روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛  BellaCiao  یک خانواده بدافزار مبتنی بر .NET است که به نفوذ، شکلی منحصر به فرد می‌دهد: ترکیبی از تداوم مخفیانه‌ی وب‌شل با قدرتی برای ایجاد تونل‌های مخفی. اولین بار این بدافزار در آوریل 2023 پدیدار شد و از آن زمان به طور عمومی آن را به عامل apt به نام Charming Kitten نسبت می‌دهند. یکی از ابعاد مهم نمونه‌های BellaCiao نحوه‌ای است که کلی داده را از طریق مسیرهای PDBشان شامل طرح نسخه‌سازی -که پس از تحلیل سوابق تاریخی موفق دیم رویش کار کنیم- نمایش می‌دهد. اخیراً نفوذی را شامل نمونه BellaCiao (MD5 14f6c034af7322156e62a6c961106a8c) روی کامپیوتری در آسیا مورد بررسی قرار دادیم. تله‌متری ما نمونه احتمالاً مرتبطی را روی همان دستگاه نشان داد. بعد از بررسی بیشتر نمونه کاشف بعمل آمد که پیاده‌سازی مجدد نسخه قدیمی‌تر BellaCiao است با این تفاوت که به زبان C++ نوشته شده است.

BellaCiao: تحلیل PDB

BellaCiao مسیرهای توصیفی PDB دارد که نقاط مهم مرتبط با کمپین را مانند ماهیت و کشور تارگت نشان می دهد. افزون بر این، بعد از تحلیل چندین نمونه‌ تاریخی، فهمیدیم همه مسیرهای PDB حاوی رشته MicrosoftAgentServices بودند. برخی از نمونه‌ها یک تک‌رقم داشتند که به انتها رشته به عنوان MicrosoftAgentServices2 و MicrosoftAgentServices3 افزوده شده بود. استفاده از اعداد صحیح معمولاً نشان‌دهنده نسخه‌سازی مورد استفاده توسعه‌دهنده بدافزار است که احتمالاً تکرارها یا به‌روزرسانی‌های مختلف را متمایز می‌کند. این شیوه‌های نسخه‌سازی ممکن است هدف ردیابی توسعه و تغییرات در قابلیت‌های بدافزار باشد و به بازیگر APT در حفظ زرادخانه متنوع و در حال تکامل برای دستیابی به اهداف خود کمک کند.

شایان ذکر است که اولین نمونه‌های شناخته‌شده BellaCiao از این سیستم نسخه‌سازی برخوردار نبودند و بعداً شاهد اضافه شدن آن شدیم. این را می‌توان به بلوغ تدریجی پروژه در طول زمان نسبت داد که منجر به بهبود کیفیت توسعه و قابلیت‌های پالایش شده می‌شود.

BellaCPP در همان دستگاه آلوده به بدافزار BellaCiao مبتنی بر دات‌نت یافت شد. این یک فایل DLL با نام adhapl.dll است که در C++ توسعه یافته و در C:\Windows\System32 قرار دارد. این یک تابع صادرات به نام ServiceMain دارد. شواهد موجود نشان می‌دهد که مانند نمونه‌های اصلی BellaCiao، این نوع برای اجرا به عنوان یک سرویس ویندوز طراحی شده است. مطابق با تابع ServiceMain صادر شده در DLL، کد یک سری مراحل را اجرا می‌کند که بسیار شبیه رفتار مشاهده شده در نسخه‌های قبلی BellaCiao است.

 رمزگشایی سه رشته با استفاده از رمزگذاری XOR با کلید 0x7B:

• C:\Windows\System32\D3D12_1core.dll
• SecurityUpdate
• CheckDNSRecords

فایل DLL را در مسیر رمزگشایی‌شده در مرحله قبل بارگیری و عملکرد دو رشته رمزگشایی شده دیگر را با GetProcAddress حل کنید.

با پیروی از روش مشابه نسخه .NET BellaCiao، با استفاده از قالب زیر، یک دامنه ایجاد کنید:

<5random letters><target identifier>.<country code>.systemupdate[.]info

تابع CheckDNSRecords را فراخوانی کنید. اگر مقدار برگشتی با آدرس IP کدگذاری شده مطابقت داشت، تابع SecurityUpdate را فراخوانی و یک آرگومان به شکل زیر ارسال کنید.

<username>:<password>:systemupdate[.]info:<port>:<IP_address>:<port>:<IP_address>:<port>

متأسفانه، ما نتوانستیم فایل D3D12_1core.dll فوق الذکر را بازیابی و بنابراین نتوانستیم عملکرد SecurityUpdate فعال شده در این فرآیند را تجزیه و تحلیل کنیم. با این حال، همانطور که در بالا ذکر شد، نمونه‌های BellaCiao مبتنی بر دات نت دارای رفتاری مشابه هستند، اما حاوی پارامتری هستند که به عنوان یک آرگومان توسط نسخه C++ به عنوان یک متغیر جداگانه ارسال شده است.

بر اساس پارامترهای تصویب‌شده و عملکرد شناخته شده BellaCiao، ما با اطمینان متوسط ​​ارزیابی می‌کنیم که DLL گم شده یک تونل SSH ایجاد می‌کند. با این حال، بر خلاف پوسته وب پاورشل که در نمونه‌های قدیمی‌تر BellaCiao مشاهده کردیم، نمونه BellaCPP فاقد یک پوسته هاردکُدشده است.

نسبت

ما با اطمینان متوسط ​​به بالا ارزیابی می‌کنیم که  بر اساس عناصر زیر، BellaCPP با بازیگر تهدید Charming Kitten مرتبط است.

• اگر سطح بالا بگیریم، این یک نمایش C++ از نمونه‌های BellaCiao بدون قابلیت webshell است.
• از دامنه‌هایی استفاده می‌کند که قبلاً به بازیگر نسبت داده شده است.
• یک دامنه را به روشی مشابه تولید و از آن به همان روشی که در نمونه‌های دات نت مشاهده می‌شود استفاده می‌کند.
• دستگاه آلوده با نمونه قدیمی BellaCiao روی هارد دیسک کشف شد.

نتیجه‌گیری

Charming Kitten با استفاده از ابزارهای در دسترس عموم، زرادخانه خانواده بدافزارهای خود را بهبود می‌بخشد. یکی از خانواده بدافزارهایی که به روز رسانی می‌کنند BellaCiao است. این خانواده به ویژه از منظر پژوهشی جالب است، زیرا مسیرهای PDB گاهی اوقات بینشی در مورد هدف مورد نظر و محیط آنها ارائه می‌دهند. کشف نمونه BellaCPP اهمیت انجام تحقیقات کامل در مورد شبکه و ماشین‌های موجود در آن را برجسته می کند. مهاجمین می‌توانند نمونه‌های ناشناخته‌ای را که ممکن است توسط راهکارهای امنیتی شناسایی نشوند، مستقر کنند، بنابراین پس از حذف نمونه‌های «معروف»، جای پای خود را در شبکه سفت می‌کنند.

فایل هش‌ها

222380fa5a0c1087559abbb6d1a5f889
14f6c034af7322156e62a6c961106a8c
44d8b88c539808bb9a479f98393cf3c7
e24b07e2955eb3e98de8b775db00dc68
8ecd457c1ddfbb58afea3e39da2bf17b
103ce1c5e3fdb122351868949a4ebc77
28d02ea14757fe69214a97e5b6386e95
4c6aa8750dc426f2c676b23b39710903
ac4606a0e10067b00c510fb97b5bd2cc
ac6ddd56aa4bf53170807234bc91345a
36b97c500e36d5300821e874452bbcb2
febf2a94bc59011b09568071c52512b5

دامنه‌ها

systemupdate[.]info

کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.