اخبار سایبریاخبار فوری

گروه APT27 از شیوع ویروس COVID-19 برای حمله به کاربران اینترنتی استفاده می کند

خبر سایبری ، اخبار سایبری ، امنیت سایبری ، سایت خبری ، سایت اخبار سایبری

اخبار سایبری

بسیاری از کشورها در سرتاسر جهان به COVID-19 مبتلا شده اند که این مسئله نشانگر خطرناک بودن این نوع ویروس است. آثار به جا مانده از پاندمیک این نوع ویروس شامل مرگ و میرهای فراوان، هزاران فرد آلوده، تعداد کم تجهیزات تنفسی، میلیاردها دلار سهام از دست رفته و همچنین بسیاری از شرکت ها و سازمان ها را وارد بحران اقتصادی و مالی کرده است. در این بین دولت ها تمام تلاش خود را برای کاهش این ویروس انجام می دهند و خیلی از کشورهای جهان سیاست قرنطینه خانگی و کار از راه دور را روال کاری خود قرار داده اند.

در این بین مهاجمان سایبری بی رحمانه از این وضعیت سوء استفاده می کنند تا افراد بی دفاعی که از راه دور و در خانه با شرکت یا سازمان خود کار می کنند را مورد حملات سایبری قرار دهند. داشتن سیستم های پیشرفته و محافظت شده در خانه کار سختی نیست اما متاسفانه این امر برای اکثریت این افراد فراهم نشده است. به عنوان مثال: سیستم های خانگی می توانند مجهز به فناوری تشخیص نفوذ، پراکسی ها، حفاظت از تهدید پیشرفته، سندباکس های خودکار و حفاظت از نقاط انتهایی باشند اما در واقعیت چنین امری صورت نگرفته است.

امروزه گزارش های زیادی مبنی بر چگونگی حملات مهاجمان سایبری و بهره برداری از شرایط اضطراری منتشر می شود.عمده این حملات را میتوان از کمپین های ایمیل نام برد که با استفاده از موضوعات مختلف در لینک های مخرب یا فیشینگ، مردم را فریب می دهند. چند مورد از این حملات را در ادامه ببینید:

با نوشتن این مطالب میخواهم به این نتیجه برسم که اگر گروه های APT از دانش خود برای بهره برداری از این اوضاع استفاده كنند، بسیار غم انگیز است.

در ادامه خلاصه ایی از مراحل حملاتی که با جمع آوری گزارش ها بررسی شده را مطالعه کنید

مرحله ی 1

مرحله اول یک فایل PDF جعلی است که برای عمده کاربران یک PDF واقعی به نظر می رسد. این فایل مخرب دارای یک پسوند پنهان و یک آیکن PDF است، اما در واقع یک PDF نیست بلکه یک پرونده .lnk یا به عبارت دیگر “پرونده اتصال مایکروسافت” است.

Sha256

95489af84596a21b6fcca078ed10746a32e974a84d0daed28cc56e77c38cc5a8

Threat

Dropper and Execution

Ssdeep

24576:2D9JuasgfxPmNirQ2dRqZJuH3eBf9mddWoX+KIKoIkVrI:2DzuOxPm0iZLKIKRkq

Description

Fake PDF file used to run initial infection chain

با باز کردن پرونده lnk. می توان دو بخش اصلی آن را مشاهده کرد: بخش اول نوعی هدر است که در آن می توان دستورات را مشاهده کرد و بخش دیگر یک پیلود بزرگ رمزگذاری شده است.

امنیت سایبری

فایل مخرب پس از باز شدن خود را درون یک پوشه موقت یا به اصطلاح temporary (از طریق cmd.exe) کپی می کند سپس بایت ها را از بدنه خود استخراج می کند (از بخش دو) در چنین مواقعی این بایت ها از Byte64 رمزگشایی می شود (از طریق msoia.exe) و در ادامه محتوای استخراج شده را در فایل temporary قرار می دهد و در نهایت یک فایل جاوا اسکریپت (از طریق wscript) که درون محتوای فشرده شده قرار دارد اجرا می شود.

 تصویر زیر کد پرونده تحلیل شده را نشان می دهد.

اخبار سایبری

Beautified .lnk file

مرحله 2

مرحله 1 با استخراج بایت ها و رمزگشایی با استفاده از رمزگذاری base64 انجام شد. در مرحله 2 یک فایل CAB فشرده شده مایکروسافت است که در جدول زیر شرح داده شده.

Sha256

f74199f59533fbbe57f0b2aae45c837b3ed5e4f5184e74c02e06c12c6535f0f9

Threat

Malware Carrier/Packer/Compressor

Ssdeep

24576:CkL6X/3PSCuflrdNZ4J00ZcmNh3wsAR36Mge:vLK/fS200ZcYh3kqpe

Description

Microsoft CAB bringing contents

با استخراج فایل ها از Microsoft CAB ما شاهد 6 فایل دیگر هستیم که وارد این فرآیند می شوند.

  • 20200308-sitrep-48-covid-19.pdf. The original PDF from WHO explaining the COVID-19 status and how to fight it.
  • tmp. PE32 Executable file (DLL)
  • tmp. PE32 Executable (GUI)
  • js. Javascript file (called by .lnk)
  • tmp. XSL StyleSheet Document
  • tmp. Text file including PE32 file

در مرحله 1 جاوا اسکریپت موجود در پرونده CAB اجرا می شد. در ادامه مرحله قبل فایل 9sOXN6Ltf0afe.js7 یک فرآخوانی ActiveXObject را با WScript.Shell انجام می دهد تا لیست دستورات Windows را اجرا کند. پس از ” deobfuscated” شدن و beautified شدن فرآیند، خط فرمان به صورت زیر ظاهر می شود

(9sOXN6Ltf0afe7.js payload beautified)

مهاجم به واسطه فرآخوانی cscript.exe سعی می کند یک “file” ایجاد کند تا تحلیلگر را فریب دهد. سپس آن فایل را با پرونده های مورد نیاز خود بررسی می کند تا از جزئیات زنجیره آلودگی ایجاد شده مطلع گردیده و بتواند روال کاری آن را دنبال کند.

خبر سایبری

9sOXN6Ltf0afe7.js payload “deobfuscated”

مرحله 3

مرحله 3 به واسطه مرحله 2 اجرا می شود و شامل یک XSL (پرونده Office StyleSheet) می باشد که یک آبجکت VBScript را wrapp می کند.

Sha256

9d52d8f10673518cb9f19153ddbe362acc7ca885974a217a52d1ee8257f22cfc

Threat

Payload Extractor and Command Executor

Ssdeep

96:46Pdv3fOYCeeapSCDIKufYS2VGsBu746WJCSmCZyAcGghF:fh3fOYneaLDIgnNEFCZyAcGsF,

Description

Decode Additional Stage by using coding charsets and XOR

VBScript زیر از طریق cscript.exe اجرا می شود که یک پیلود مبهم و رمزگذاری شده توسط xor-encrypted است. رمزگذاری توسط یک xor ساده انجام می شود که دارای کلمه کلیدی byte 0 است در حالی که متدهای رمزگذاری اصولا از روال چند متغییری پیروی می کند که به شرح زیر خلاصه می شود:

سایت خبری سایبری

در این پروسه مهاجم سعی دارد با استفاده مجدد از نام های متغیر در متن های خصوصی یا محلی، تحلیلگر را سردرگم کند. با این حال بعد از گذشت چند دقیقه ممکن است با حلقه رمزگشایی زیر روبرو شوید.

امنیت سایبری

اگر آن را در برابر پیلود های بایند شده اجرا کنید، در نهایت مرحله جدیدی را مشاهده خواهید کرد به نام مرحله 4. در مرحله بعدی (مرحله4) یک اسکریپت با نام تجاری جدید ظاهر می شود که نسخه قدیمی MSOffice را هدف قرار می دهد.

مرحله 4

مرحله 4 توسط مرحله 3 رمزگشایی و اجرا می شود. در این مرحله نسخه مهاجم “MSOSTYLE.exe” کپی شده از مرحله 2 اجرا می شود.

Sha356

7f230a023a399b39fa1994c3eaa0027d6105769fffaf72918adebf584edc6fe0

Threat

Persistence and Execution

Ssdeep

48:zKxYaDzzXRrVHyMqHeIyJwlLGvTlGrbaTFGNT93TPTxGVhTG6TWWWsKj390C9nEm:zKxjDRt+e1sGvJG3aRGNNDtGLLqP5j3N
Description

Set persistence on the target system (Script File)

تصویر زیر مرحله decrypte و decode شده را نشان می دهد. کاملاً واضح است که مهاجم می خواهد با استفاده از MSOSTYLE.exe (مؤلفه قدیمی) که از “مرحله 2” در پوشه سمت راست قرار گرفته روی ماشین موردنظر پایداری ایجاد کرده و پیلود دیگری را اجرا کند. پایداری هنگامی تضمین می شود که یک لینک به نام Accessories.lnk در داخل پوشه استارت ویندوز قرار بگیرد. (MiZl5xsDRylf0W.tmp)

اخبار سایبری

مرحله 5

مرحله 5 توسط مرحله 2 فعال می شود (اما فقط بعد از اجرای مرحله 3 و مرحله 4 )

مرحله5 یک جلسه چند مرحله ای است که توسط موارد زیر تشکیل شده است:

  • 3UDBUTNY7YstRc (i) 3UDBUTNY7YstRc.tmp renamed by Stage 2 into OINFO12.OCX
  • tmp renamed by Stage 2 into Wordcnvpxy.exe

Sha256

604679789c46a01aa320eb1390da98b92721b7144e57ef63853c3c8f6d7ea85d

Threat

Remote Control, depending on usage

Ssdeep

536:/4yuzgQ5WugrQ+SccIp1t4xO67y5qHae:gyuzgKwr9bB1t4xO67y5j,

Description

Office Data Provider for WBEM, not malicious but accountable.

MSOSTYLE.EXE یک ارائه دهنده قدیمی مایکروسافت Office برای WBEM است. WBEM یک فرایند مدیریت سازمانی مبتنی بر وب است که شامل مجموعه ای از فناوری های سیستمی می باشد و برای یکپارچه سازی مدیریت محیط های محاسباتی توزیع شده توسعه یافته است. بنابراین نمی توان آن را مخرب قلمداد کرد، اما می تواند در کل زنجیره آلودگی پاسخگو باشد.

Sha256

a49133ed68bebb66412d3eb5d2b84ee71c393627906f574a29247d8699f1f38e

Threat

PlugX, Command Execution

Ssdeed

768:jxmCQWD+TAxTRh40XfEDDnFt4AczonsT:MC5bw+zosT

Description

A runner plus Command Execution, Pluging Manager

هنگام write شدن، فقط سه AVs قابلیت تشخیص OINFO12.OCX را به عنوان فایل مخرب دارند. Rising AV در واقع تنها شرکتی است كه آن را به نمونه شناخته شده PlugX نسبت می دهد.

طبق گفته های Trend Micro، خانواده بدافزار PlugX برای محققان منیتی که از اوایل سال 2008 مشغول به فعالیت هستند به خوبی شناخته شده است. PlugX یک (Remote Access Tools / Trojan (RAT کاملاً برجسته با قابلیت هایی مانند آپلود فایل، دانلود و ویرایش، کلیدهای جعلی ورود به سیستم، کنترل وب کم و دسترسی به یک شل cmd.exe از راه دور می باشد.

با استفاده از آنالیز استاتیک، سه عملکرد قابل تماس را در معرض نمایش قرار می گیرد:

 DeleteOfficeData (0x10001020) ، GetOfficeData (0x10001000) و EntryPoint 0x100015ac.

به نظر می رسد که هر دو روش DeleteOfficeData و GetOfficeData یادآور یک روش کلاسیک جهت سرقت Office Parser قدیمی برای اجرای دستورات می باشند.

اخبار سایبری

GetOfficeData (0x10001000)

امنیت سایبری

DeleteOfficeData (0x10001020)

در واقع اگر از قسمت ورودی آن اجرا شود موجب اجرا شدن DLL Wordcnvpxy.exe نیز می شود (زیرا این جزء افزونه پیش فرض است).

سایبر نیوز

تصویر زیر نمایش پارامترها و اجرای دستورات را نشان می دهد.

اخبار سایبری

سرانجام Wordcnvpxy.exe در مرحله 5 توسط OINFO12.OCX اجرا می شود.

طبق گفته MITER، رات PlugX یک RAT مشهور است که به APT چین نسبت داده شده است. APT27 (با نام مستعار Panda).

همانطور که می دانید PlugX یک RAT منبع باز است و بر اساس مستندات و گزارشات ارائه شده به APT27 نسبت داده شده است، اما از طرف دیگر می تواند یک RAT عمومی هم باشد. بنابراین گفتن این مسئله که آیا انحصارا در اختیار APT27 قرار دارد یا خیر بسیار دشوار است، به همین دلیل هدف از نگارش این مقاله این است که آیا APT27 از همه گیر شدن COVID-19 برای حمله به مردم برهره برداری کرده است؟!

همه ما دوران بدی را پشت سر می گذاریم. COVID-19 باعث مرگ بسیاری از انسان ها شد و ضربات زیادی به اقتصاد وارد کرده است. بنابراین خواهش می کنم حتی اگر یک مهاجم حرفه ایی هم هستید و از این کار سود می بررید، حملات سایبری را علیه افرادی که درگیر این بیماری هستند را متوقف کنید.

اخلاق و شفقت باید زنده باشد – پشت سر شما مانیتور خداوند است

دیدگاهتان را بنویسید