روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ GOFFEE یک عامل تهدید  است که نخستین‌بار در اوایل سال ۲۰۲۲ مورد توجه ما قرار گرفت. از آن زمان تاکنون، فعالیت‌های مخربی از سوی این گروه مشاهده کرده‌ایم که به‌طور خاص نهادهایی را در قلمرو فدراسیون روسیه هدف قرار داده‌اند. روش اصلی آن‌ها استفاده از ایمیل‌های فیشینگ نیزه‌ای یا هدف‌دارحاوی پیوست‌های مخرب بوده است. از ماه می ۲۰۲۲ تا تابستان ۲۰۲۳، GOFFEE در حملات خود نسخه‌های تغییریافته‌ای از Owowa (ماژول مخرب IIS)را به‌کار گرفت. از سال ۲۰۲۴، این گروه به توزیع نسخه‌های دستکاری‌شده و آلوده‌ای از فایل اجرایی explorer.exe از طریق کمپین‌های فیشینگ هدف‌دار روی آورده است. در نیمه دوم سال ۲۰۲۴، GOFFEE  همچنان به اجرای حملات هدفمند علیه سازمان‌های روسی ادامه داد. در این دوره، آن‌ها از PowerTaskel - یک عامل Mythic اختصاصی و غیرعمومی که با PowerShell نوشته شده — بهره گرفتند و هم‌زمان یک ایمپلنت جدید به نام PowerModul را معرفی کردند. حوزه‌های هدف‌ قرارگرفته شامل رسانه و مخابرات، ساخت‌وساز، نهادهای دولتی و شرکت‌های حوزه انرژی بودند.

خلاصه گزارش:

طرح‌های توزیع GOFFEE به‌روزرسانی شده‌اند.

یک ایمپلنت جدید و توصیف‌نشده با نام PowerModul معرفی شده است.

 GOFFEE به‌تدریج استفاده از PowerTaskel را کنار گذاشته و به‌جای آن، از عامل باینری Mythic برای جابجایی جانبی در شبکه استفاده می‌کند.

برای اطلاعات بیشتر، لطفاً با آدرس زیر تماس بگیرید:

intelreports@kaspersky.com

جزیات فنی

آلودگی اولیه

در حال حاضر، چندین شیوه‌ی آلوده‌سازی به‌صورت هم‌زمان مورد استفاده قرار می‌گیرند. نقطه‌ی شروع اغلب یک ایمیل فیشینگ حاوی پیوست مخرب است، اما مسیرهای اجرای حمله پس از آن کمی متفاوت دنبال می‌شوند. در این گزارش، دو نمونه از این روش‌ها که در زمان انجام تحقیق مورد استفاده قرار گرفته‌اند، بررسی می‌شوند. در نخستین روش، فایل آلوده در قالب یک آرشیو RAR ارائه می‌شود که درون آن یک فایل اجرایی با ظاهری شبیه به یک سند قرار دارد. در برخی موارد، نام فایل از پسوند دوتایی مانند “pdf.exe.” یا “doc.exe.” استفاده می‌کند تا کاربر را فریب دهد. با اجرای این فایل توسط کاربر، یک سند پوششی از سرور کنترل و فرمان (C2) بارگیری و نمایش داده می‌شود، در حالی که فعالیت مخرب به‌صورت هم‌زمان در پس‌زمینه آغاز می‌شود. فایل اجرایی به‌کار رفته در این روش، یکی از فایل‌های سیستمی ویندوز مانند explorer.exe یا xpsrchvw.exe است که بخشی از کد آن با شِل‌کُد مخرب وصله شده است. این شل‌کد، مشابه نمونه‌هایی است که پیش‌تر مشاهده شده بود، اما این بار یک عامل Mythic به‌شدت مبهم‌سازی‌شده را نیز درون خود دارد که بلافاصله با سرور C2 ارتباط برقرار می‌کند.

در روش دوم، آرشیو RAR حاوی یک سند مایکروسافت آفیس مجهز به ماکرو است که نقش دراپر (نرم‌افزار انتقال‌دهنده‌ی بدافزار) را ایفا می‌کند. با باز شدن سند، متنی به‌هم‌ریخته همراه با تصویری حاوی هشدار به نمایش درمی‌آید که پیام می‌دهد: «این سند با نسخه‌ای قدیمی از Microsoft Office Word ایجاد شده است. برای نمایش صحیح محتوا، گزینه‌ی ‘Enable Content’ را فعال کنید.» با کلیک روی Enable Content، ماکرو فعال شده و تصویر هشدار را پنهان می‌کند، در حالی که متن سند را از طریق جایگزینی ساده‌ی نویسه‌ها بازیابی می‌نماید. هم‌زمان، دو فایل در پوشه‌ی جاری کاربر ایجاد می‌شود: یک فایل HTA و یک اسکریپت.پاورشلسپس محتوای فایل HTA در رجیستری ویندوز و در مسیر HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows در قالب مقدار کلید “LOAD” نوشته می‌شود. گرچه ماکرو مستقیماً هیچ برنامه‌ای را اجرا  و فرایند جدیدی ایجاد نمی‌نماید، اما فایل‌هایی که در کلیدLOAD  رجیستری تعریف شده‌اند، به‌صورت خودکار و با ورود کاربر به سیستم اجرا خواهند شد.

اسکریپت مخرب HTA به‌صورت مستقیم اقدام به اجرای PowerModul نمی‌کند، بلکه ابتدا از طریق اجرای cmd.exe و استفاده از ریدایرکت خروجی، یک فایل جاوااسکریپت به نام **UserCacheHelper.lnk.js** را روی دیسک ایجاد کرده و سپس آن را اجرا می‌کند.

نکته قابل توجه این است که هر دو فایل **UserCache.ini.hta** و **UserCacheHelper.lnk.js** دارای رشته‌هایی هستند که شامل مسیر کامل فایل‌ها، به‌همراه نام کاربر محلی، هستند. در این مسیرها به‌جای متغیرهای محیطی از نام صریح کاربر استفاده شده است. در نتیجه، کلیدهای کنترلیو همچنین اندازه فایل‌ها بسته به نام کاربر جاری، متغیر خواهد بود. فایل **UserCacheHelper.lnk.js** پس از اجرا، فایل PowerShell به‌نام **UserCache.ini** را که پیش‌تر توسط ماکرو اولیه ایجاد شده، راه‌اندازی می‌کند. این فایل حاوی نسخه رمزگذاری‌شده‌ای از PowerModul  است.

PowerModul

PowerModulیک اسکریپت پاورشل است که توانایی دریافت و اجرای اسکریپت‌های پاورشل تکمیلی از سرور کنترل و فرمان (C2) را دارد. نخستین نمونه‌های استفاده از این ایمپلنت در ابتدای سال ۲۰۲۴ شناسایی شد. در مراحل اولیه، از PowerModul برای بارگیری و اجرای ایمپلنت PowerTaskel استفاده می‌شد و در آن زمان، تنها به‌عنوان یک مؤلفه‌ی جانبی برای راه‌اندازی PowerTaskel در نظر گرفته می‌شد. با این حال، به‌دلیل استفاده از پروتکل اختصاصی، نوع متفاوت بارگذاری‌ها، و بهره‌گیری از سرور C2 مجزا نسبت به PowerTaskel، این ابزار به‌عنوان خانواده‌ای مستقل طبقه‌بندی شد. در ساختاری که شرح آن در این گزارش آمده، کد PowerModul در قالب رشته‌ای رمزگذاری‌شده با الگوریتم Base64 درون فایل UserCache.iniقرار گرفته است. ابتدای و انتهای اسکریپت رمزگشایی‌شده در تصاویر گزارش نمایش داده شده‌اند. بخش میانی این اسکریپت شامل نسخه‌ای از فایل HTA و کدی است که وظیفه‌ی رهاسازی فایل HTA روی دیسک، ثبت آن در رجیستری، و مخفی‌سازی فایل از طریق تغییر ویژگی آن به "Hidden" را بر عهده دارد. این کد، در اصل بخشی از عملکرد ماکروی VBA موجود در سند ورد را تکرار می‌کند، با این تفاوت که مخفی‌سازی فایل در نسخه‌ی VBA پیاده‌سازی نشده بود.

PowerModul هنگام برقراری ارتباط با سرور C2، یک رشته شناسایی حاوی اطلاعات سیستم آلوده را به آدرس C2 اضافه می‌کند. این رشته شامل نام رایانه، نام کاربر و شماره سریال دیسک است. همچنین PowerModul دارای تابعی است به نام OfflineWorkerکه پیش‌تر توصیف نشده بود. این تابع یک رشته از پیش تعریف‌شده را رمزگشایی کرده و محتوای آن را اجرا می‌کند. در نمونه‌ی بررسی‌شده، این رشته خالی بود و در نتیجه هیچ کدی اجرا نشد، اما در موارد دیگری مشاهده شده که این رشته حاوی محتوای فعال بوده است.

بارگذاری‌هایی که توسط PowerModul استفاده می‌شوند شامل ابزارهای زیر هستند:

• PowerTaskel
• FlashFileGrabber
• USB Worm

FlashFileGrabber
همان‌طور که از نام آن پیداست، FlashFileGrabberبرای سرقت فایل‌ها از رسانه‌های قابل‌حمل، مانند فلش مموری، طراحی شده است. تاکنون دو نسخه از این ابزار شناسایی شده:

• FlashFileGrabber
• FlashFileGrabberOffline

نسخه‌ی آفلاین، رسانه‌های قابل‌حمل را برای یافتن فایل‌هایی با پسوندهای خاص جستجو می‌کند و در صورت شناسایی، آن‌ها را به دیسک محلی کپی می‌کند. برای این کار، سلسله‌پوشه‌هایی در مسیر پوشه‌ی موقتی سیستم (TEMP) ایجاد می‌شود که الگوی آن به‌شکل زیر است:

pgsql

CopyEdit

%TEMP%\CacheStore\connect\<VolumeSerialNumber>\

نام پوشه‌های "CacheStore" و "connect" به‌صورت ثابت هاردکدشده در کد ابزار نوشته شده‌اند.  افزون بر این، فایلی با نام ftree.db در مسیری که پیش‌تر توضیح داده شد (الگوی %TEMP%\CacheStore\connect\...)ایجاد می‌شود. این فایل حاوی فرادادهمربوط به فایل‌های کپی‌شده است که شامل مسیر کامل فایل اصلی، اندازه آن، و تاریخ‌های آخرین دسترسی و آخرین ویرایش می‌شود. همچنین، در مسیر %AppData%فایلی به‌نام internal_profiles.db ساخته می‌شود که مجموع‌های MD5 مربوط به همین فراداده‌ها را ذخیره می‌کند. این مکانیزم به بدافزار کمک می‌کند تا از کپی‌کردن مکرر فایل‌های یکسان جلوگیری شود. در مجموع، FlashFileGrabberعملکردی مشابه نسخه‌ی آفلاین خود یعنی FlashFileGrabberOffline دارد، با این تفاوت کلیدی که نسخه‌ی آنلاین می‌تواند فایل‌های سرقت‌شده را به سرور C2 ارسال کند.

USB Worm

USB Worm توانایی آلوده‌سازی رسانه‌های قابل‌حمل را با کپی‌ای از PowerModul داراست. برای انجام این کار، کرم ابتدا فایل‌های موجود در حافظه‌ی USB را با نام‌های تصادفی تغییر نام می‌دهد، در حالی که پسوند اصلی آن‌ها حفظ می‌شود. سپس ویژگی "Hidden" به فایل‌ها اختصاص داده می‌شود. فایل UserCache.ini که حاوی PowerModul است نیز در همان پوشه‌ای که فایل اصلی قرار دارد، کپی می‌شود. در ادامه، کرم فایل‌هایی پنهان با فرمت VBS و Batch ایجاد می‌کند که هدف آن‌ها اجرای PowerModul و نمایش سند جعلی است. علاوه بر این، یک میانبربا نام اصلی سند پوششی ساخته می‌شود که در صورت اجرا، فایل VBS را راه‌اندازی می‌کند. برای پنهان‌سازی این میانبر، کرم از یکی از آیکون‌های موجود در کتابخانه‌ی shell32.dllاستفاده می‌کند؛ این انتخاب بسته به نوع فایل اصلی (بر اساس پسوند) صورت می‌گیرد.

کرم تعداد فایل‌هایی که با میانبر جایگزین می‌شوند را به پنج عدد محدود می‌کند و این انتخاب بر اساس فایل‌هایی است که بیشترین میزان دسترسی اخیر را داشته‌اند (بر اساس ویژگی LastAccessTime.).

PowerTaskel

از ابتدای سال ۲۰۲۳، ایمپلنت پاورشل غیرعمومی که از طریق زنجیره‌ی آلودگی مبتنی بر ایمیل توزیع می‌شود، با نام PowerTaskelشناسایی شده است.

این ایمپلنت تنها دو قابلیت اصلی دارد:

1. ارسال اطلاعات محیط سیستم قربانی به سرور C2 در قالب پیام checkin.
2. اجرای اسکریپت‌ها و دستورات پاورشل دریافتی از C2 به‌عنوان “task” که در پاسخ به درخواست‌های “get_tasking” از سوی ایمپلنت انجام می‌گیرد.

درخواست‌های مربوط به اجرای وظایف، در قالب اشیاء پاورشل ساخته می‌شوند که ابتدا به XML سریال‌سازی، سپس با کلید ۱ بایتی خاص هر نمونه به روش XOR رمزنگاری، و در نهایت به Base64 تبدیل می‌شوند. بر اساس نام‌گذاری و ترتیب پارامترهای پیکربندی در PowerTaskel، این احتمال وجود دارد که این ابزار مشتقی از عامل متن‌باز Medusa باشد که در اصل به زبان پایتون نوشته شده است.

PowerTaskelیک عامل کاملاً عملیاتی است که قابلیت اجرای دستورات و اسکریپت‌های پاورشل را دارد. این ویژگی‌ها باعث می‌شوند عملکرد آن فراتر برود و شامل بارگیری و ارسال فایل‌ها، اجرای پردازش‌ها و موارد دیگر شود. با این حال، به دلیل محدودیت‌های خاص مربوط به اجرای پاورشل در برخی سناریوها، این قابلیت‌ها گاهی ناکافی هستند. به همین دلیل، این گروه مهاجم در مواردی تصمیم گرفته‌اند که از یک عامل باینری سفارشی‌شده مبتنی بر Mythic استفاده کنند. برای پیاده‌سازی این رویکرد، PowerTaskel عامل Mythic را از سرور C2 دریافت کرده، آن را به حافظه‌ی همان فرایند تزریق می‌کند و در یک نخ (thread) جداگانه اجرا می‌کند. در این سناریو، عامل Mythic به ‌صورتشل‌کدمستقل و خودپیکربندی برای سیستم‌های x32/x64 در دسترس است.

روش تزریق و بارگذاری اینشل‌کدمربوط به Mythic agent، به‌طور مفصل در بخش حرکت جانبیشرح داده شده است. در دست‌کم یکی از نمونه‌های مشاهده‌شده، PowerTaskel اسکریپتی را به‌عنوان task دریافت کرده که شامل مؤلفه‌ای با نام FolderFileGrabberبوده است.

FolderFileGrabberعملکردی بسیار مشابه با FlashFileGrabberدارد، با یک تفاوت کلیدی: این ابزار می‌تواند فایل‌ها را از سیستم‌های راه دور از طریق مسیرهای شبکه‌ای هاردکدشدهو با استفاده از پروتکل SMB استخراج کند. برای دسترسی به منابع فایل روی سیستم مقصد، از cmdlet پاورشل New-SmbMappingاستفاده می‌شود که امکان بازیابی موفقیت‌آمیز فایل‌های هدف را فراهم می‌سازد.

حرکت جانبی

پس از آلوده‌سازی سیستم، در صورتی که مجوزهای حساب کاربری این اجازه را بدهند، PowerTaskel اقدام به انجام چندین وظیفه برای ارتقاء سطح دسترسی خود به سطح سیستممی‌کند. برای این کار، PowerTaskelاز ابزار PsExecاستفاده می‌کند که بخشی از مجموعه ابزارهای Sysinternals است. این ابزار PsExec در پوشه‌ای که PowerTaskel در آن قرار دارد، دراپمی‌شود و از آن برای اجرای mshta.exe با دسترسی‌های سیستمی استفاده می‌شود و آدرس URL به‌عنوان یک آرگومان به آن منتقل می‌شود.

تصاویر زیر دو وظیفه‌ای که PowerTaskelبا سرور C2 خود اجرا می‌کند را نشان می‌دهند:

1. وظیفه اول بررسی می‌کند که آیا فایل ntuser.exe در پوشه %ProgramData%وجود دارد یا خیر. اگر این فایل پیدا نشود، آن را از سرور C2 دانلود می‌کند.
2. وظیفه دوم، mshta.exeرا از طریق ntuser.exe اجرا می‌کند، که در واقع نسخه‌ای تغییر نام‌یافته از ابزار PsExecاست.

تصویر بعدی یک نمونه از روند اجرای مختلف اسکریپت‌ها و دستورات را نشان می‌دهد که با فرآیند ارتقاء سطح دسترسی شروع می‌شوند. فایل اجرایی 1cv9.exe نسخه تغییر نام‌یافته‌ای از ابزار PsExec است و آرگومان -s مشخص می‌کند که فرایندی که این ابزار راه‌اندازی می‌کند باید تحت حساب کاربری System اجرا شود. برنامه راه‌اندازی‌شده mshta.exe آدرس URL را به‌عنوان آرگومان می‌پذیرد که به یک فایل HTA اشاره می‌کند که حاوی JScript مخفی‌شده و obfuscated است. فایل HTA ذخیره و در پوشه InetCache کش می‌شود.

این JScript دو فایل با نام‌های desktop.js و user.txt را روی دیسک با استفاده از دستور کنسول echo و تغییر مسیر خروجی آن به یک فایل ایجاد می‌کند و سپس desktop.js را از طریق cscript.exe اجرا می‌کند. فایل desktop.js به نوبه خود مفسر را با اسکریپتی در خط فرمان راه‌اندازی می‌کند که محتوای user.txt را می‌خواند و آن را اجرا می‌کند. همانطور که از محتوای ارسال‌شده به دستور echo قابل مشاهده است، user.txt یک اسکریپت پاورشل دیگر است که وظیفه‌اش استخراج بارگذاری از یک آدرس سخت‌کد شده و اجرای آن است. در این حالت، بارگذاری مورد نظر PowerTaskel است که اکنون با دسترسی‌های ارتقا یافته اجرا می‌شود.

پس از راه‌اندازی،PowerTaskel با سرور C2 خود ارتباط برقرار کرده و دستورات استانداردی را برای جمع‌آوری اطلاعات از سیستم و محیط اجرا می‌کند. به‌طور خاص، راه‌اندازی csc.exe (کامپایلر خط فرمان C#) نشان می‌دهد که PowerTaskelیک تسک دریافت کرده است که برای بارگذاری شل‌کد  عمل می‌کند. این فرآیند با استفاده از یک DLLکمکی انجام می‌شود. عملکرد اصلی این DLLکپی کردن شل‌کد به حافظه تخصیص‌یافته است. در این حالت، shellcodeکدی خودپیکربندی برای عامل باینری Mythicاست.

آخرین خط از روند اجرای این فرآیند (“hxxp://192.168.1[.]2:5985/wsman”) نشان‌دهنده فراخوانی به سرویس WinRM (مدیریت از راه دور مایکروسافت ویندوز) است که روی یک میزبان راه دور در شبکه محلی قرار دارد و از طریق عامل Mythic بارگذاری‌شده انجام می‌شود. یک مقدار خاص برای هدر User-Agentبه‌نام “Ruby WinRM Client” برای دسترسی به سرویس WinRMاستفاده می‌شود. سرویس WinRMبه‌طور فعال توسط GOFFEE برای اهداف توزیع شبکه‌ای مورد استفاده قرار می‌گیرد. معمولاً این شامل راه‌اندازی ابزار mshta.exe روی میزبان راه دور با URL به‌عنوان آرگومان است. اخیراً مشاهده شده است که GOFFEEبه‌طور فزاینده‌ای از استفاده از PowerTaskelدر جهت حرکت جانبی  خودداری کرده و به‌جای آن از عامل باینری Mythicاستفاده می‌کند.

mshta.exe هنوز برای راه‌اندازی عامل باینری Mythic مورد استفاده قرار می‌گیرد، با این تفاوت که آدرس URL به‌عنوان آرگومان به آن منتقل می‌شود. با این حال، محتوای بارگذاری (payload) برای URL منتقل‌شده با فرمت سنتی فایل‌های HTA متفاوت است. این فایل نسبتا بزرگ است، حدود 180 کیلوبایت، و به‌عنوان یک فایل پلی‌گلاتیاچندزبانهشناخته می‌شود، یعنی فایلی که می‌تواند در چندین فرمت به‌طور معتبر تفسیر شود شل‌کد حاوی عامل Mythic در ابتدای فایل قرار دارد و حدود 80% از اندازه آن را اشغال می‌کند. پس از آن، دو اسکریپت PowerShell به‌صورت Base64-encoded قرار دارند که با یک خط شکست عادی از هم جدا شده‌اند، و در نهایت، خود فایل HTA قرار دارد.

هنگامی که mshta.exe بارگذاری شده را دانلود می‌کند، آن را به‌عنوان یک فایل HTAتفسیر کرده و کنترل را به JScript obfuscated که در بخش HTAفایل پلی‌گلات جاسازی شده است، می‌دهد. اسکریپت ابتدا آرگومان استفاده‌شده برای راه‌اندازی mshta.exeرا بررسی می‌کند، چه این آرگومان URL باشد و چه مسیر یک فایل محلی. اگر از URL به‌عنوان آرگومان استفاده شده باشد، اسکریپت به‌دنبال فایل اصلی HTAدر پوشه InetCache می‌گردد، جایی که سیستم فایل HTA را هنگام دانلود کش کرده است. برای این کار، اسکریپت از طریق تمام فایل‌ها در پوشه کش عبور کرده و محتوای آن‌ها را برای وجود یک رشته خاص جستجو می‌کند. اگر فایل HTAدر دیسک پیدا شود، اسکریپت دو فایل به نام‌های settings.jsو settings.ps1را با استفاده از دستور echo ایجاد کرده و سپس settings.js را با آرگومان‌های اضافی خط فرمان اجرا می‌کند. سپس اسکریپت یک تایمر 10 ثانیه‌ای تنظیم می‌کند، پس از آن فایل‌های رهاشده حذف خواهند شد. اسکریپت در حال اجرای settings.js سه آرگومان خط فرمان را می‌پذیرد: مسیر به powershell.exe، مسیر فایل HTA، و رشته “Shell.Application”. این آرگومان‌های دریافتی برای پر کردن یک اسکریپت PowerShell استفاده می‌شوند که محتوای آن سپس به خط فرمان powershell.exe منتقل می‌شود. اسکریپت سپس محتویات settings.ps1را می‌خواند و آن را سه بار اجرا می‌کند، با ارسال مسیر فایل HTAو شمارنده به‌عنوان آرگومان‌ها، و مقدار متغیر “$KWfWXqek” را در هر بار اجرای اسکریپت یک واحد افزایش می‌دهد.

در هر بار اجرا، اسکریپت settings.ps1محتویات فایل HTA را می‌خواند، آن را به خطوط تقسیم کرده و اسکریپت‌های Base64-encodedرا شناسایی می‌کند. برای شناسایی این اسکریپت‌ها، ابتدا خطی که حاوی تگ HTA:APPLICATIONاست را پیدا کرده و سه خط پیش از این تگ حاوی اسکریپت‌های Base64-encodedهستند. بسته به مقدار شمارنده $KWfWXqek، اسکریپت، اسکریپت مربوطه را اجرا می‌کند. دو اسکریپت اول برای اعلام توابع کمکی استفاده می‌شوند، از جمله کامپایل کردن یک DLLکمکی که برای اجرای shellcodeضروری است. اسکریپت سوم مسئول تخصیص حافظه، بارگذاری شل‌کد  از فایل HTA(که مسیر آن از متغیر قبلاً تعریف‌شده $INbqDKHp گرفته می‌شود) و انتقال کنترل به شل‌کدبارگذاری‌شده است، که کد خودپیکربندی عامل Mythicاست.

قربانی‌ها

براساس تل‌متری که داریم، اهداف شناسایی‌شده فعالیت‌های مخرب که در این مقاله توصیف شده‌اند، در روسیه قرار دارند و فعالیت‌های مشاهده‌شده از ژوئیه 2024 تا دسامبر 2024 ادامه داشته است. صنایع هدف‌گیری‌شده متنوع هستند و شامل سازمان‌ها در بخش‌های رسانه‌های جمعی، مخابرات، ساخت‌و‌ساز، نهادهای دولتی، و شرکت‌های انرژی می‌شوند.

این حمله را نسبت می‌دهیم به...

در این کمپین، مهاجم از PowerTaskel استفاده کرده است که پیش‌تر به گروه GOFFEE مرتبط بود. علاوه بر این، فایل‌های HTAو اسکریپت‌های مختلفی در زنجیره عفونت به‌کار گرفته شده‌اند. فایل اجرایی مخرب پیوست‌شده به ایمیل‌های فیشینگ هدفمند، نسخه پچ‌شده‌ای از explorer.exeاست که مشابه آنچه در حملات GOFFEE در اوایل 2024 مشاهده شد، است و شامل shellcodeاست که بسیار مشابه کدی است که پیش‌تر توسط GOFFEEاستفاده شده بود. با توجه به الگوی مشابه قربانیان، می‌توان این کمپین را با اطمینان بالا به گروه GOFFEE نسبت داد.

نتیجه‌گیری

با اینکه GOFFEE از ابزارها و تکنیک‌های مشابهی استفاده کرده است، در این کمپین چند تغییر قابل توجه را معرفی نموده.

اولین بار است که آنها از اسناد Word با اسکریپت‌های VBAمخرب برای عفونت اولیه استفاده کرده‌اند. علاوه بر این، GOFFEEاز یک اسکریپت جدید PowerShell برای دانلود، به نام PowerModul، برای دانلود PowerTaskel، FlashFileGrabber، و USB Wormاستفاده کرده است. همچنین آنها شروع به استفاده از عامل باینری Mythic کرده‌اند و احتمالاً پیاده‌سازی‌های خاص خود را در پاورشلو C توسعه داده‌اند. در حالی که GOFFEEهمچنان ابزارهای موجود خود را اصلاح کرده و ابزارهای جدیدی معرفی می‌کند، این تغییرات آنقدر قابل توجه نیستند که نشان دهند این گروه را می‌توان با یک بازیگر دیگر اشتباه گرفت.

 کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.