روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ کووید 19 همچنان بر قوت خود باقیست و در این میان برخی عاملین تهدید همچون لازاروس نیز سعی دارند از آب گل‌آلود ماهی بگیرند. تمرکز لازاروس روی حمله به نهادهایی است که یک‌جورهایی به پژوهش‌هایی روی ویروس کرونا ربط پیدا می‌کند. همچنان که در حال بررسی کمپین‌های فعال گروه لازاروس بودیم (که هدفشان حمله به صنایع مختلف بود) متوجه شدیم که این کمپین‌ها اخیراً تمرکز خود را روی نهادهای کووید-محور گذاشته‌اند. آن‌ها اواخر سپتامبر به شرکتی دارویی حمله کردند و در طول آزمایشات خود به این مسئله پی بردیم که این کمپین‌ها همچنین به یک وزارتخانه دولتی مربوط به رسیدگیِ امور کووید 19 نیز حمله کرده‌اند.  در هر حمله از تاکتیک‌ها، فنون و روندهای مختلفی استفاده شد؛ اما بین دو مورد مذکور ربط‌هایی پیدا کردیم و شواهدی در دست داریم که این دو حمله را به گروه بدنام لازاروس نسبت می‌دهد. در ادامه قصد داریم این دو رخداد سایبری را به طور جداگانه مورد بررسی قرار دهیم. با ما همراه شوید.

اولین رخداد علیه وزارتخانه‌ای دولتی بود: 27 اکتبر سال 2020 دو ویندوز سرورِ وزارتخانه دستکاری شد. ما نتوانستیم بردار حمله را شناسایی کنیم اما عامل تهدید توانسته بود روی این سرورها بدافزاری پیچیده را نصب کند. ما از پیش می‌دانستیم نام آن بدافزار «wAgent» است. اجزای اصلی‌اش تنها در مموری کار می‌کند و از سروری ریموت، پی‌لودهای اضافی دریافت می‌کند.

دومین رخداد حمله علیه شرکتی دارویی بوده است. بر طبق تله‌متریِ ما، این شرکت در تاریخ 25 سپتامبر 2020 نقض شد. این بار، گروه لازاروس از بدافزار Bookcode که پیش از این ESET (در حمله‌ی زنجیره تأمین از طریق شرکت نرم‌افزاری کره جنوبی) گزارشش را داده بود استفاده کرده بود. ما همچنین توانستیم فرمان‌های پسا اکسپلویت (اجرا شده توسط لازاروس روی همین تارگت) را مشاهده کنیم. هر دو حمله از شاخه‌های بدافزاری متفاوتی استفاده کرده بودند که چندان هم‌پوشانی‌ای هم با یکدیگر نداشتند. با این حال، می‌توانیم تأیید کنیم که هر دو به گروه لازاروس مرتبط هستند و همچنین در فرآیند پسا اکسپلویت نیز یک سری هم‌پوشانی‌هایی پیدا کردیم.

شاخه بدافزار wAgent

این شاخه بدافزار طرح تخریب بسیار پیچیده ای دارد:

متأسفانه، نتوانستیم به ماژول اولیه بکار رفته در این حمله دسترسی پیدا کنیم. ظاهراً این ماژول نقش کمرنگی دارد: اجرای wAgent با پارامترهایی خاص. یکی از نمونه‌های wAgent که جمع‌آوری کردیم ابرداده‌های جعلی داشت زیرا می‌خواست خودش را جای ابزار قانونی فشرده‌سازی به نام XZ Utils جا بزند. طبق تله‌متری ما، این بدافزار مستقیماً روی دستگاه قربانی از پوسته خط فرمان با فراخوانیِ کارکرد Thumbs اجرا شده بود:

c:\windows\system32\rundll32.exe  C:\Programdata\Oracle\javac.dat, Thumbs 8IZ-VU7-109-S2MY

رشته پارامتر 15 بایتی به عنوان کلیدی [1]AES برای رمزگشایی پی‌لودی جاسازشده  (یک ویندوز دی‌ال‌ال) مورد استفاده قرار می‌گیرد. وقتی پی‌لود جاسازشده در مموری لود می‌شود، با استفاده از کلید رمزگشای داده شده اطلاعات تنظیمات را رمزگشایی می‌کند. تنظیمات عبارت است از اطلاعات مختلفی از جمله آدرس‌های سرور C2 و نیز مسیر فایلی که بعداً بکار برده می‌شود. گرچه این تنظیمات دو سرور C2 را مشخص می‌کند اما در حقیقت همان یک سرور C2 است که دو بار تکرار شده. شاید جالب باشد بدانید این تنظیمات چندین مسیر URL دارد که هر یک با نماد @ از هم جدا می‌شوند. این بدافزار تلاش دارد به طور رندوم به هر مسیر URL وصل شود.

وقتی بدافزار برای اولین بار اجرا می‌شود، برای تفاوت قائل شدن برای هر قربانی با استفاده از هشِ ارزشی تصادفی شناساگر تولید می‌کند. همچنین ارزش تصادفی 16 بایتی نیز تولید کرده و ترتیب آن را برعکس می‌کند. سپس بدافزار با استفاده از @ به عنوان حائل (یعنی 82UKx3vnjQ791PL2@29312663988969) این ارزش 16 بایتی تصادفی و هش را به هم پیوند می‌زند. نام‌های پارامتریِ POST  (پروتکل انتقال ابرمتن) که در زیر نشان داده شدند در زمان اجرا رمزگشایی شده و به طور تصادفی در هر کانکشن C2 انتخاب می‌شوند. ما پیشتر به مشتریان Threat Intelligence Report خود گزارش دادیم که هنگام حمله‌ی گروه لازاروس به کسب و کارهای فعال در زمینه رمزارز –آن هم با بدافزار دانلودر- فناوری بسیار مشابهی بکار رفته است. شایان ذکر است که Tistory یک سرویس بلاگ پست در کروه جنوبی است که این یعنی نویسنده بدافزار با محیط اینترنت کروه جنوبی آشنایی دارد.

این بدافزار شناساگر تولیدشده را در قالب base64 کدگذاری کرده و آن را به C2POST می‌کند. در آخر، عامل پی‌لود بعدی را از سرور C2 دریافت کرده و آن را مستقیماً در مموری لود می‌کند. متأسفانه، نتوانستیم کپی‌ای از آن بدست آوریم اما بر طبق تله‌متری ما پی‌لود دریافت‌شده یک Windows DLL شامل کارکردهای بک‌در است. اپراتور بدافزار با استفاده از این بک‌در درون‌مموری توانسته بود چندین فرمان پوسته را برای جمع‌آوری اطلاعات قربانی اجرا کند:

wAgent سِمِج

این اپراتور با استفاده از بک‌در wAgent پی‌لود اضافی wAgent را که مکانیزمی ماندگار و قوی دارد نصب کرد. بعد از دریافت این DLL، اکسپورتی به نام SagePlug به همراه پارامترهای خط فرمان زیر اجرا شد:

4GO-R19-0TQ-HL2A به عنوان کلید استفاده می‌شود و مسیر فایل نیز جایی را که پیام‌های دیباگ[2] ذخیره می‌شوند نشان می‌دهد. این نصب‌گر wAgent به طور مشابهی مانند بدافزار لودر wAgent که در فوق شرح داده شد کار می‌کند. وظیفه‌ی آن لود کردن پی‌لودی جاسازشده بعد از رمزگشایی‌اش با کلید 16 بایتی از خط فرمان است. در پی‌لود رمزگشایی‌شده، بدافزار مسیر فایلی را برای پیش بردن تخریب خود تولید می‌کند:

•         :\Windows\system32\[random 2 characters]svc.drv

این فایل خود را جای ابزاری قانونی به نام SageThumbs Shell Extension می‌زند. این ابزار فایل‌های تصویری را مستقیماً در ویندوز اکسپلورر نشان می‌دهد. با این حال، حاوی روتینی مخرب است. ماژول نصب‌گر حین ساخت این فایل آن را با داده‌های تصادفی پر می‌کند تا سایزش افزایش داده شود. این بدافزار همچنین برای آنکه کمتر به چشم آید زمان ساخت cmd.exe را نیز در فایل جدید کپی می‌کند. بدافزار برای لاگین و به منظور پیش بردن اهداف دیباگینگ اطلاعاتی را در فایل ذخیره می‌کند که به عنوان آرگومان دوم ارائه شدند (c:\programdata\oracle\~TMP739.TMP in this case). این لاگ فایل شامل برچسب‌های زمانی و اطلاعاتی در خصوص فرآیند آلودگی می‌شود. ما اینطور مشاهده کردیم که اپراتورهای این بدافزار با استفاده از فرمان‌های ویندوزی به طور دستی این فایل را بررسی می‌کردند.

در آخر، ماژول شروع‌کننده یا اولیه فایل svc.drv را در فرآیندی ریموت کلید می‌زند. این ماژول به دنبال اولین پروسه‌ی svchost.exe می‌گردد و عملیات تزریق DLL را انجام می‌دهد. بدافزار svc.drv تزریق‌شده شامل روتین مخربی برای رمزگشایی و لود کردن پی‌لود جاسازشده‌اش می‌شود. آخرین پی‌لود wAgent است که وظیفه‌اش دریافت پی‌لودهای اضافی از C2 است.

شاخه بدافزار Bookcode

شرکت دارویی که توسط بدافزار Bookcode گروه لازاروس مورد حمله قرار گرفت در حال تولید واکسنی برای ویروس کووید 19 بوده و قانوناً وظیفه‌ی تولید و توزیع واکنش‌های کووید 19 را دارد. پیشتر شاهد بوده‌ایم که  لازاروس چطور با همین بدافزار به شرکت نرم‌افزاری در کره جنوبی حمله کرد (در طی این حمله کد منبع یا زنجیره تأمین این شرکت مورد هدف قرار گرفت). همچنین دیده بودیم که گروه لازاروس برای ارسال بدافزار Bookcode در گذشته دست به اموری چون اسپیر فیشینگ یا دستکاری استراتژیک وبسایت زده است. با این حال، نتوانستیم مشخصاً برای این رخداد بردار تخریب اولیه‌ی دقیقی را شناسایی کنیم. گرچه قطعه بدافزاری را کارش به کارگیری لودر و پی‌لود رمزگذاری‌شده‌ی  Bookcode باشد پیدا نکردیم اما توانستیم یک نمونه لود را شناسایی کنیم. کار این فایل لود کردن پی‌لودی رمزگذاری‌شده به نام gmslogmgr.dat–واقع در فولدر سیستم- است. لودر بعد از رمزگشایی پی‌لود svchost.exe را با پارامترهای winmgmt، ProfSvc یا Appinfo پیدا کرده و پی‌لود را در آن تزریق می‌کند. متأسفانه، نتوانستیم فایل پی‌لود رمزگذاری‌شده را بدست آوریم اما دست‌کم توانستیم اقدامات این بدافزار را روی دستگاه قربانی بازسازی کنیم و آن را Bookcode اعلام نماییم. به محض اجرا، بدافزار Bookcode فایل تنظیمات را می‌خواند. گرچه نمونه‌های قبلی Bookcode از فایل perf91nc.inf بعنوان فایل تنظیمات استفاده می‌کردند اما نسخه‌ی فعلی از فایلی تحت عنوان C_28705.NLS تنظیمات خود را می‌خواند. این نمونه Bookcode تقریباً کارایی یکسانی با بدافزاری که اخیراً آژانس امنیت و اینترنت کره (KISA) گزارش داده است دارد. در این گزارش قید شده است که وقتی بدافزار شروع می‌شود، اطلاعاتی را در خصوص قربانی به زیرساخت مهاجم ارسال می‌کند. بعد از ارتباط گرفتن با سرور C2، بدافزار کارایی‌های استاندارد بک‌در را ارائه می‌دهد.

فاز پسا اکسپلویت

کمپین گروه لازاروس که از شاخه بدافزار Bookcode استفاده می‌کند TTP‌های مخصوص به خودش را دارد و همان شیوه عملیاتی نیز در این حمله به کار گرفته شد.

•         استخراج اطلاعات آلوده‌ی میزبان شامل هش‌های پسورد.
•         استفاده از فرمان‌های ویندوزی برای بررسی اتصال شبکه.
•         استفاده از ابزار WakeMeOnLan برای اسکن میزبان‌های داخل همان شبکه.

بعد از نصب Bookcode (در تاریخ 25 سپتامبر 2020) اپراتور این بدافزار شروع کرد به جمع‌آوری اطلاعات سیستم و شبکه‌ی کاربر. اپراتور بدافزار همچنین یک رجیستری جمع‌آوری کرد حاوی هش‌های پسورد.

•         exe /c “reg.exe save hklm\sam %temp%\~reg_sam.save > “%temp%\BD54EA8118AF46.TMP~” 2>&1″
•         exe /c “reg.exe save hklm\system %temp%\~reg_system.save > “%temp%\405A758FA9C3DD.TMP~” 2>&1″

در فاز حرکت جانبی، اپراتور بدافزار از متودولوژی‌های بسیار شناخته‌شده‌ای استفاده کرد. بعد از دریافت اطلاعات اکانت، آن‌ها به میزبان دیگری با فرمان net وصل شدند و پی‌لودی کپی‌شده با فرمان wmic اجرا کردند.

•         exe /c “netstat -aon | find “ESTA” > %temp%\~431F.tmp
•         exe /c “net use \\172.[redacted] “[redacted]” /u:[redacted] > %temp%\~D94.tmp” 2>&1″
•         wmic /node:172.[redacted] /user:[redacted] /password:”[redacted]” process call create “%temp%\engtask.exe” > %temp%\~9DC9.tmp” 2>&1″

افزون بر این، لازاروس از ADfind برای جمع‌آوری اطلاعات بیشتر از  Active Directory استفاده کرد. عامل تهدید با استفاده از این قابلیت فهرستی از کاربران و کامپیوترهای قربانی را استخراج کرد.

زیرساخت Bookcode

ما در نتیجه‌ی مشارکت متمرکز خود با قربانی برای از بردن اثرات این حمله متوجه فایل اضافی تنظیمات شدیم. این فایل شامل چهار سرور C2 می‌شود که همه‌شان وب سرورهای دستکاری‌شده‌ای هستند از کره جنوبی.

•         hxxps://www.kne.co[.]kr/upload/Customer/BBS.asp
•         hxxp://www.k-kiosk[.]com/bbs/notice_write.asp
•         hxxps://www.gongim[.]com/board/ajax_Write.asp
•         hxxp://www.cometnet[.]biz/framework/common/common.asp

directory listing  یکی از آن سرورهای C2 فعال شده بود پس توانستیم در خصوص نحوه مدیریت سرور C2 توسط مهاجمین به بینش‌هایی دست پیدا کنیم.

چند لاگ فایل و اسکریپتی از سوی سرور دستکاری‌شده  -که یک سرور C2 «مرحله اولیست»- پیدا کردیم. این اسکریپت کانکشن‌هایی از سوی بک‌در را دریافت می‌کند اما تنها حکم پروکسی را برای سرور مرحله دومی –جایی که در آن اپراتورها در واقع سفارشات را ذخیره می‌کنند- دارد.

جدا از قابلیت‌های کنترل ایمپلنت، اسکریپت C2 دارای قابلیت‌های اضافی است همچون آپدیت آدرس سرور C2 مرحله دومی، ارسال شناساگر ایمپلنت به سرور مرحله بعدی یا حذف لاگ فایل.

ما یقین داریم که...

با توجه با ارزیابی‌های دقیقی که انجام دادیم تقریباً یقین داریم عامل پسِ این دو رخداد سایبری، گروه لازاروس است: اول اینکه متوجه شدیم طرح تخریب بدافزار wAgent که علیه وزارتخانه بهداشتی به کار گرفته شده بود همان طرح تخریب بدافزاریست که گروه لازاروس پیشتر از آن در حملاتش علیه کسب و کارهای رمزارز استفاده کرده بود.

•         هر دو سناریو از طرح نامگذاری مشابهی برای بدافزار استفاده کرده بودند؛ تولید دو کاراکتر به طور تصادفی و ضمیمه کردن svc بدان برای تولید مسیری که در آن پی‌لود از قلم انداخته می‌شود.
•         هر دو برنامه‌ی مخرب از Security Support Provider بعنوان مکانیزم ماندگاری[3] استفاده می‌کنند.
•         هر دو برنامه مخرب تقریباً پیام‌های دیباگ یکسانی دارند.

افزون بر این، همان استراتژی در فاز پسا اکسپلویت هم به کار گرفته شد؛ برای مثال استفاده از ADFind در حمله علیه وزارتخانه بهداشتی برای جمع‌آوری اطلاعات بیشتر در خصوص محیط قربانی. همین ابزار در حمله به شرکت دارویی هم جهت استخراج فهرست کارمندان و کامپیوترها از Active Directory به کار گرفته شد. گرچه Active Directory ابزاری رایج برای پروسه‌ی پسا اکسپلویت است اما این نکته اطلاعاتی اضافی است که نشان می‌دهد مهاجمین از ابزارها و متودولوژی‌های مشترک استفاده می‌کنند.

نتیجه‌گیری

این دو رخداد نشانگر علاقه‌ی گروه لازاروس به اطلاعات مربوط به ویروس کووید 19 است. گرچه این گروه بیشتر به فعالیت‌های مالی‌اش معروف است اما این تلنگری بود که بدانیم اگر اراده کند می‌تواند استراتژی حمله خود را تغییر دهد. ما بر این باوریم که همه نهادهایی که در حال حاضر روی فعالیت‌هایی چون پژوهش روی واکسن یا مدیریت بحران ویروس کرونا کار می‌کنند گوش به زنگ چنین حملات سایبری باشند.

[1] استاندارد رمزنگاری پیشرفته

[2]اشکال‌زدایی

[3] persistence mechanism

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.