روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ ما در تیم Global Research and Analysis کسپرسکی فعالیتهای مداوم بیش از 900 عامل تهدید پیشرفته و خوشههای فعالیت را ردیابی میکنیم. برای این تحلیل سالانه سعی کردهایم تمرکز خود را روی رویهها و پیشرفتهای 12 ماه اخیر که بیشترین جذابیت را داشتند بگذاریم. این تحلیل مبتنی بر قدرت دید ما نسبت به چشمانداز تهدید دارد و شایان ذکر است هیچ برداری نسبت به فعالیتهای عوامل تهدید قابلیت دید تمام و کمال ندارد.
بردارهای بخش خصوصی نقش مهمی را در چشمانداز تهدید ایفا میکنند
تحقیقات گاردین و 16 سازمان رسانهای دیگر که در ماه جولای 2021 منتشر شد نشان داد بیش از 30000 فعال حقوق بشر، روزنامه نگار و وکیل در سراسر جهان ممکن است آلودهی Pegasus شده باشند. این گزارش که پروژه پگاسوز نام دارد، ادعا میکند نرمافزار مذکور از انواع اکسپلویتها از جمله چندین روز صفرِ کلیکصفر[1] iOS استفاده میکند. آزمایشگاه امنیتی بینالمللی Amnesty بر اساس تجزیه و تحلیل چندین دستگاه تلفن همراه دریافت که این نرمافزار مکرراً به طور سوءاستفادهگرانهای برای نظارت مورد استفاده قرار گرفته است. فهرست قربانیان شامل 14 رهبر جهانی میشود. در اواخر همان ماه، نمایندگانی از دولت اسرائیل از دفاتر NSO به عنوان بخشی از تحقیقات و سنجش صحت و سقم ادعاها بازدید بعمل آوردند. و در ماه اکتبر، دادگاه عالی هند کمیته فنی را مأمور کرد تا ببیند آیا دولت از پگاسوس برای جاسوسی از شهروندانش استفاده کرده است یا خیر. در ماه نوامبر، اپل اعلام کرد که علیه NSO Group به دلیل توسعه نرمافزاری که کاربرانش را با «بدافزارها و جاسوسافزارهای آلوده» هدف قرار میدهد، اقدام قانونی میکند. شناسایی ردپای آلودگی Pegasus و سایر بدافزارهای پیشرفته تلفن همراه بسیار مشکل و به دلیل ویژگی های امنیتی سیستم عاملهای مدرن مانند iOS و Android پیچیده است. بر اساس مشاهدات ما، این امر با استقرار بدافزارهای غیردائمی که تقریباً هیچ اثری پس از ریبوت از خود باقی نمی گذارند، پیچیدهتر نیز میشود. از آنجایی که بسیاری از چارچوبهای تحلیلی مستلزم جیلبریک دستگاه هستند، باعث میشود بدافزار در طول ریبوت از مموری حذف گردد. در حال میتوان از چندین روش برای شناسایی پگاسوز و سایر بدافزارهای موبایل استفاده کرد.
در حال حاضر می توان از روش های مختلفی برای شناسایی پگاسوس و سایر بدافزارهای موبایل استفاده کرد. MVT (Mobile Verification Toolkit) متعلق به Amnesty International رایگان و منبع باز است و به فنآوران و محققان اجازه میدهد تا تلفنهای همراه را از حیث علائم آلودگی بررسی کنند. MVT در ادامه با فهرستی از IoCها (شاخص های دستکاری) جمعآوریشده از پرونده های سرشناس که Amnesty International در اختیار گذاشته است تقویت میشود.
حملات زنجیره تأمین
در 12 ماه گذشته شاهد تعدادی از حملات زنجیره تامینِ مطرحشده بودیم. دسامبر گذشته، گزارش شد که SolarWinds، ارائهدهنده معروف در زمینه خدمات مدیریت فناوری اطلاعات قربانی یک حمله پیچیده زنجیره تامین شده است. راهکار نظارت و مدیریت زیرساخت فناوری اطلاعات مشتریان این شرکت به نام Orion IT در معرض خطر قرار گرفت. این منجر به استقرار یک بکدر سفارشی به نام Sunburst در شبکههای بیش از 18000 مشتری SolarWinds، از جمله بسیاری از شرکتهای بزرگ و ارگانهای دولتی، در آمریکای شمالی، اروپا، خاورمیانه و آسیا شد. همه حملات زنجیره تامین هم به این اندازه پیچیده نبودهاند. در اوایل سال جاری، یک گروه APT که ما آن را به عنوان BountyGlad میشناسیم، یک مرجع گواهی را در مغولستان به خطر انداخت و نرمافزار مشتری مدیریت گواهی دیجیتال را با یک دانلودگر مخرب جایگزین کرد. زیرساخت مرتبط شناسایی و در چندین رویداد دیگر نیز مورد استفاده قرار گرفت- از جمله حملات از سوی سرور به سرویسهای WebSphere و WebLogic در هنگکنگ، و نصبکنندههای تروجانزده Flash Player از سوی مشتری.
حین بررسی ساز و کار حمله زنجیره تأمینی به وبسایت سازمان صدور گواهینامه دولت آسیا، یک بسته تروجانزده را کشف کردیم که قدمتش به ژوئن 2020 بازمیگردد. حال که گره کار باز شده بود، تعدادی ابزار را پس از دستکاری در قالب افزونههایی شناسایی کردیم که با استفاده از بدافزار PhantomNet بکار گرفته میشدند. تجزیه و تحلیل ما روی این افزونهها شباهتهایی را با بدافزار CoughingDown که قبلاً بررسی شده بود داشت.
در آوریل 2021، Codecov، ارائهدهنده راهکارهای پوشش کد، علناً فاش کرد که اسکریپت Bash Uploader آن به خطر افتاده و بین 31 ژانویه تا 1 آوریل بین کاربران توزیع شده است. اسکریپت Bash Uploader به صورت عمومی توسط Codecov توزیع میشود و هدف آن جمعآوری اطلاعات مربوط به محیطهای اجرای کاربر، جمعآوری گزارشهای پوشش کد و ارسال نتایج به زیرساخت Codecov میباشد. این دستکاری اسکریپت به طور موثری یک حمله زنجیره تاًمین را شکل میدهد. اوایل سال جاری، کمپینهای گروه Lazarus را با استفاده از خوشه DeathNote آپدیتشده کشف کردیم. نشانههای تحقیقات ما حاکی از قابلیتهای حمله زنجیره تأمین ساخت لازاروس است. در یکی از سناریوها دریافتیم منشأ زنجیره آلودگی نرم افزار امنیتی قانونی کره جنوبی است که یک بار پیلودی مخرب اجرا کرده است. در سناریوی دوم نیز، هدف شرکتی بود که راهکارهای نظارت بر دارایی را توسعه میداد. معمولاً لازاروس چنین شرکتهایی را قربانی خود نمیکند. به عنوان بخشی از زنجیره تخریب، لازاروس از دانلودگری به نام راکت استفاده کرد که با استفاده از گواهی سرقتشده آن را امضا کردند. این عامل سرورهای وب آسیبپذیر را به خطر انداخت و چندین اسکریپت را برای فیلتر و کنترل ایمپلنتهای مخرب در ماشینهای قربانی که با موفقیت شکست خورده بودند آپلود کرد. یک APT که قبلاً ناشناخته بود و مشکوک به زبان چینی، بسته نصب نرمافزار اسکنر اثر انگشت را در یک سرور توزیع در کشوری در شرق آسیا تغییر داد. APT فایل تنظیمات را تغییر داده و یک DLL با یک نسخه داتنت از انژکتور PlugX به پکیج اینستالر اضافه کرد. کارمندان دولت مرکزی در این کشور ملزم به استفاده از این بسته بیومتریک برای پیگیری حضور و غیاب هستند. ما به این رخداد زنجیره تأمین و این نوع خاص PlugX میگوییم SmudgeX. به نظر میرسد نصبگر تروجانزده از ماه مارس تا ژوئن بر روی سرور توزیع نصب شده است.
اکسپلویتِ آسیبپذیریها
در تاریخ 2 مارس، مایکروسافت یک عامل جدید APT موسوم به HAFNIUM گزارش کرد که چهار روز صفر در Exchange Server را در آنچه نامش را «حملات محدود و هدفمند» گذاشته بودند، اکسپلویت کرده است. آن زمان، مایکروسافت ادعا کرد علاوه بر HAFNIUM، چندین عامل دیگر نیز از آنها اکسپلویت میکنند. به موازات آن، Volexity همچنین گزارش داد همان Exchange zero-days در اوایل سال 2021 در حال اکسپلویت است. بر اساس تلهمتری Volexity، برخی از اکسپلویتهای در حال استفاده بین چندین عامل به اشتراک گذاشته شدهاند- به غیر از موردی که مایکروسافت به عنوان HAFNIUM تعیین کرده است. تلهمتری کسپرسکی نشانگر افزایش اقدامات اکسپلویت این آسیبپذیریها پس از افشای عمومی و پچ مایکروسافت است. هفته اول ماه مارس، ما تقریباً 1400 سرور منحصر به فرد را شناسایی کردیم که در آنها از یک یا چند مورد از این آسیب پذیریها برای دسترسی اولیه استفاده شده است. بر اساس تلهمتری ما، بیشترین اقدام اکسپلویت در سرورهای اروپا و ایالات متحده مشاهده شده است. برخی از سرورها چندین بار توسط عوامل تهدید مختلف (بر اساس الگوهای اجرای دستور) مورد هدف قرار گرفتند که نشان میدهد این اکسپلویتها در اختیار چندین گروه قرار گرفتهاند.
ما همچنین کمپین فعالی را از اواسط ماه مارس کشف کردیم که نهادهای دولتی در اروپا و آسیا را با استفاده از همان اکسپلویتهای روز صفر Exchange، هدف قرار میداد. این کمپین از خانواده بدافزاری که قبلاً ناشناخته بود استفاده کرد که ما آن را FourteenHi نامیدیم. تحقیقات بیشتر نشان داد تاریخ فعالیت مربوط به انواع این بدافزار به یک سال پیش برمیگردد. ما همچنین به برخی همپوشانیها در این مجموعه فعالیتها با HAFNIUM از نظر زیرساخت و TTPها و همچنین استفاده از بدافزار ShadowPad در همان بازه زمانی رسیدیم. در 25 ژانویه، گروه تحلیل تهدیدات گوگل (TAG) اعلام کرد که یک عامل تهدید با حمایت دولتی محققان امنیتی را هدف قرار داده است. طبق وبلاگ Google TAG، این عامل از مهندسی اجتماعی بسیار پیچیدهای استفاده کرده، از طریق رسانههای اجتماعی به محققان امنیتی نزدیک شده و یک فایل پروژه ویژوال استودیو در معرض خطر را تحویل داده یا آنها را به وبلاگ خود جذب کرده است، جایی که یک اکسپلویت کروم انتظارشان را میکشیده است.
31 مارس، Google TAG آپدیتی را در مورد این فعالیت منتشر کرد که موج دیگری از پروفایلهای جعلی رسانههای اجتماعی و شرکتی را که عامل در اواسط ماه مارس راهاندازی کرد، نشان میداد. ما تأیید کردیم چندین زیرساخت در وبلاگ با گزارشهای منتشر شده قبلی ما درباره خوشه ThreatNeedle گروه Lazarus همپوشانی دارد. افزون بر این، بدافزار مذکور توسط Google با ThreatNeedle مطابقت داشت - بدافزاری که ما از سال 2018 در حال ردیابیِ آنیم. در حین بررسی اطلاعات مرتبط، محققی خارجی تأیید کرد که او نیز توسط این حمله به خطر افتاده و سپس اطلاعاتی را برای بررسی ما به اشتراک میگذارد. سرورهای C2 اضافی را پس از رمزگشایی دادههای مربوط به تنظیمات از میزبانِ تهدیدشده کشف کردیم. سرورها هنوز در طول تحقیقات ما داشتند اکسپلویت میشدند و توانستیم اطلاعات اضافی مربوط به حمله را به دست آوریم. ارزیابی ما این است که زیرساخت منتشر شده نه تنها برای هدف قرار دادن محققان امنیتی بلکه در سایر حملات Lazarus نیز استفاده شده است. در زمان تحقیق ما تعداد نسبتاً زیادی از میزبانهایی را پیدا کردیم که با C2 ها ارتباط برقرار میکردند.
با گسترش تحقیقات خود در مورد اکسپلویتی که CVE-2021-1732 را هدف قرار میدهد –اکسپلویتی که در ابتدا توسط مرکز اطلاعات تهدید امنیت DBAPPSecurity کشف شده بود و توسط گروه Bitter APT استفاده میشد- یک اکسپلویت احتمالی روز صفر دیگری را کشف کردیم که در منطقه آسیا و اقیانوسیه استفاده میشود. بررسیهای بیشتر نشان داد این اکسپلویت افزایش مزیت[2] حداقل از نوامبر 2020 به طور بالقوه در محیط بیرون مورد استفاده قرار گرفته است. ما این اکسپلویت جدید را در ماه فوریه به مایکروسافت گزارش کردیم. پس از تأیید اینکه ما واقعاً با یک روز صفر جدید روبرو هستیم، نام CVE-2021-28310 بدان داده شد. نشانهها و مصنوعات مختلفی که در این اکسپلویت باقی مانده بود باعث شد مطمئن شویم CVE-2021-1732 و CVE-2021-28310 توسط همان توسعهدهنده اکسپلویتی که با عنوان Moses ردیابی میکنیم ایجاد شدهاند.
به نظر میرسد که Moses توسعهدهنده اکسپلویتی است که بر اساس سایر اکسپلویتهای گذشته و عواملیکه از آنها استفاده میکنند، اکسپلویتها را در اختیار چندین عامل تهدید قرار میدهد. تا به امروز، تایید کردهایم حداقل دو عامل تهدید شناختهشده از اکسپلویتهایی که در ابتدا توسط Moses توسعه داده شده بود استفاده کردهاند: Bitter APT و Dark Hotel. بر اساس علائم و مصنوعات مشابه، همچنین اطلاعاتی که مخفیانه از طرفسومها بدستآمده باورمان بر این است که Moses حداقل منشأ شش آسیبپذیری مشاهده شده در محیط بیرون طی دو سال گذشته بوده است. بااینکه اکسپلویت EoP در محیط بیرون کشف شد، اما نتوانستیم استفاده از آن را مستقیماً به هیچ عامل تهدید شناختهشدهای که در حال حاضر دنبال میکنیم ربط بدهیم. اکسپلویت EoP احتمالاً به همراه سایر اکسپلویتهای مرورگر برای فرار از سندباکسها و به دست آوردن مزیت ادمین برای دسترسی بیشتر زنجیر شده است.
متأسفانه، نتوانستیم یک زنجیره اکسپلویت کامل را ضبط کنیم، بنابراین نمیدانیم این اکسپلویت با مرورگر روز صفر دیگری استفاده میشود یا به اکسپلویتهایی مربوط میشود که آسیبپذیریهای شناختهشده و پجشده را اکسپلویت میکنند. از 14 تا 15 آوریل، فناوریهای کسپرسکی موجی از حملات بسیار هدفمند را علیه چندین شرکت شناسایی کردند. تحلیلهای دقیقتر نشان داد همه این حملات زنجیرهای از اکسپلویتهای روز صفر گوگل کروم و مایکروسافت ویندوز را اکسپلویت میکردند. گرچه قادر به بازیابی اکسپلویت مورد استفاده برای اجرای کد ریموت در مرورگر وب کروم نبودیم اما توانستیم یک اکسپلویت EoP را که برای فرار از سندباکس و دسترسی به امتیازات سیستم استفاده میشود پیدا کرده و آنالیز کنیم. اکسپلویت EoP به منظور کار بر روی جدیدترین و برجستهترین سازههای ویندوز 10 تنظیم شده و دو آسیبپذیری مختلف را در کرنل سیستمعامل مایکروسافت ویندوز اکسپلویت کرده است. ما این آسیبپذیریها را به مایکروسافت گزارش کردیم و آنها CVE-2021-31955 را به آسیبپذیری افشای اطلاعات و CVE-2021-31956 را به آسیبپذیری EoP اختصاص دادند. هر دو آسیبپذیری در 8 ژوئن به عنوان بخشی از پچ روز سهشنبه ماه ژوئن اصلاح شدند.
اقدامات زنجیره اکسپلویت تلاش دارد بدافزار را از طریق یک دراپر در سیستم نصب کند. این بدافزار کار خود را به عنوان یک سرویس سیستم شروع میکند و پلیلودی را لود میکند- منظور بکدری به سبک هسته است که در عوض برای دریافت دستورات به C2 وصل میشود. از آنجایی که نتوانستیم هیچ ارتباط یا همپوشانی با یک عامل شناخته شده پیدا کنیم، این مجموعه فعالیت را PuzzleMaker نامیدیم. در نهایت اواخر امسال، موجی از حملات را با استفاده از افزایش امتیاز اکسپلویت که بر انواع سرورهای سیستم عامل ویندوز تأثیر میگذارد، شناسایی کردیم. پس از بررسیهای بیشتر، مشخص شد کار، کارِ یک آسیبپذیری روز صفر use-after-free در Win32k.sys بوده است که ما به مایکروسافت گزارش کردیم و در نتیجه به عنوان CVE-2021-40449 رفع شد. بدافزار مربوطه را تجزیه و تحلیل کردیم، خوشه مرتبط MysterySnail را نامگذاری نموه و زیرساختهای همپوشانیشده را که آن را به IronHusky APT میرساند پیدا کردیم.
آسیبپذیریهای سفتافزار
در ماه سپتامبر، یک نمای کلی از ایمپلنت رایانه شخصی FinSpy ارائه کردیم که نه تنها نسخه ویندوز، بلکه نسخههای لینوکس و macOS را نیز پوشش میداد. FinSpy یک مجموعه ابزار نظارت تجاری بدنام است که برای اهداف "نظارت قانونی" استفاده میشود. از حیث تاریخی، چندین سازمان غیردولتی بارها گزارش دادهاند که از آن علیه روزنامهنگاران، مخالفان سیاسی و فعالان حقوق بشر استفاده شده است. ایمپلنت ویندوزی آن توسط یک نصبگر جاسوسافزار تک مرحلهای نمایش داده میشده است و این نسخه تا سال 2018 چندین بار شناسایی و مورد تحقیق قرار گرفت. از آن زمان تا کنون شاهد کاهش میزان شناسایی FinSpy برای ویندوز بودهایم.
در حالی که ماهیت این ناهنجاری ناشناخته باقی مانده بود، ما شروع به شناسایی بستههای نصب مشکوک کردیم که با استیجرهای Metasploit ساخته شده بودند. نمیتوانستیم این بستهها را به هیچ عامل تهدیدی نسبت دهیم تا اینکه اواسط سال 2019 میزبانی را پیدا کردیم که به این نصبکنندهها در میان ایمپلنتهای FinSpy Mobile -مخصوص اندروید- خدمات میداد. در طول بررسیهایمان، متوجه شدیم که نصبکنندههای بکدرشده چیزی جز ایمپلنتهای مرحله اول نیستند که برای دانلود و استقرار پیلودهای بیشتر قبل از تروجان FinSpy واقعی استفاده میشوند. به غیر از نصبکنندههای تروجانزده، ما آلودگیهایی را نیز مشاهده کردیم که شامل استفاده از بوتکیت UEFI یا MBR میشدند.
در حالیکه آلودگی MBR حداقل از سال 2014 شناخته شده است، جزئیات مربوط به بوت کیت UEFI برای اولین بار در گزارش ما به طور عمومی فاش شد. اواخر سه ماهه سوم، محموله ناشناختهای را با قابلیت های پیشرفته شناسایی کردیم که با استفاده از دو زنجیره آلودگی به سازمانهای دولتی و شرکتهای مخابراتی مختلف در خاورمیانه تحویل داده شد. پیلود از یک روت کیت حالت هسته ویندوز برای تسهیل برخی از فعالیتهای خود استفاده میکند و میتواند به طور مداوم از طریق یک بوت کیت MBR یا UEFI مستقر شود. شاید جالب باشد بدانید که برخی از اجزای مشاهدهشده در این حمله قبلاً توسط عامل Slingshot در موارد متعددی در حافظه صحنهسازی شدهاند و به موجب آن Slingshot یک فریمورک پسا اکسپلویت است که در گذشته به کرات آن را پوشش دادهایم (با Slingshot APT اشتباه نشود).
این ابزار عمدتاً به عنوان یک ابزار تست نفوذ تجاری اختصاصی شناخته میشود که به طور رسمی برای شرکتهای تیم قرمز[3] طراحی شده است. با این حال، این اولین بار نیست که به نظر میرسد مهاجمان آن را اکسپلویت میکنند. یکی از گزارشهای قبلی ما در سال 2019 که فعالیت FruityArmor را پوشش میداد، نشان داد که گروه تهدید از این فریمورک برای هدف قرار دادن سازمانها در چندین صنعت در خاورمیانه استفاده میکند- احتمالاً با استفاده از یک اکسپلویت ناشناخته در یک برنامه پیامرسان (به عنوان بردار آلودگی). در یک گزارش اطلاعاتیِ خصوصی اخیر، اقدامی از سندباکس مخرب تازه کشف شده را تحلیل کرده و آن را ارائه کردیم که همراه با Slingshot بود. همچنین به نحوه استفاده از آن در خوشههای فعالیت در محیط بیرون نیز پرداختیم. مهمتر از همه، برخی از ویژگیهای پیشرفتهای را که در بدافزار مشهود است و همچنین استفاده از آن در یک فعالیت طولانیمدت خاص علیه یک هدف دیپلماتیک برجسته در خاورمیانه را بیان کردیم.
[1] zero-click
[2] EoP
[3]گروهی که نقش حریف یا رقیب را بازی میکند.
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
