روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ گروه Stan Ghouls معروف به استخوان‌خورها که با نام گرگ خونین نیز شناخته می‌شود یک گروه سایبری مجرمانه است که از دست کم سال ۲۰۲۳ حملات هدفمندی را علیه سازمان‌هایی در روسیه، قرقیزستان، قزاقستان و ازبکستان آغاز کرده است. این مهاجمان عمدتاً بخش‌های تولیدی، مالی و فناوری اطلاعات را نشانه رفته‌اند. کمپین‌های آنها با دقت بالا آماده شده و برای قربانیان خاص سفارشی‌سازی میشوند و شامل مجموعه‌ای از ابزارهای خاص، از جمله لودرهای بدافزار مبتنی بر جاوا و یک زیرساخت گسترده با منابع اختصاصی برای هر کمپین هستند.ما فعالیتهای استخوان‌خورها را به‌طور مستمر ردیابی میکنیم و به مشتریان خود اطلاعاتی درباره تاکتیک‌ها، تکنیک‌ها، رویه‌ها و آخرین کمپین‌های این گروه ارائه می‌دهیم. در این مطلب، نتایج جدیدترین بررسی عمیق خود از یک کمپین هدفمند علیه ازبکستان را به اشتراک می‌گذاریم که در آن حدود ۵۰ قربانی شناسایی شد. همچنین حدود ۱۰ دستگاه در روسیه نیز مورد هدف قرار گرفتند و تعدادی دیگر در قزاقستان، ترکیه، صربستان و بلاروس آسیب دیدند (اگرچه سه مورد آخر احتمالاً صرفاً آسیب جانبی بوده‌اند).

 در طول تحقیقات خود، تغییراتی در زیرساخت مهاجمان مشاهده کردیم – به ویژه مجموعه‌ای از دامنه‌های جدید. همچنین شواهدی کشف کردیم که نشان می‌دهد استخوان‌خورها ممکن است بدافزارهای متمرکز بر اینترنت اشیا را نیز به زرادخانه خود افزوده باشند.

جزئیات فنی

سیر تکاملی تهدید

Stan Ghoulsاز ایمیل‌های فیشینگ حاوی پیوست‌های PDF مخرب به‌عنوان نقطه نفوذ اولیه استفاده می‌کند. در گذشته، ابزار اصلی این گروه، تروجان دسترسی از راه‌دور یا همان RAT  موسوم به STRRAT  با نام مستعار استریگوی مستر بود؛ اما در سال گذشته، آن‌ها استراتژی خود را تغییر دادند و برای حفظ کنترل بر دستگاه‌های آلوده، به سوءاستفاده از یک نرم‌افزار قانونی به نام NetSupport  روی آوردند.با توجه به هدف‌گیری مؤسسات مالی توسط استخوان‌خورها، انگیزه اصلی آن‌ها احتمالاً منافع مالی است. البته استفاده سنگین از RAT‌ها می‌تواند نشان‌دهنده اهداف جاسوسی سایبری نیز باشد.این گروه مانند سایر گروه‌های سایبری سازمان‌یافته، به‌طور مرتب زیرساخت خود را به‌روز می‌کند و برای ردیابی مؤثر کمپین‌های آن‌ها، باید فعالیت‌شان را به‌طور مداوم تحلیل کرد.

بردار آلودگی اولیه

روش اصلی و در حال حاضر تنها روش توزیع بدافزار توسط استخوان‌خورها، فیشینگ هدفمند است. آن‌ها عمدتاً از ایمیل‌های حاوی پیوست‌های PDF مخرب استفاده می‌کنند. جالب اینجاست که مهاجمان ترجیح می‌دهند به زبان محلی کشور هدف — و نه زبان‌های بین‌المللی مانند روسی یا انگلیسی — پیام ارسال کنند.در کمپین اخیر که عمدتاً قربانیان در ازبکستان را هدف قرار داد، مهاجمان از ایمیل‌های فیشینگ به زبان اوزبکی استفاده کردند. در این ایمیل‌ها ادعا شده که «موارد پرونده» (که در واقع لودر مخرب است) فقط با استفاده از Java Runtime Environment  قابل باز شدن است و حتی پیوندی برای دانلود آن از وب‌سایت رسمی ارائه شده است.

لودر مخرب

سند فریبنده حاوی دو پیوند است که هر دو به یک فایل JAR یکسان منتهی می‌شوند. مهاجمان به‌طور مداوم در حال به‌روزرسانی زیرساخت خود هستند و برای هر کمپین جدید، دامنه‌های جدیدی ثبت می‌کنند؛ به‌طوری که تاکنون بیش از ۳۵ دامنه مرتبط با این گروه شناسایی شده است.

این لودر سه وظیفه اصلی انجام می‌دهد:

1. نمایش یک پیغام خطای جعلی برای فریب کاربر.

2. بررسی تعداد دفعات تلاش قبلی برای نصب RAT  (اگر بیش از سه بار باشد، لودر متوقف می‌شود).

3. دانلود یک ابزار مدیریت از راه‌دور (NetSupport RAT )از یک دامنه مخرب و ذخیره آن روی دستگاه قربانی.

پس از دانلود و اجرای موفقیت‌آمیز NetSupport، مهاجمان کنترل کامل دستگاه قربانی را به دست می‌آورند. تمرکز اصلی آن‌ها بر سازمان‌های مالی نشان می‌دهد که هدف، احتمالاً دستیابی به پول قربانیان است، اما امکان اهداف جاسوسی نیز قابل رد نیست.

ابزارهای مخرب برای هدف‌گیری زیرساخت اینترنت اشیا

در حملات قبلی Stan Ghoulsعلیه سازمان‌های قرقیزستان، پیکربندی NetSupport RAT با هش MD5 مشخصی استفاده شد. بررسی‌ها نشان می‌دهد که برخی فایل‌های مرتبط با بدافزار معروف Mirai (مربوط به اینترنت اشیا) روی یک سرور مرتبط با کمپین استخوان‌خورها قرار داشته‌اند. این ممکن است نشان‌دهنده گسترش زرادخانه این گروه به تهدیدهای مبتنی بر اینترنت اشیا باشد، اما همچنین امکان دارد که زیرساخت آن‌ها صرفاً با سایر گروه‌های تهدید به اشتراک گذاشته شده باشد.

قربانیان

در این کمپین حدود ۵۰ قربانی در ازبکستان و 10 قربانی در روسیه شناسایی شده‌اند. همچنین تعدادی قربانی پراکنده در قزاقستان، ترکیه، صربستان و بلاروس مشاهده شده که احتمالاً آلودگی در سه کشور آخر تصادفی بوده است. تقریباً تمام ایمیل‌های فیشینگ و پرونده‌های فریبنده در این حمله به زبان اوزبکی نوشته شده‌اند که با سابقه گروه در استفاده از زبان محلی کشورهای هدف همخوانی دارد.بیشتر قربانیان مربوط به بخش‌های صنعت تولید، مالی و فناوری اطلاعات هستند. علاوه بر این، تلاش‌های آلودگی در دستگاه‌های سازمان‌های دولتی، شرکت‌های لجستیک، مراکز پزشکی و مؤسسات آموزشی نیز مشاهده شده است.نکته قابل توجه، شمار بالای قربانیان (بیش از ۶۰ مورد) برای یک کمپین هدفمند پیچیده است که نشان می‌دهد مهاجمان منابع کافی برای کنترل دستی ده‌ها دستگاه آلوده به‌طور همزمان را در اختیار دارند.

جمع‌بندی

در این کمپین، Stan Ghouls سازمان‌های صنعتی، فناوری اطلاعات و مالی — عمدتاً در ازبکستان — را هدف قرار دادند. با وجود شمار بالای قربانیان، این گروه همچنان از جعبه ابزار آشنا شامل ابزار قانونی NetSupport و لودر سفارشی مبتنی بر جاوا استفاده می‌کند و تنها بخشی که به‌طور مداوم به‌روزرسانی می‌شود، زیرساخت آن‌ها است.یک کشف جالب، وجود فایل‌های Mirai روی دامنه‌ای مرتبط با کمپین‌های قبلی گروه بود که می‌تواند نشان‌دهنده گسترش فعالیت آن‌ها به بدافزارهای اینترنت اشیا باشد، هرچند برای قطعیت در این مورد هنوز زود است.محصولات کسپرسکی در تمام مراحل چرخه زندگی این حمله، محافظت قدرتمندی در برابر تهدید استخوان‌خورها ارائه می‌دهند.

شاخص دستکاری

فایل‌های فریبنده پی‌دی‌اف

B4FF4AA3EBA9409F9F1A5210C95DC5C3
AF9321DDB4BEF0C3CD1FF3C7C786F0E2
056B75FE0D230E6FF53AC508E0F93CCB
DB84FEBFD85F1469C28B4ED70AC6A638
649C7CACDD545E30D015EDB9FCAB3A0C
BE0C87A83267F1CE13B3F75C78EAC295
78CB3ABD00A1975BEBEDA852B2450873
51703911DC437D4E3910CE7F866C970E
FA53B0FCEF08F8FF3FFDDFEE7F1F4F1A
79D0EEAFB30AA2BD4C261A51104F6ACC
8DA8F0339D17E2466B3D73236D18B835
299A7E3D6118AD91A9B6D37F94AC685B
62AFACC37B71D564D75A58FC161900C3
047A600E3AFBF4286175BADD4D88F131
ED0CCADA1FE1E13EF78553A48260D932
C363CD87178FD660C25CDD8D978685F6
61FF22BA4C3DF7AE4A936FCFDEB020EA
B51D9EDC1DC8B6200F260589A4300009
923557554730247D37E782DB3BEA365D
60C34AD7E1F183A973FB8EE29DC454E8
0CC80A24841401529EC9C6A845609775
0CE06C962E07E63D780E5C2777A661FC

لودرهای آلوده

1b740b17e53c4daeed45148bfbee4f14
3f99fed688c51977b122789a094fec2e
8b0bbe7dc960f7185c330baa3d9b214c
95db93454ec1d581311c832122d21b20
646a680856f837254e6e361857458e17
8064f7ac9a5aa845ded6a1100a1d5752
d0cf8946acd3d12df1e8ae4bb34f1a6e
db796d87acb7d980264fdcf5e94757f0
e3cb4dafa1fb596e1e34e4b139be1b05
e0023eb058b0c82585a7340b6ed4cc06
0bf01810201004dcc484b3396607a483
4C4FA06BD840405FBEC34FE49D759E8D
A539A07891A339479C596BABE3060EA6
b13f7ccbedfb71b0211c14afe0815b36
f14275f8f420afd0f9a62f3992860d68
3f41091afd6256701dd70ac20c1c79fe
5c4a57e2e40049f8e8a6a74aa8085c80
7e8feb501885eff246d4cb43c468b411
8aa104e64b00b049264dc1b01412e6d9
8c63818261735ddff2fe98b3ae23bf7d

دامنه‌های آلوده

mysoliq-uz[.]com
my-xb[.]com
xarid-uz[.]com
ach-uz[.]com
soliq-uz[.]com
minjust-kg[.]com
esf-kg[.]com
taxnotice-kg[.]com
notice-kg[.]com
proauditkg[.]com
kgauditcheck[.]com
servicedoc-kg[.]com
auditnotice-kg[.]com
tax-kg[.]com
rouming-uz[.]com
audit-kg[.]com
kyrgyzstanreview[.]com
salyk-notofocations[.]com

 کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.