روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ این گروه به طور سنتی بخشهای دولتی، مراقب سلامت، حمل و نقل و صنایع هایتک را در کشورهای تایوان، فیلیپین و هنگکنگ را هدف قرار داده است. تحقیق اخیر ما نشان داده در سال 2024 این گروه کمپینهای مداومی را پیش برده که هدفشان هویت دولتی در خاورمیانه بوده و فعالیت دقیقش در ماه ژوئن 2023 بوده است. نگاه به TTPهای این گروه در هویتهای دولتی مهمِ خاورمیانه خصوصاً آنهایی که مربوط به مطالعات حقوق بشر هستند میتواند برای این گروه یک حرکت راهبردی جدید باشد. این به جامعه هوش تهدید کمک میکند درک بهتری نسبت به انگیزههای این عامل تهدید برسند. آلودگی ژوئن 2024 توجهها را به خود جلب کرد زمانیکه تلهمتری ما هشدارهایی دائم برای سویه وب شل جدید چاینا چاپر[1] (که خیلی از عاملین چینیزبان از آن استفاده میکنند) روی سرور وب عمومی پیدا شد.
این سرور داشت میزبانی CMS منبع بازی را به نام Umbraco نوشتهشده به زبان C# میکرد. این جزء وبشل مشاهدهشده به عنوان ماژول a .NETUmbraco CMS کامپایل شد. ما در تحقیقات بعدی خود دنبال شناساییهای مشکوک دیگری روی این سرور عمومی و مجموعه بدافزارهای شناختهشده بودیم. اینها شامل ابزارهای پسااکسپلویت هم میشدند که ما با اعتماد به نفس میانه سراغشان رفتیم و گمان داریم با این نفوذ ارتباطهایی دارند. افزون بر این ما ایمپلنتهای جدید سرقتی DLL با سفارش جستجو شناسایی کردیم که از فایل قابلاجرای آسیبپذیر قانونی لود میشوند زیرا فاقد مشخصات کامل به DLL مورد نیاز است. این زنجیره حمله در تلاش بود بارگذار Crowdoor را بارگذاری کند، که نیمی از نام آن از درب پشتی SparrowDoor گرفته و توسط ESET به تفصیل شرح داده شده است. در طول حمله، عامل امنیتی اولین بارکننده Crowdoor را مسدود کرد، و مهاجمین را وادار نمود تا به یک نوع جدید که قبلا گزارش نشده بود، با تقریباً همان تأثیر تغییر کنند.
ما با اعتماد به نفس بالا این فعالیت را به بازیگر تهدیدکننده چینی زبان معروف به Tropic Trooper نسبت میدهیم. یافتههای ما همپوشانی را در تکنیکهای گزارششده در کمپینهای اخیر Tropic Trooper نشان میدهد. نمونههایی که پیدا کردیم همپوشانی بالایی با نمونههایی که قبلاً به Tropic Trooper نسبت داده شده بودند نشان میدهند.
پسزمینه
در ژوئن 2024، نسخه جدیدی از وبشل معروف China Chopper را شناسایی کردیم. تحقیقات بیشتر دنبال شد زیرا نشان دهنده یک ماژول در Umbraco CMS است که دستورات را از طریق کنترل کننده Umbraco دریافت میکند. در همان سرور عمومی میزبان Umbraco، ایمپلنتهای مشکوک و خوشههای بدافزار دیگری را پیدا کردیم که به نظر میرسید بخشی از همان حمله باشند. عامل امنیتی نصب شده به شناسایی این بدافزارهای کاشته شده ادامه داد و مهاجمین سعی کردند ابزارهای اضافی پس از بهره برداری را برای دستیابی به اهداف اصلی خود رها کنند: در این نفوذ ما با اطمینان بالا ارزیابی میکنیم که انگیزه جاسوسی سایبری است.
جزئیات فنی
این ماژول ویژگیهایی را که معمولاً با فعالیتهای مخرب مرتبط است، از جمله مبهم سازی و اجرای پویا دستورات را نشان میدهد. همانطور که در زیر مشاهده میکنید، دستورات توسط ماژول umbraco_bind_aspx دریافت و ارسال میشوند. umbraco_bind_aspx یک کلاس است که توسط چارچوب ASP.NET برای یک صفحه ASPX در Umbraco CMS تولید شده. فریمورک به طور خودکار تابع __BuildControlTree() را فراخوان میکند. این تابع که توسط مهاجمین پیادهسازی شده ، مسئول فراخوانی کدهای مخرب به عنوان آرگومان تابع RenderMethod است. همچنین، اعتبار سنجی رویداد، که یک ویژگی امنیتی در ASP.NET است که از ثبت رویدادهای غیرمجاز در سرور جلوگیری میکند، با تنظیم EnableEventValidation روی false غیرفعال میشود. __Render__control1() تابع مخرب اصلی است. یک رشته Base64 رمزگشایی شده و سپس از طریق ارزیابی پویا با استفاده از جاوا اسکریپت اجرا می شود.
این اسکریپت از چندین رمزگشایی Base64 قبل از تولید و اجرا شدن بار نهایی جاوا اسکریپت استفاده میکند. کد به دست آمده شبیه عملکرد شناخته شده مرتبط با پوسته وب China Chopper است، یک پوسته وب محبوب که توسط مهاجمین برای دسترسی از راه دور و کنترل بر سرورهای وب در معرض خطر استفاده میشود. سپس مهاجمین شروع به دراپِ نمونههای مختلف روی این سرور کردند، به ویژه دراپری که انواع کامپایل شده بیشتری را با عملکردهای مشابه، اما با استفاده از نام ماژولهای مختلف، فشار میداد. این نامهای ماژول همگی با الگوی App_Web_{8}[a-z0-9].dll مطابقت دارند. در تلهمتری خود، ما متوجه تلاشهایی برای اکسپلویت CVE-2021-34473، CVE-2021-34523 و CVE-2021-31207 در Microsoft Exchange، CVE-2023-26360 در Adobe ColdFusion شدیم. بنابراین، با اطمینان متوسط معتقدیم که این پوسته های وب با اکسپلویت یک آسیبپذیری اصلاح نشده موجود حذف شدهاند.
با توجه به جدول زمانی گزارشهای شناسایی، مهاجمین توانستند از برخی از این پوستههای وب برای اجرای دستورات روی سرور آسیبدیده استفاده و ابزارهای پسااکسپلویت بیشتری را که برای حرکت جانبی استفاده میشوند، دراپ کنند. اکثر نرمافزارهای مشاهده شده ابزارهای منبع باز هستند که توسط توسعهدهندگان چینی زبان نگهداری میشوند. این ایمپلنتها در فهرست اصلی Umbraco CMS دراپ میشوند.
ما ابزارهای زیر را پیدا کردیم:
Fscan:ابزاری برای اسکن آسیبپذیریها از جمله تشخیص وضعیت میزبان، اسکن پورت، شمارش سرویس، بهرهبرداری و غیره. مستندات ابزار به زبان چینی ساده شده است و توسط حسابهای چینی زبان نگهداری میشود. مهاجمین یک اسکریپت به نام i.bat برای شناسایی ماشینهای موجود در شبکه با استفاده از درخواستهای پینگ ساده ICMP ایجاد کردند. خروجی به یک فایل متنی هدایت گشته که بعداً برای حرکت جانبی استفاده میشود.
Swor:یک ابزار ساده تست نفوذ که نویسنده آن سعی کرده با راهکارهای امنیتی آن را در برابر حذف مصون نگه دارد. بر اساس مستندات خود، میتواند mimikatz، FRP و ElevationStation را مستقر کند. این ابزار منبع باز است و توسط توسعهدهندگان چینی زبان نگهداری میشود. قبلتر دیده شده بود این ابزار در حملات به نهادهای دولتی در مالزی که صنعت مشابهی با آسیب شناسی نفوذ در خاورمیانه است مورد استفاده قرار میگیرد. ما همان نمونه کامپایل شده را در محیط بیرون در [domain]/wampthemes/simple/123/In-Swor-v2/1.exe پیدا کردیم.
Neo-reGeorg:یک پروکسی منبع باز SOCKS5، مهاجمین از آن برای چرخش به ماشینهای دیگر و فرار از کنترل های امنیتی در سطح شبکه استفاده کردند. برخی شناساییها نشان میدهند که این ابزار ممکن است برای ترافیک پراکسی استفاده شود، اما نتوانستیم هدف واقعی از پروکسی کردن ترافیک از طریق این سرور را تأیید کنیم.
ByPassGodzilla:یک رمزگذار پوسته وب چینی که برای پنهان کردن سایر پوسته های وب مستقر شده برای دور زدن تشخیص ها استفاده میشود. ما توانستیم پیادهسازیهای مختلف پوستههای وب رمزگذاریشده را در اسکریپتهای NET و ASPX از یک سرور منبع بگیریم. با توجه به تلهمتری ما، وبشل تازه کشف شده همچنین با کمپینی همراه بود که از CVE-2023-26360 در اوایل امسال استفاده میکرد و سرورهای آسیبپذیر در خاورمیانه را هدف قرار میداد.
ایمپلنتهای بکدر در حال استفاده از سرقت سفارش جستجوی DDL
مهاجمین سعی کردند DLL آلوده را (datast.dll) سه بار از c:\Users\Public\Music\data لود کنند. بعد از ناموفق بودن این تلاشها، مهاجمین روی لودر مخرب دیگری تکه کردند. نام آن VERSION.dll بود که در C:\Windows\branding\data دراپ شد. ما بر اساس تلهمتری خود معتقدیم که از پوستههای وب Umbraco برای دراپ این فایلها روی سرور آلوده استفاده شده است. از آنجایی که بازه زمانی بارگیری دو DLL مخرب VERSION.dll و datast.dll بسیار نزدیک بود، به ما اجازه داد تا این دو فایل را پیوند دهیم. علاوه بر این، رویکرد یکسانی برای هر دو مورد استفاده قرار گرفت: استفاده از یک فایل اجرایی قانونی آسیبپذیر در برابر ربودن سفارش جستجوی DLL، که یک DLL مخرب دراپشده در مسیر مشابه فایل اجرایی قانونی را بارگیری میکند.
در این رخداد، تلهمتری ما به اکسپورت بدافزاری اشاره دارد که از فرمان rundll32 از فایل a.bat استفاده میکند؛ فایلی که نتوانستیم بدست آوریم. فرض دوم این است که از طریق فایل قابلاجرای قانونی با استفاده از سرقت سفارش جستجوی DDL لود شده؛ زیرا datast.dll پیشتر در رابطه با تروپیک تروپر مشاهده و با همان متود نیز بود شده. ما با اعتماد به نفس پایین تا متوسط بر این باوریم که اسکریپت بچ صرفاً برای تست مقاصد استفاده میشده زیرا کل زنجیره لود بدافزار طوری طراحی شده بوده که از فایل قابل اجرای قانونی لود شود. datast.dll بعد از بارگیری تابع واحدی به نام InitCore را اکسپورت میکند. این تابع معمولاً با DDL دیگری به نام datastate.dll ایمپورت میشود. این تابع عملکرد اصلی را برای این لودر پیادهسازی نموده کد پوسته را برای مرحله بعد از بافر حافظه داخل فایل datastate.dll با استفاده از یک نوع رمزگذاری جریانی RC4 رمزگشایی میکند. اولین بلوک کد، الگوریتم زمانبندی کلید KSA) ) است، در حالیکه بلوک دوم هسته KSA است، جایی که جایگشت اولیه را با استفاده از کلید RC4 رمزگذاریشده fYTUdr643$3u درهم میزند. پس از رمزگشایی، کد پوسته اجرا میشود، سپس مرحله بعدی در فضای آدرس فرآیندی که datast.dll را بارگذاری کرده است، لود میگردد.
شکار لودرهای جدید
همانطور که گفته شد، زنجیره عفونت به طور کامل اجرا نشد و مهاجمین مجبور شدند به انواع جدید کشف نشده تغییر مکان دهند. با چرخش بر روی کلید RC4 با کد سخت، مجموعه جدیدی از فایلها را پیدا کردیم که کدهای مشابهی را به اشتراک میگذاشتند، و مشخص شد انواع بهروزرسانیشده جدیدی از این خانواده با تفاوتهای جزئی در عملکرد هستند.
سویههای اخیر
سویه آپدیتشده لودر در فوریه 2024
در فوریه 2024، کاربری سه فایل مربوط به Crowdoor را در یک پلتفرم مولتی اسکنر آپلود کرد:
این فایلها همچنین در توالی سرقت سفارش جستجوی DLL نقش دارند:
یک فایل اجرایی قانونی یک DLL آسیبپذیر (datastate.dll) را بارگیری میکند.
این DLL سپس یک DLL مخرب Crowdoor (datast.dll) را بارگیری میکند.
لودر DLL از این DLL مخرب برای رمزگشایی و بارگذاری بار Crowdoor استفاده میکند.
این متود را سخت میشود شناسایی کرد زیرا تابعهای مخرب بین دو DDL که بیشتر به انجام کارهای مخرب معروفند جدا میشوند؛ مانند خواندن فایلها یا رمزگشایی دادههای RC4. هر دو DDLها برچسبهای زمانی 26 می 2027 را ساختهاند. لودر datastate.dll دو تابع را از datast.dll وارد میکند - یکی rcd احتمالاً "کد اجرا") برای اجرای کد پوسته و دیگری به نام ldf (احتمالاً "فایل بارگیری") برای خواندن محتوای فایلی که به نام یک فایل قانونی نامگذاری شده است. فایل قابل اجرا اما بدون پسوند فایل در این مورد، فایل payload آپلود شده WinStore نام دارد، بدان معنا که فایل اجرایی قانونی WinStore.exe است. لودر از کلید RC4 fYTUdr643$3u، همان کلیدی که در نمونه اولیه مورد بحث در بخش قبل یافت شد، برای رمزگشایی فایل payload حاوی همان پوسته Crowdoor استفاده میکند. بار Crowdoor از این زنجیره با ایجاد یک سرویس ویندوز به نام WinStore فعال میماند که به عنوان نام سرویس، نام نمایشی و توضیحات استفاده میشود. اگر ایجاد سرویس ناموفق باشد، بارگزاری از نقطه توسعهپذیری شروع خودکار رجیستری ASEP) )در HKCU\Software\Microsoft\Windows\CurrentVersion\Run با مقدار WinStore برای تداوم استفاده میکند. هنگامی که اجرا شد، خود را با آرگومان خط فرمان "2" به فرآیند colorcpl.exe تزریق میکند و سعی دارد با یک سرور C2 که در payload با استفاده از پیکربندی آن (blog.techmersion[.]com در پورت 443 هاردکد شده است تماس بگیرد.
ما نمونههای جمعآوریشده را با نمونه رفرانس مقایسه کردیم و درجهای از تشابه کد را در آنها دیدم. برای مثال تابعهای هسته موظف برای لود مرحله بعدی، تقریباً یکسان بودند. بر همین اساس، معتقدیم (با یقین نسبی) نمونههای تازهپیداشده به تروپیک تروپر مربوطند؛ همان عامل پشت نفوذ به خاورمیانه. بر اساس تلهمتری ما، بازیگر احتمالاً حداقل از ژوئن 2022 از این تکنیک ربودن سفارش جستجو استفاده کرده است، که اولین نمونه شناخته شده از یک DLL مخرب است که از طریق یک فایل اجرایی آسیبپذیر با استفاده از این روش بارگیری میشود. Tropic Trooper از این تکنیک برای تقسیم کدهای مخرب در چندین مرحله استفاده میکند. در مرحله اول فقط استخراج مرحله بعدی که با همان کلید RC4 رمزگذاری شده بود اتفاق میافتد. پس از آن، لودر واقعی برای ایمپلنت نهایی مستقر میشود.
نمونههای جدید
ما دومین تلاشی را که عامل تهدید پس از شکست در بارگیری لودر قبلاً پوشش داده شده انجام داد، بررسی کردیم. طبق معمول، از همان سرقت سفارش جستجوی DLL استفاده شد. توجه داشته باشید که inst.exe که یک فایل اجرایی قانونی است، سه تابع را از VERSION.dll وارد میکند:
VerQueryValueW;
GetFileVersionInfoW;
هر گونه از VERSION.dll حذف شده، سه تابع صادر شده را با حداقل تفاوت بین هر دو نمونه اجرا میکند. پس از تجزیه و تحلیل سه صادرات مخرب از نمونهها، به احتمال زیاد مهاجمین آنها را به صورت تدریجی ساخته اند. اولین نمونه MD5: e845563ba35e8d227152165b0c3e769f) ) در 28 آوریل، بلافاصله پس از تلاش ناموفق برای اجرای لودر قدیمی حذف شد. این نوع دارای قابلیتهای کمتری نسبت به نسخهای بود که در 15 می حذف شد، که دارای یک پیادهسازی کامل برای همه قابلیتهای مخرب مورد نیاز برای بارگذاری همان shellcode بود که Crowdoor را در حافظه بارگذاری میکرد. هر دو نوع دارای مهر زمانی گردآوری در آینده هستند. با نگاهی به پیادهسازی GetFileVersionInfoSizeW بین دو نمونه، میبینیم که نمونهای که اخیراً حذف شده است، پیادهسازی کامل را دارد، در حالیکه نمونه قبلی دارای یک پیادهسازی خالی بوده و این نشاندهنده آزمایش و توسعه تدریجی این لودر است. عملکرد اصلی بارگذاری برای اجرای یک فرآیند msiexec.exe قانونی طراحی شده است، سپس مرحله بعدی را با نوشتن در فضای آدرس راه دور آن و ایجاد یک رشته از راه دور برای اجرای آن تزریق میکند.
قربانی
این نفوذ هدفدار در هویت دولتی خاورمیانه نیز مشاهده شد. در عین حال زیرمجموعهای از این نمونهها را دیدیم که داشتند برای هدف قرار دادن هویت دولتی در مالزی نیز استفاده میشدند. این با نوع تارگتها و لوکیشنشان بنابر آنچه در گزارشات اخیر تروپیک تروپرر شرح داده شده مطابقت دارد.
نسبت
بر اساس نمونههای یافتشده، داریم رابطه بین تروپیک تروپر و گروه فیمس اسپارو[2] را بنا بر گزارش ESET در سال 2021 ارزیابی مجدد میکنیم. برخی گزارشات صنعت اشاره دارند که این دو گروه اصطلاحاً دستشان توی یک کاسه است. کلید هاردکدشدهی RC4: مهاجمین سعی داشتند بعد از شکستشان در لود کردن از بت فایل، لودری را که پیشتر به Tropic Trooper نسبت داده شده بود لانچ کنند. آنها روی متود جدیدی تکیه کردند و با استفاده از سرقت سفارس سرچ DLL رویکرد سابق را حفظ نموده و در عین حال از یک لودر جدید بهره بردند. هر دو نمونهها کلید RC4 را به عنوان وجه مشترک دارند. ابزارهای پسااکسپلویت: برخی از ابزارهای پسااکسپلویت که مهاجمین استفاده کردند پیشتر در سایر حملات با قالب زمانی یکسان در این کمپین دیده شدند. در این کمپینها قربانیان همسو با مناطق هدف و بخش های صنعتی مورد هدف این گروه تهدید هستند. شباهت کد بین نمونه نفوذ خاورمیانه و نمونه یافتشده در مخزن بدافزار طرفسوم از فوریه 2024 هر دو در حال بارگیری Crowdoor در حافظه بودند. همچنین، آرگومان خط فرمان "2" یافتشده در یک نوع مربوط به نمونههای Tropic Trooper بسیار شبیه به عملکرد سوئیچ SparrowDoor "-k" است.
نتیجهگیری
رویدادی که ما را بر آن داشت Tropic Trooper را بررسی کنیم، شناسایی مکرر وبشل چاینا چاپر بود. در پی بررسیمان روی این رخداد، نمونههای بیشتری به نوشته Tropic Trooper یافتیم؛ همینطور ابزارهای طرفسوم استفادهشده در فاز پسااکسپلویت. این بینش ما را نسبت به ترفندها و تاکتیکهای عامل تهدید وسیع کرد. Notable عدم تطابقی است در مجموعه مهارت استفادهشده در مراحل مختلف حمله و نیز تصمیمهایی که بعد از شکست گرفته میشود. وقتی عامل آگاه شد بکدرهایش شناسایی شدند سعی کرد نمونههای جدیدیتری را برای دور زدن شناسایی آپلود کند که بموجب آن ریسک شناسایی آتی مجموعه جدید نمونهها بیشتر میشد. در همین راستا توالی لودر برای جلوگیری از شناسایی تا حد زیادی پیش میرود. با این وجود، بکارگیری ابزارهایی که به طور عمومی موجودند -مانند Fscan- برای اکسپلویت بیشتر شبکه قربانی باری دیگر اختلاف بین برخی اجزای نسبتاً پیشرفته عملیاتشان و اجزایی که «پر سر و صداتر هستند» را پررنگ میکند. بررسی انگیزههای این عامل تهدید باعث شد این چنین نتیجهگیر کنیم که اهمیت این نفوذ در شناسایی عامل چینیزبان است که هدفش پلتفرم مدیریت محتواست؛ پلتفرمی که مطالعاتی را در باب حقوق بشر در خاورمیانه منتشر میکند؛ خصوصاً با محوریت وضعیت درگیری بین حماس و اسرائیل. تحلیل ما در مورد این نفوذ نشان داد کل این سیستم یگانه هدف در حین این حمله بوده و این نشان میدهد تمرکز به طور عامدانهای بر روی این محتوای خاص است. تجزیه و تحلیل دقیقتری از این کمپین به همراه گزارش آینده دیگری در مورد این فعالیت در دسترس کاربران پورتال اطلاعاتی خصوصی تهدیدهای ما است.
شاخصهای دستکاری
وبشلهای Umbraco
3F15C4431AD4573344AD56E8384EBD62
78B47DDA664545542ED3ABE17400C354
3B7721715B2842CDFF0AB72BD605A0CE
868B8A5012E0EB9A48D2DAF7CB7A5D87
ابزارهای پسااکسپلویتی
149A9E24DBE347C4AF2DE8D135AA4B76
103E4C2E4EE558D130C8B59BFD66B4FB
E0D9215F64805E0BFF03F4DC796FE52E
27C558BD42744CDDC9EDB3FA597D0510
4F950683F333F5ED779D70EB38CDADCF
مسیرهای فایل
c:\sql\tools\attunitycdcoracle\x64\1033
c:\microsoft.net\framework64\v4.0.30319\temporary asp.net files\root\fc88e889\b64f0276
c:\microsoft.net\framework64\v4.0.30319\temporary asp.net files\root\5b841946\ca5a9bf5
لودرهای تروپیک تروپر
FD8382EFB0A16225896D584DA56C182C
1DD03936BAF0FE95B7E5B54A9DD4A577
8A900F742D0E3CD3898F37DBC3D6E054
A213873EB55DC092DDF3ADBEB242BD44
DD7593E9BA80502505C958B9BBBF2838
2C7EBD103514018BAD223F25026D4DB3
0B9AE998423A207F021F8E61B93BC849
E845563BA35E8D227152165B0C3E769F
A213873EB55DC092DDF3ADBEB242BD44
دامنهها و آیپیها
51.195.37[.]155
162.19.135[.]182
techmersion[.]com
[1] China Chopper
[2] FamousSparrow
کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
