روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ آرشیوی حاوی کد مخرب روی شبکه اجتماعی X (همان توییتر سابق) تحت پوشش اکسپلویتی که اخیراً با نام regreSSHion کشف شده در حال توزیع است. طبق گفته‌های متخصصین، این ممکن است تلاشی باشد برای حمله به متخصصین امنیت سایبری. در این مقاله توضیح می‌دهیم این آرشیو دقیقاً چیست و چطور مهاجمین سعی دارند محققین را در دام بیاندازند.

افسانه پشت آرشیو

احتمالاً سروری وجود دارد که اکسپلویتی فعال برای آسیب‌پذیری با شناسه CVE-2024-6387 در OpenSSH دارد. افزون بر این، سرور مذکور به طور فعال از این اکسپلویت برای حمله به فهرستی از آدرس‌های آی‌پی استفاده می‌کند. این آرشیو که به کسانی داده شده بود که دوست داشتند این حمله را بررسی کنند، ظاهراً حاوی اکسپلویت در حال کار، فهرستی از آدرس‌های آی‌پی و یک جور پی‌لود است.

محتوای واقعی آرشیو مخرب

در حقیقت، این آرشیو کد منبع، مجموعه‌ای از باینتری‌ها و اسکریپت‌ها دارد. کد منبع کمی شبیه به نسخه ادیت‌شده اثبات مفهوم غیرکاربردی این آسیب‌پذیری است که از قبل در دامنه عمومی توزیع شده بود. یکی از اسکریپت‌ها که به زبان پیتون نوشته‌شده، اکسپلویت آسیب‌پذیری روی سرورهایی را شبیه‌سازی می‌کند که در آدرس آی‌پی‌های لیست قرار دارند. در واقع، فایل مخربی به نام اکسپلویت را لانچ می‌کند- بدافزاری که کارش ماندگار در سیستم است و بازیابی پی‌لود اضافی از سرور ریموت. این کد مخرب در فایلی واقع در دایرکتوری /etc/cron.hourly ذخیره می‌شود. برای ماندگاری، فایل  ls را دستکاری کرده، کپی خودش را روی آن می‌نویسد و اجرای کد مخرب را هر بار لانچ می‌شود تکرار می‌کند.

راهکارهای امنیتی

ظاهراً نویسندگان حمله روی این حقیقت حساب باز کردند که موقع کار با کدی که واضحاً مخرب است، محققین راهکارهای امنیتی را غیرفعال کرده و تمرکزشان را می‌گذارند روی تحلیل تبادل داده بین بدافزار و سرور آسیب‌پذیر به CVE-2024-6387. در همین حال، کد مخرب کاملاً متفاوتی نیز برای دستکاری کامپیوترهای محققین استفاده خواهد شد. از این رو، ما به همه متخصصین امنیتی و آن‌هایی که دوست دارند کد مشکوکی را آنالیز کنند یادآوری می‌کنیم که خارج از محیطی به طور خاص ایزوله‌شده روی بدافزار کار نکنید؛ از چنین محیطی نمی‌شود به زیرساخت خارجی دسترسی پیدا کرد.

محصولات کسپرسکی عناصر این حمله را با احکام زیر شناسایی می‌کنند:

UDS:Trojan-Downloader.Shell.FakeChecker.a

UDS:Trojan.Python.FakeChecker.a

HEUR:Trojan.Linux.Agent.gen

Virus.Linux.Lamer.b

HEUR:DoS.Linux.Agent.dt

همانطور که قبلاً نوشتیم، در مورد آسیب‌پذیری regreSSHion، اجرا کردن این اکسپلویت ساده نیست.

کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.