نفوذگران Platinum برای مخفی کردن ارتباطات دستور و کنترل از نهان‌نگاری استفاده می‌کنند

مدیر

به‌گفته‌ی شرکت کسپرسکی، حملاتی که به‌تازگی به گروه جاسوسی سایبری Platinum نسبت داده شده است، از یک روش نهان‌نگاری تخصصی استفاده کرده است. این حملات که در ماه ژوئن سال ۲۰۱۸ میلادی مشاهده شده بودند، نهادهای دیپلماتیک، دولتی و نظامی کشورهای جنوب و جنوب‌شرقی آسیا را هدف قرار می‌دادند، اما احتمالاً این پویش از سال ۲۰۱۲ میلادی آغاز شده است. این پویش با رویکرد چند مرحله‌ای خود EasternRoppels‌ نام‌گذاری شده است.

این حمله با اشتراک WMI به‌منظور اجرای یک برنامه‌ی دانلود پاورشل و واکشی یک درب‌پشتی کوچک پاورشل برای شناسایی سیستم و بارگیری کدهای بیشتر آغاز می‌شود. اسکریپت‌های مختلف پاورشل WMI که در این پویش به کار گرفته شده است، از آدرس‌های آی‌پی دستور و کنترل و کلیدهای رمزنگاری مختلفی استفاده کرده است. آدرس‌های دستور و کنترلی که پژوهش‌گران کشف کرده‌اند، در خدمات میزبانی رایگان قرار گرفته است و مهاجمان نیز برای ذخیره‌سازی بار داده و داده‌ی استخراج‌شده به‌شدت به حساب‌های دراپ‌باکس وابسته هستند.

پژوهش‌گران در تحقیقات و بررسی‌های خود یک درب‌پشتی کشف کرده‌اند که به عقیده‌ی آن‌ها مرحله‌ی دوم پویش Platinum است و در قالب یک فایل DLL پیاده‌سازی شده و به‌عنوان یک WinSock NSP کار می‌کند. این تهدید ویژگی‌های مشابه درب‌پشتی پاورشل مذکور را دارد، اما از نهان‌نگاری برای مخفی کردن ارتباطات دستور و کنترل استفاده می‌کند. تجزیه و تحلیل‌های بیشتر نشان داده است که از همان دامنه برای ذخیره‌سازی داده‌ی استخراج‌شده و از قربانیان مشترکی برای هردوی این درب‌های پشتی استفاده می‌شود. بررسی فایل‌های رمزنگاری‌شده در مرحله‌ی دوم نیز یک درب‌پشتی مرتبط با گروه Platinum را نشان می‌دهد.

برای نصب درب‌پشتی نهان‌نگاری از یک توزیع‌کننده‌ی اختصاصی استفاده شده است. این بدافزار دایرکتوری‌هایی ایجاد می‌کند و فایل‌های مرتبط با درب‌پشتی را در آن‌ها ذخیره می‌کند. سپس این درب‌پشتی را اجرا و از پایداری آن اطمینان حاصل می‌کند و پس از آن نیز خود را حذف می‌کند.

این درب‌پشتی پس از نصب، به سرور دستور و کنترل متصل می‌شود و یک صفحه‌ی HTML را بارگیری می‌کند که حاوی دستورات رمزنگاری‌شده با یک کلید رمزنگاری است که در داخل صفحه جاسازی شده است.

کسپرسکی تشریح کرد که داده‌ی جاسازی‌شده با دو روش نهان‌نگاری رمزنگاری می‌شود و داخل تگ <–1234567890> قرار داده می‌شود. روش نهان‌نگاری اول بر مبنای این اصل است که HTML نسبت به ترتیب خصوصیت‌های تگ بی‌تفاوت است. این درب‌پشتی خط به خط کدها را رمزگشایی می‌کند و یک کلید رمزنگاری برای داده‌ها پیدا می‌کند که دقیقاً پس از تگ‌های HTML در یک وضعیت رمزنگاری‌شده قرار می‌گیرد، اما از روش نهان‌نگاری دوم استفاده می‌کند.

این درب‌پشتی از دستورات بارگذاری، بارگیری و اجرای فایل‌ها پشتیبانی می‌کند و می‌تواند درخواست‌های مربوط به فهرست‌های فرآیندها و دایرکتوری‌ها را مدیریت کند و خود را به‌روزرسانی و یا حذف کند و تغییراتی در فایل پیکربندی خود ایجاد کند. پژوهش‌گران امنیتی یک فایل اجرایی کشف کردند که به‌منظور ایجاد فایل‌های دستور و پیکربندی برای درب‌های پشتی طراحی شده است.

بررسی‌ها نشان می‌دهد که از یک درب‌پشتی P2P استفاده شده است که بسیاری از ویژگی‌های آن با نسخه‌ی قبلی مشترک است که ازجمله‌ی آن‌ها نام‌های دستوری یکسان و نام‌های مشابه گزینه‌های موجود در فایل‌های پیکربندی است که با همان روش محافظت می‌شوند.

تفاوت‌های بین دو خانواده‌ی بدافزاری شامل استفاده از بسیاری از گزینه‌های جدید پیکربندی در درب‌پشتی دوم است که از دستورات بسیاری پشتیبانی می‌کند و می‌تواند با سایر قربانیان آلوده تعامل برقرار کند و آن‌ها را به یک شبکه متصل کند. علاوه‌برآن، این بدافزار به روش متفاوتی با سرور دستور و کنترل کار می‌کند.

این بدافزار علاوه‌بر دستورات پشتیبانی‌شده در درب‌پشتی نهان‌نگاری، می‌تواند از خدمات ایندکس ویندوز برای جستجوی فایل‌ها به‌منظور یافتن کلیدواژه‌های ارائه‌شده توسط مهاجم استفاده کند. علاوه‌برآن، می‌تواند سیستم‌های آلوده‌ی یک شبکه‌ی P2P را تحت کنترل درآورد که این مسأله به مهاجمان اجازه می‌دهد تا به قربانیانی که دسترسی به اینترنت ندارند اما در همان شبکه و در کنار سیستم‌های متصل به وب هستند، دسترسی پیدا کنند.

کسپرسکی نتیجه‌گیری می‌کند که یک حمله‌ی جدید توسط این گروه کشف کرده است و عاملان آن همچنان در حال بهبود ابزارهای مخرب خود هستند و از روش‌های جدید برای ایجاد APT مخفیانه استفاده می‌کنند. با توجه به رمزنگار استفاده‌شده توسط عاملان، کسپرسکی توانسته است این حمله را به گروه Platinum نسبت دهد، یعنی این گروه همچنان فعال است.

منبع

پست‌های مشابه

Leave a Comment