برنامه‌ی دانلودکننده‌ی WhiteShadow از مایکروسافت SQL برای توزیع بدافزار استفاده می‌کند

پژوهش‌گران امنیتی Proofpoint گزارش دادند که ماکروهای مایکروسافت آفیس که به‌طور جمعی به‌عنوان یک برنامه‌ی دانلودکننده عمل می‌کنند از کوئری‌های مایکروسافت SQL برای واکشی بار داده‌ی مخرب استفاده می‌کنند. این برنامه‌ی دانلودکننده که WhieShadow نامیده می‌شود، اولین بار در ماه آگوست سال ۲۰۱۹ میلادی و زمانی‌که یک نوع تروجان دسترسی از راه دور (RAT) را توزیع می‌کرد، شناسایی شد. در عین حال با اضافه شدن ویژگی دور زدن شناسایی و مبهم‌سازی تکامل یافته است.

اسناد مایکروسافت ورد و اکسل به ایمیل‌های مخرب پیوست شده‌اند و زمانی‌که ماکروها فعال هستند، کوئری‌های SQL علیه پایگاه داده‌ی مایکروسافت SQL Server تحت کنترل مهاجم اجرا می‌شود که در آن بدافزار به‌عنوان رشته‌های طولانی ASCII ذخیره می‌شوند. ماکروها این رشته را بازیابی می‌کنند و آن را به‌عنوان یک آرشیو PKZip از یک فایل اجرایی ویندوز در حافظه می‌نویسند که سپس به منظور نصب بار داده‌ی مخرب اجرا می‌شود.

به‌گفته‌ی Proofpoint هیچ شواهدی برای نسبت دادن فعالیت توزیع بدافزار فعلی به پویش‌های اولیه‌ی WhieShadow که تروجان از راه دور Crimson را توزیع می‌کرد، وجود ندارد. پژوهش‌گران امنیتی بیان می‌کنند که به نظر می‌رسد برنامه‌ی دانلودکننده WhieShadow یک مؤلفه از یک سرویس توزیع بدافزار است که شامل یک نمونه‌ی اجاره‌ای مایکروسافت SQL Server برای میزبانی بار داده‌ها است.

یک اتصال‌دهنده‌ی SQLOLEDB که به‌طور پیش‌فرض در بیشتر نصب‌های مایکروسافت آفیس تعبیه شده است، توسط برنامه‌ی دانلودکننده برای دست‌یابی به مایکروسافت SQL Server راه دور، اجرای یک کوئری و ذخیره‌ی نتایج در فایلی در قالب یک فایل اجرایی فشرده‌شده استفاده می‌شود. WhieShadow از این روش برای دانلود بدافزاری مانند Agent Tesla، AZORult، Crimson، NanoCore، njRat، Orion Logger، Remcos و Formbook استفاده کرده است.

پژوهش‌گران امنیتی خاطرنشان کردند که استفاده از کوئری‌های MSSQL برای بازیابی بار داده‌های مرحله‌ی بعدی روش جدیدی نیست، اما یک روش غیرمعمول است. بااین‌حال، مهم‌ترین جنبه‌ی کشف WhieShadow این است که به نظر می‌رسد یک سرویس توزیع بدافزار جدید است که توسط عاملان تهدید مختلف در حملات استفاده می‌شود. شرکت Proofpoint نتیجه‌گیری می‌کند که سازمان‌ها باید هم از ایمیل‌های مخرب ورودی و هم ترافیک خروجی در پورت TCP 1433 که باید مسدود باشد و یا حداقل در پیکربندی‌های ACL پیشرفته در دیوار آتش محدود شود، اطلاع داشته باشند. درحال‌حاضر، این پویش‌ها نسبتاً کوچک هستند و حجم پیام‌ها در حد صدها و هزاران پیام است، اما نظارت و بازرسی جریان‌های مربوطه همچنان ادامه خواهد داشت.

منبع

Related posts

Leave a Comment

14 + 2 =