روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛  روز به روز، عاملان تهدید سایبری بدافزارهای جدیدی برای انجام حملات طراحی می‌کنند. هر یک از این بدافزارها به‌شیوه‌ای منحصربه‌فرد توسعه می‌یابد و مسیر خاص خود را طی می‌کند؛ در حالی که برخی خانواده‌های بدافزاری سال‌ها مورد استفاده قرار می‌گیرند و گزارش‌هایی درباره آن‌ها منتشر می‌شود، اطلاعات مربوط به برخی دیگر تنها برای چند روز، ماه یا چند سال دوام دارد و سپس ناپدید می‌شود.

ما با نمونه‌ای از نوع دوم مواجه شدیم؛ بدافزاری که آن را MysterySnail RAT نام‌گذاری کردیم. این بدافزار را در سال ۲۰۲۱، هنگام بررسی آسیب‌پذیری روز صفر با شناسه CVE-2021-40449 کشف کردیم. در آن زمان، این بک‌در را به گروه APT موسوم به IronHusky نسبت دادیم؛ یک عامل تهدید با زبان چینی که دست‌کم از سال ۲۰۱۷ فعالیت دارد. از زمان انتشار گزارش اولیه ما درباره این بدافزار، هیچ گزارش عمومی جدیدی از آن منتشر نشده و سرنوشت آن در هاله‌ای از ابهام باقی مانده بود.

اما اخیراً موفق شدیم مواردی از تلاش برای استقرار نسخه‌ای جدید از این بدافزار را شناسایی کنیم که سازمان‌های دولتی در مغولستان و روسیه را هدف قرار داده بود. این انتخاب اهداف برای ما غافلگیرکننده نبود؛ چرا که پیش‌تر در سال ۲۰۱۸ نیز اشاره کرده بودیم که IronHusky علاقه‌ خاصی به هدف‌گیری این دو کشور دارد. در نهایت مشخص شد که این بدافزار در تمام این سال‌ها در حملات سایبری مورد استفاده قرار گرفته، اگرچه گزارشی در این‌باره منتشر نشده بود.

آلودگی از طریق اسکریپت مخرب MMC

یکی از موارد اخیر آلودگی که شناسایی کردیم، از طریق یک اسکریپت مخرب MMC انجام شده بود که به‌گونه‌ای طراحی شده بود تا شبیه به یک سند رسمی از سازمان ملی زمین مغولستان[1]به نظر برسد.

در جریان تحلیل این اسکریپت، مشخص شد که عملکرد آن شامل مراحل زیر است:

• دریافت یک فایل فشرده (ZIP) حاوی محتوای مخرب مرحله دوم و یک فایل فریب‌دهنده DOCX از سرویس ذخیره‌سازی عمومی file[.]io
• استخراج محتوای فایل ZIP و قرار دادن فایل DOCX مشروع در مسیر %AppData%\Cisco\Plugins\X86\bin\etc\Update
• اجرای فایل CiscoCollabHost.exe که از آرشیو فشرده استخراج شده است
• تنظیم ماندگاری  برای فایل CiscoCollabHost.exe از طریق افزودن کلید به بخش Run در رجیستری
• نمایش سند فریب‌دهنده برای قربانی به‌منظور انحراف ذهن و جلب اعتماد

•          بک‌در واسط با بارگذاری جانبی DLL
•          در بررسی فایل CiscoCollabHost.exe مشخص شد که این یک فایل اجرایی مشروع است. اما آرشیوی که مهاجمان استفاده کرده بودند، شامل یک کتابخانه مخرب به نام CiscoSparkLauncher.dll نیز بود که با بهره‌گیری از تکنیک DLL Sideloadingتوسط فایل اجرایی اصلی بارگذاری می‌شد.
•          این فایل DLL، در واقع یک بک‌در واسط ناشناخته بود که برای برقراری ارتباط با سرور فرمان و کنترل (C2) از پروژه متن‌باز piping-serverسوءاستفاده می‌کرد. نکته جالب درباره این بدافزار این است که اطلاعات مربوط به توابع API ویندوز که توسط آن فراخوانی می‌شوند، درون خود فایل DLL قرار ندارند، بلکه در یک فایل خارجی با مسیر نسبی log\MYFC.logذخیره شده‌اند. این فایل با یک الگوریتم XOR تک‌بایتی رمزگذاری شده و هنگام اجرا بارگذاری می‌شود.
•          احتمالاً مهاجمان این طراحی را به عنوان یک روش مقابله با تحلیل مهندسی معکوس به کار گرفته‌اند؛ زیرا بدون دسترسی به این فایل رمزگذاری‌شده، تشخیص توابع API مورداستفاده در DLL عملاً غیرممکن می‌شود و روند تحلیل به حدس و گمان وابسته خواهد بود.
•          این بک‌در از طریق ارتباط با دامنه مشروع https://ppng.io مبتنی بر پروژه piping-server ، دستورات مهاجم را دریافت کرده و نتایج اجرای آن‌ها را بازمی‌گرداند. این ابزار مخرب از مجموعه‌ای از دستورات پایه پشتیبانی می‌کند.

همان‌طور که دریافتیم، مهاجمان با استفاده از دستورات تعبیه‌شده در این بک‌در، فایل‌های زیر را روی دستگاه قربانی مستقر کرده‌اند:

• sophosfilesubmitter.exe: یک فایل اجرایی مشروع
• fltlib.dll: یک کتابخانه مخرب که از طریق تکنیک DLL Sideloadingبارگذاری می‌شود

بر اساس داده‌های تله‌متری ما، این فایل‌ها ردپای بدافزار MysterySnail RAT را بر جای گذاشتند؛ بدافزاری که نخستین‌بار در سال ۲۰۲۱ آن را تحلیل و معرفی کرده بودیم.

نسخه جدید بدافزار MysterySnail RAT

در موارد آلودگی مشاهده‌شده، نسخه جدید MysterySnail RAT  به‌گونه‌ای پیکربندی شده بود که به‌عنوان یک سرویس در دستگاه‌های قربانی باقی بماند. این DLL مخرب که از طریق بک‌در واسط مستقر شده است، برای بارگذاری یکپی‌لودکه با الگوریتم‌های RC4 و XOR  رمزگذاری شده و در داخل فایلی به نام attach.dat  ذخیره شده، طراحی شده است. پس از رمزگشایی، payload با استفاده از تکنیک DLL Hollowing و با کمک کد موجود در کتابخانه run_pe  بارگذاری می‌شود.

همانند نسخه پیشین MysterySnail RAT  که در سال ۲۰۲۱ شرح دادیم، نسخه جدید این بدافزار نیز از سرورهای HTTP ایجادشده توسط مهاجمین برای برقراری ارتباط استفاده می‌کند. در این مورد، ارتباطات با سرورهای زیر مشاهده شد:

• watch-smcsvc[.]com
• leotolstoys[.]com

با تحلیل مجموعه دستورات پیاده‌سازی‌شده در نسخه جدید این بک‌در، متوجه شدیم که شباهت زیادی به نسخه ۲۰۲۱MysterySnail RAT دارد. این نسخه جدید قادر است حدود ۴۰ دستور را اجرا کند که امکان انجام کارهای زیر را می‌دهد:

• مدیریت سیستم فایل (خواندن، نوشتن و حذف فایل‌ها؛ لیست درایوها و دایرکتوری‌ها)
• اجرای دستورات از طریق شل cmd.exe
• ایجاد و خاتمه دادن به فرایندها
• مدیریت سرویس‌ها
• اتصال به منابع شبکه

در مقایسه با نمونه‌های MysterySnail RAT  که در مقاله ۲۰۲۱ ما شرح داده شده بود، این دستورات به‌شیوه‌ای متفاوت پیاده‌سازی شده‌اند. در حالی که نسخه ۲۰۲۱ تمامی این دستورات را در یک مؤلفه مخرب واحد پیاده‌سازی کرده بود، نسخه جدید این بدافزار به پنج ماژول DLL اضافی نیاز دارد که در زمان اجرا بارگذاری می‌شوند تا دستورات را اجرا کنند.

با این حال، انتقال به معماری ماژولار چیز جدیدی نیست – همانطور که نسخه‌های ماژولارMysterySnail RAT را از سال ۲۰۲۱ مشاهده کرده‌ایم. این نسخه‌ها شامل همان ماژول‌ها بودند که پیش‌تر توضیح داده شد، از جمله اشتباه تایپی در نام ماژول ExplorerMoudleDll.dll.  در آن زمان، ما به سرعت اطلاعات مربوط به این نسخه‌ها را برای مشترکین سرویس گزارش‌دهی APT Intelligence Reporting  منتشر کردیم.

جالب است که مدت کوتاهی پس از مسدود کردن حملات اخیر مرتبط با MysterySnail RAT، مشاهده کردیم که مهاجمان به حملات خود ادامه داده‌اند و نسخه‌ای بازطراحی‌شده و سبک‌تر از MysterySnail RAT  را مستقر کرده‌اند. این نسخه از یک مؤلفه واحد تشکیل شده است و به همین دلیل آن را MysteryMonoSnail  نامیدیم. متوجه شدیم که این نسخه ارتباطات خود را با همان آدرس‌های سرور C2 که در نسخه کامل MysterySnail RAT مشاهده شده بود، برقرار می‌کند، هرچند از پروتکل متفاوتی به نام WebSocket به جای HTTP  استفاده می‌کند.

این نسخه قابلیت‌های کمتری نسبت به نسخه کامل MysterySnail RAT  دارد و تنها از ۱۳ دستور پایه استفاده می‌کند که برای مواردی مانند لیست کردن محتویات دایرکتوری‌ها، نوشتن داده‌ها به فایل‌ها و راه‌اندازی فرایندها و شل‌های راه دور کاربرد دارند.

بازگشت دوباره خانواده‌های بدافزار قدیمی در هر زمانی ممکن است

چهار سال، فاصله‌ای طولانی بین انتشارهای مختلف MysterySnail RAT بوده است. نکته قابل توجه این است که در این مدت، ساختار داخلی این بک‌در تقریباً تغییرات زیادی نداشته است. به‌عنوان مثال، اشتباه تایپی در ExplorerMoudleDll.dll که پیشتر اشاره کرده بودیم، همچنان در نسخه ماژولار MysterySnail RAT از سال ۲۰۲۱ وجود داشت. علاوه بر این، دستورات پیاده‌سازی‌شده در نسخه ۲۰۲۵ این RAT به شیوه‌ای مشابه با نسخه ۲۰۲۱ پیاده‌سازی شده بودند. به همین دلیل، هنگام انجام فعالیت‌های شکار تهدید، ضروری است که در نظر بگیریم خانواده‌های قدیمی بدافزار که برای سال‌ها گزارش نشده‌اند، ممکن است فعالیت‌های خود را زیر رادار ادامه دهند. به همین دلیل، امضای بدافزارهایی که برای شناسایی خانواده‌های تاریخی طراحی شده‌اند، نباید به صرف قدیمی بودن، متوقف شوند.

در تیم GReAT  کسپرسکی، از سال ۲۰۰۸ بر شناسایی تهدیدات پیچیده متمرکز بوده‌ایم و مجموعه‌ای از شاخص‌های دستکاری(IoCs)برای بدافزارهای قدیمی و جدید را برای مشتریان پورتال هوش تهدید  خود ارائه می‌دهیم. اگر می‌خواهید به این IoCها و سایر اطلاعات مربوط به تهدیدات تاریخی و نوظهور دسترسی داشته باشید، لطفاً با ما از طریق ایمیل intelreports@kaspersky.com  تماس بگیرید.

[1] ALAMGAC

 کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.