روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ 

معرفی

آندریل –که بخشی از گروه لازاروس محسوب می‌شود- برای به کار بردن بدافزار DTrack و باج‌افزار Maui در اواسط 2022 معروف است. در طول همین بازه زمانی، آندریل همچنین به طور فعالانه‌ای آسیب‌پذیری Log4j را آنطور که گزارشات نشان می‌دهد اکسپلویت می‌کرده است. این کمپین چندین خانواده جدید بدافزاری را معرفی کرده است که از بین‌ آن‌ها به YamaBot و MagicRat اشاره می‌کنیم. اما همچنین نسخه‌های NukeSped و البته DTrack را نیز آپدیت کرده است. چندی پیش حین تحقیقات خود به این کمپین برخوردیم و تصمیم گرفتیم بیشتر آن را مورد بررسی قرار دهیم. همینطور خانواده بدافزاری را که قبلاً مستند نشده بود به اضافه مجموعه ttpهای آندریل را کشف کردیم. با ما همراه بمانید چرا که قصد داریم یافته‌های خود را با شما به اشتراک بگذاریم.

از آلودگی اولیه تا اشتباه احمقانه

آندریل با اجرای اکسپلویت Log4j که در عوض از سرور c2 بدافزار بیشتر را دانلود می‌کند دستگاه‌ها را آلوده می‌سازد. متأسفانه تیم ما نتوانست اولین تکه از بدافزاری را که دانلود کردند بدست آورد اما دیدیم که اکسپلویت درست کمی بعد از دانلود شدن بک‌در DTrack اتفاق افتاد. از اینجای کار ماجرا جذاب‌تر هم می‌شود: ما توانستیم فرمان‌هایی را که مهاجمین اجرا کردند را بازتولید کنیم. خیلی زود مشخص شد این فرمان‌ها را یک اپراتور انسانی اداره می‌کرده (که به احتمال زیاد ناشی بوده). برای مثال به جای اینکه program بنویسد، زده است prorgam. لحظه خنده‌دارش زمانی است که اپراتورها فهمیدند در سیستمی هستند که از زبان پرتغالی استفاده می‌کند. این اما بسیار زمان‌بر بود: آن‌ها بعد از اجرای cmd.еxe /c net localgroup این را دریافتند.

ما توانستیم سری ابزارهایی را که آندریل در طول فاز اجرای فرمان نصب و اجرا کرده بود و بعدش برای اکسپلویت بیشتر هدف خود به کارش برده بود شناسایی کنیم. در زیر برخی نمونه‌ها را آورده‌ایم:

•         دسکتاپ ریموت Supremo
•         3Proxy
•         Powerline
•         Putty
•         Dumpert
•         NTDSDumpEx
•         ForkDump

با EarlyRat آشنا شوید

ما ابتدا متوجه شدیم در یکی از موارد فوق‌الذکر Log4j نسخه‌ای  از EarlyRat وجود دارد و تصورمان این بود از طریق Log4j دانلود شده اما وقتی شروع کردیم به شکار نمونه‌های بیشتر، به داکیومنت‌های فیشینگی برخوردیم که نهایتاً EarlyRat را دراپ کرده بودند. خود داکیومنت فیشینگ به تنهایی آنقدرها هم پیشرفته نیست. از حیث عملکرد، EarlyRat بسیار ساده است: می‌تواند فرمان‌ها را اجرا کند و این جذاب‌ترین کاری است که از پسش برمی‌آید. بین EarlyRat و MagicRat کلی شباهت وجود دارد. هر دو با یک فریم‌ورک نوشته شده‌اند: QT برای MagicRat و PureBasic برای  EarlyRat استفاده می‌شود. همچنین کارایی دو Rat بسیار محدود است.

نتیجه‌گیری

لازاروس علی‌رغم اینکه گروه apt است به جرایم سایبری معمولی مانند استفاده از باج‌افزار معروف است؛ کاری که شاید چشم‌انداز جرای سایبری را حتی پیچیده‌تر هم بکند. افزون بر این، گروه از انواع مختلفی از ابزارهای سفارشی‌سازی‌شده استفاده کرده و مدام بدافزارهای جدید توسعه می‌دهد و قدیمی‌ها را به روز می‌کند. تمرکز بر ttpها –کما اینکه این تمرکز را روی آندریل هم گذاشتیم- به کاهش زمان انتساب و شناسایی حملات در مراحل اولیه کمک شایانی می‌کند. این اطلاعات همچنین کمک می‌کند بشود برای جلوگیری از اتفاق افتادن رخدادهای سایبری زودتر اقدامات متقابل پیشگیرانه را انجام داد.

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.