش خود را کرد تا الگوهای قابل تشخیصی در عملیات خود ایجاد نکند. تنها چیزی که می‌توان با اطمینان گفت این است که این سطح از پیچیدگی بدون حامی دولت-ملت محال است. همچنین شایان ذکر است که این بازیگر احتمالاً از دیگر APTهای برجسته مانند Duqu، Flame، Equation و Regin نیز تقلیدهایی کرده!

5.      USB Thief

سال 2016، همکاران ما در ESET نوعی بدافزار USB را کشف کردند که دارای مکانیزم محافظت از خود بود. این برنامه که USB Thief  نام داشت، از شش فایل تشکیل شده بود که دو تای آنها فایل‌های پیکربندی و چهار فایل دیگر قابل اجرا بودند. فایل‌ها به گونه ای طراحی شده بودند که به ترتیب از پیش تعریف شده اجرا شوند و برخی از آنها با AES128 رمزگذاری شده بودند. کلید رمزگذاری با استفاده از شناسه دستگاه USB منحصربه‌فرد و ویژگی‌های دیسک خاص ایجاد شد. این کار رمزگشایی و اجرای فایل‌ها را در هر جایی غیر از درایو USB آلوده دشوار می‌کرد. سه عدد از فایل‌های اجرایی لودرهایی هستند که فایل مرحله بعدی را بارگذاری می‌کنند. برای اطمینان از اینکه فایل‌ها به ترتیب صحیح بارگذاری می‌شوند، از هش فایل‌های بارگذاری شده قبلی به عنوان نام خود استفاده می‌کنند. علاوه بر این، برخی از فایل‌ها نام فرآیند والد را بررسی می‌کنند و در صورت اشتباه، آن را خاتمه می‌دهند. محموله نهایی یک دزد داده است که به فایل پیکربندی نگاه می‌کند تا اطلاعاتی در مورد اینکه چه داده هایی باید استخراج شود، چگونه آنها را رمزگذاری کند و کجا ذخیره کند بدست آورد. داده ها همیشه به مکانی روی دستگاه USB آلوده منتقل می شوند. یکی دیگر از تکنیک های جالب پیاده‌سازی شده در USB Thief استفاده از نسخه های قابل حمل برنامه‌های خاص مانند Notepad، Firefox و TrueCrypt است تا کاربر فریب داده شود و اولین لودر بدافزار را اجرا کند. برای رسیدن به این هدف، خود را در زنجیره فرمان این اپ‌ها بعنوان پلاگین یا آرشیو لینک‌شده‌ی پویا تزریق می‌کند. وقتی کاربر اپ آلوده را اجرا کند بدافزار نیز اجرا می‌شود. این بدافزار توزیع گسترده نداشته و احتمال زیاد در حملات هدف والایی که دارایی انسانی را شامل می‌شود مورد استفاده قرار گیرد.

6.      TENSHO (یا همان White Tur)

اوایل سال 2021، محققین شرکت PwC هنگام جست‌وجوی صفحات فیشینگ که وب‌سایت‌های دولتی را جعل می‌کردند، به صفحه‌ای رسیدند که برای فیش کردن اعتبارنامه‌های وزارت دفاع صربستان استفاده می‌شد. این صفحه آنها را به سمت یک بازیگر تهدید ناشناخته به نام "TENSHO" یا "White Tur" هدایت کرد. این بازیگر حداقل از سال 2017 فعال بوده و از انواع تکنیک‌ها و ابزارهای منحصر به فرد استفاده می‌کند که شامل اسناد سلاح دار، اسکریپت های HTA و PowerShell، فایل های اجرایی ویندوز و صفحات فیشینگ تقلید از وب سایت‌های دولتی می‌شود. در میان ابزارهای دیگر، TENSHO از پروژه منبع باز OpenHardwareMonitor استفاده می‌کند که هدف قانونی آن نظارت بر دمای دستگاه، سرعت فن و سایر داده های سلامت سخت افزار است. عامل تهدید یک بسته مخرب OpenHardwareMonitor را پخش می‌کند که برای ارائه بدافزار TENSHO در قالب یک اسکریپت PowerShell یا باینری ویندوز طراحی شده است. تا به امروز، هیچ ارتباطی بین این عامل تهدید و هیچ گروه شناخته شده APT کشف نشده است. TENSHO سازمان‌های داخل صربستان و جمهوری صربسکا (یک نهاد در بوسنی و هرزگوین) را هدف قرار می‌دهد که نشان‌دهنده علاقه منطقه‌ایِ بسیار خاص است! از آنجایی که بسیاری از طرف‌ها ممکن است علاقه‌مند به هدف قرار دادن این مناطق باشند، نسبت دادن این تهدید کار آسانی نیست.

7.      PlexingEagle

در خلال کنفرانس HITBSec 2017 در آمستردام، امانوئل گدایکس کشف یک مجموعه ابزار جاسوسی سایبری GSM بسیار جالب را گزارش کرد که احتمالاً توسط یک عامل تهدید بسیار پیشرفته مستقر شده و در طی یک جستجوی امنیتی معمول در سیستم های مشتری پیدا شده است. این دستکاری در ابتدا توسط تیم Gadaix بر روی یک دستگاه Solaris 10 که توسط بازیگران به عنوان پایگاه عملیاتی استفاده می‌شد، کشف شد. از آنجا، مهاجمین از دانش پیشرفته زیرساخت و شبکه GSM استفاده کردند تا عملکردی را که معمولاً توسط مجریان قانون برای شنود تماس‌های تلفنی استفاده می‌شود، اصلاح و از این طریق بتوانند مکانیسم‌های خود را برای رهگیری تماس‌های مورد علاقه پیاده‌سازی کنند. بدافزار مورد استفاده در این نفوذ به LUA نوشته شده بود، زبانی که بر اساس شواهد سایر عوامل تهدیدکننده پیشرفته مانند آنهایی که در دستان پشت پرده Flame و Project Sauron بودند استفاده می‌کردند. گدایکس در ارائه خود به تعدادی از شباهت‌های بین این پرونده و پرونده‌ای موسوم به «Athens Affair » اشاره می‌کند، که این دو تنها موارد شناخته شده این بازیگر تهدید هستند که در واقع در محیط بیرون به کار گرفته شده‌اند.

8.      SinSono

می 2021، Syniverse، یک شرکت مخابراتی که خدمات مسیریابی پیام های متنی را به اپراتورهایی مانند At&T، Verizon، T-Mobile و دیگران ارائه می‌دهد، دسترسی غیرمجاز به سیستم های IT خود را شناسایی کرد. بررسی داخلی نشان داد حریفی ناشناس برای اولین بار در سال 2016 به زیرساخت Syniverse نفوذ کرد. آنها به مدت پنج سال ناشناخته عمل کردند، به پایگاه های داده داخلی دسترسی داشتند و موفق شدند اعتبار ورود به سیستم 235 مشتری را برای محیط انتقال الکترونیکی داده (EDT) شرکت به خطر بیاندازند. از طریق این حساب‌ها، عامل تهدید می‌تواند به داده‌های بسیار حساس مصرف‌کننده، به عنوان مثال، سوابق تماس و محتوای پیام‌های متنی دسترسی داشته باشد. گرچه شرکت اعتبارنامه‌ها را برای همه مشتریان EDT ریست یا غیرفعال کرد و با سازمان‌های تحت تأثیر تماس گرفت اما سؤالات زیادی بی‌پاسخ مانده است: به عنوان مثال، آیا بازیگر واقعاً داده‌های حساس را دزدیده است یا خیر. اگرچه خود شرکت و برخی از اپراتورهای متکی به خدمات آن هیچ نشانه‌ای مبنی بر نقض بزرگ و تلاشی برای ایجاد اختلال در فرآیندهای خود مشاهده نمی‌کنند اما ما نه می‌دانیم بازیگر چه کسی بوده نه می‌دانیم چه هدفی داشتند.

9.      MagicScroll (یا همان AcidBox)

MagicScroll یک فریم‌ورک مخرب پیچیده است که اولین بار توسط Palo Alto's Unit 42 در سال 2019 شناسایی شد. اسیدباکس نوعی بدافزار چند مرحله‌ای با تنها چند نمونه شناخته شده و یک قربانی شناخته شده است که در روسیه قرار دارد و در سال 2017 مورد حمله قرار گرفته. اطلاعات مربوط به مرحله آلودگی اولیه MagicScroll در دست نیست!. اولین مرحله شناخته شده لودری است که به عنوان یک ارائه دهنده پشتیبانی امنیتی ایجاد شده است، یک DLL که معمولاً ویژگی های امنیتی خاصی مانند تأیید اعتبار برنامه را ارائه می‌دهد. MagicScroll از این قابلیت برای دستیابی به تزریق به فرآیند lsass.exe و احتمالاً تداوم نیز سوء استفاده می‌کند. هدف اصلی لودر رمزگشایی و بارگذاری ماژول مرحله بعدی است که در رجیستری ذخیره می شود. این ماژول از یک آسیب‌پذیری درایور VirtualBox برای بارگذاری یک درایور مخرب بدون علامت در حالت هسته سوء استفاده می‌کند. طبق واحد 42، اکسپلویت کردن این آسیب‌پذیری قبلاً در عملیات Turla مشاهده شده بود، اما هیچ نشانه‌ای مبنی بر اینکه بازیگر جدید ارتباطی با آن گروه داشته باشد وجود ندارد. هنوز هیچ ارتباطی بین MagicScroll و هیچ APT شناخته شده دیگری پیدا نشده است.

1. Metador

عامل تهدید متادور برای اولین بار توسط SentinelLabs در سپتامبر 2022 به طور عمومی شرح داده شد. این عامل عمدتاً ISP ها، شرکت های مخابراتی و دانشگاه های چندین کشور در خاورمیانه و آفریقا را هدف قرار می‌دهد. حداقل یکی از قربانیان آن توسط نزدیک به ده گروه مختلف APT مورد حمله قرار گرفته است.

متادور دو پلتفرم بدافزار به نام‌های metaMain  و Mafalda  را اجرا می‌کند که صرفاً در حافظه مستقر شده‌اند. پلتفرم metaMain یک بک‌در غنی پرقابلیت است که دسترسی طولانی مدت به سیستم آلوده را برای عامل تهدید فراهم می‌کند؛ می‌تواند رویدادهای صفحه‌کلید و ماوس را ثبت کند، اسکرین‌شات بسازد، فایل‌ها را دانلود و آپلود و کد پوسته دلخواه را اجرا کند.

Mafalda بک‌دری است که به طور فعال در حال توسعه است. آخرین نسخه آن با مهر زمانیِ دسامبر 2021 گردآوری شده است. این بک‌در دارای تعدادی تکنیک ضد تجزیه و تحلیل است و از 67 فرمان پشتیبانی می‌کند (این تعداد در مقایسه با 13 فرمان در نسخه قبلی بدافزار بسیار نجومی است!).  جدا از عملکرد معمول یک بک‌در، metaMain و Mafalda قادر به برقراری ارتباط با ایمپلنت‌های دیگر (هنوز ناشناخته) و تبادل داده با آنها هستند. یکی از این ایمپلنت‌ها  Cryshell نام دارد و به عنوان سرور میانی بین metaMain یا Mafalda و C2 عمل می‌کند. دلایلی وجود دارد که باور کنیم ایمپلنت‌های ناشناخته لینوکس وجود دارند که می‌توانند داده‌های جمع آوری شده از ماشین های لینوکس را به مافالدا ارسال کنند. هنوز مشخص نشده بازیگر متادور کیست و اهداف آنها چه بوده. این بدافزار پیچیده‌ای که برای مدت طولانی طراحی شده است، نشان می دهد کمپین جاسوسی سایبری است که عامل تهدید کننده سطح بالایی اداره‌اش می‌کند. حداقل برخی از پاسخ‌های C2 به زبان اسپانیایی هستند، که ممکن است نشان دهد که بازیگر یا برخی از توسعه‌دهندگان آن اسپانیایی صحبت می‌کنند. همچنین، برخی ارجاعات فرهنگی در بدافزار متادور یافت شد، از جمله اشعار پاپ پانک بریتانیا و کارتون های سیاسی آرژانتینی. سرنخ‌ها مختلفند و همین تعیین این که منافع کدام دولت در آن دخیل بوده کار سختی است. یکی از فرضیه‌ها این است که این گروه یک پیمانکار رده بالا است.

نتیجه‌گیری

عوامل تهدید پیشرفته از هر وسیله‌ای که فکرش را بکنید برای شناسایی نشدن و - در صورت دستگیری - بدون نسبت ماندن استفاده می‌کنند. هرازگاهی، محققین امنیتی یک کمپین مرموز را فاش می‌کنند که سال‌ها کشف نشده است و تقریباً غیرممکن است که با اطمینان از خیرین آن ردیابی کنیم. ده داستانی که در این پست توضیح داده شده‌اند، تنها بخشی از بسیاری از اسرار غیرقابل انتساب هستند که در طول سال ها دیده‌ایم. به همین دلیل مهم است که درباره آنها بحث کنیم و داده‌های مربوط به آنها را در جامعه امنیت سایبری به اشتراک بگذاریم.

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.