گروه جاسوسی سایبری MuddyWater درب‌پشتی PowerShell را به‌روزرسانی می‌کند

طبق گزارش پژوهش‌گران امنیتی ترندمیکرو، گروه جاسوسی سایبری معروف به MuddyWater در پویش‌های اخیر خود از یک درب‌پشتی PowerShell چند مرحله‌ای به‌روزرسانی‌شده استفاده کرده است. این عامل تهدید که اولین بار در سال ۲۰۱۷ میلادی ظهور پیدا کرده است، طی چند ماه آخر سال ۲۰۱۸ میلادی بسیار فعال بوده و بیش از ۱۳۰ قربانی را در ۳۰ سازمان هدف قرار داده است. در طول چند سال گذشته این عامل تهدید فهرست اهداف خود را توسعه داده و حملات متعددی با آن پیوند خورده است.

پس از تجزیه و تحلیل ابزارهای پس از آلودگی MuddyWater توسط کسپرسکی، درحال‌حاضر ترندمیکرو بیان می‌کند که این گروه جاسوسی سایبری درب‌پشتی PowerStats خود را به‌روزرسانی کرده است و نسخه‌ی جدید آن در پویش اسپیرفیشینگی که یک دانشگاه در اردن و ترکیه را هدف قرار می‌دهد، مشاهده شده است.

ایمیل‌هایی که حاوی یک سند جاسازی‌شده و یک ماکروی مخرب برای توزیع فایل VBE هستند، از حساب‌های قانونی آسیب‌دیده برای فریب قربانیان به‌منظور نصب بدافزار استفاده می‌کنند. فایل VBE یک بلوک داده دارد که حاوی یک اسکریپت مبهم‌سازی‌شده PowerShell است.

این درب‌پشتی که پس از خارج کردن همه‌ی رشته‌ها از حالت مبهم‌سازی‌شده به دست می‌آید، اطلاعات سیستم عامل را جمع‌آوری می‌کند و در یک فایل گزارش ذخیره می‌کند که در سرور دستور و کنترل بارگذاری می‌شود. این بدافزار یک عدد تصادفی GUID برای هر سیستم آلوده تولید می‌کند و از آن برای شناسایی استفاده می‌کند.

پس از آن، بدافزار یک حلقه‌ی بی‌پایان را آغاز می‌کند که فایلی با نام GUID‌ را در یک پوشه‌ی مشخص در سرور دستور و کنترل جستجو می‌کند. درصورتی‌که این فایل پیدا شود، بااستفاده از فرآیند PowerShell.exe دانلود و اجرا خواهد شد. مهاجمان می‌توانند از این بدافزار برای ارسال دستورات به سیستم‌های قربانی و راه‌اندازی حملات مرحله‌ی دوم مانند بارگیری و نصب بار داده‌ی دیگر استفاده کنند.

پویش‌هایی که MuddyWater از آغاز سال جاری راه‌اندازی کرده است نشان‌دهنده‌ی تغییر روش‌های این عامل تهدید ازجمله پذیرش روش توزیع جدید و انواع فایل‌های توزیع‌شده است. این بار داده و ابزارهای پس از بهره‌برداری عمومی به‌روزرسانی شده‌اند. این عامل تهدید از ابزارهای پس از بهره‌برداری متن‌باز مختلف ازجمله CrackMapExec، ChromeCookiesView، Chrome-passwords، EmpireProject، FruityC2، Koadic، LaZagne، Meterpreter، Mimikatz و غیره استفاده کرده است.

پژوهش‌گران امنیتی اعلام کردند که در این پویش که EmpireProject را توزیع می‌کند، مهاجمان از تزریق الگو استفاده کرده‌اند و از آسیب‌پذیری CVE-2017-11882 بهره‌برداری کرده‌اند. همچنین در پویشی که LaZagne را توزیع می‌کند، مهاجمان این بدافزار را وصله کرده‌اند تا POWERSTATS را در تابع اصلی توزیع و اجرا کنند. ترندمیکرو نتیجه‌گیری می‌کند که اگرچه به نظر می‌رسد  MuddyWater به آسیب‌پذیری‌های روز-صفرم و انواع بدافزارهای پیشرفته دسترسی ندارد، اما موفق شده است تا اهداف خود را در معرض حمله قرار دهد. به نظر می‌رسد استفاده از ایمیل به‌عنوان یک بردار آلودگی، برای پویش این گروه جاسوسی موفقیت آمیز بوده است.

منبع

Related posts

Leave a Comment

3 × 4 =