استفاده از بدافزار Adwind در حملاتی علیه شرکت‌های نفتی امریکا

طبق گزارش پژوهش‌گران Netskope مهاجمان بااستفاده از تروجان دسترسی از راه دور (RAT) در یک پویش جدید، شرکت‌های نفتی امریکا را هدف قرار می‌دهند. نمونه‌های مشاهده‌شده در این حملات نسبتاً جدید هستند، اما عملکرد این تروجان با پویش‌های قبلی سازگار است.

این بدافزار تلاش می‌کند تا با استفاده از مبهم‌سازی چندلایه‌ای سازوکار تشخیص و شناسایی را دور بزند و پس از آن‌که یک دستگاه را آلوده کرد، رجیستری سیستم را برای رسیدن به ماندگاری، انجام تزریق فرآیند، متوقف کردن خدمات امنیتی تغییر می‌دهد و سپس اطلاعات حساس را به سرقت می‌برد.

این پویش جدید از شبکه‌ی ارائه‌دهنده‌ی خدمات اینترنتی استرالیایی Westnet به Adwind خدمات می‌دهد. پژوهش‌گران Netskope معتقدند که مهاجم در واقع یک کاربر Westnet است و یا آن‌ها یک یا چند حساب Westnet را در معرض خطر قرار داده‌اند. مهاجمان از پسوندهای فایل مختلف مانند *.png.jar.jar استفاده می‌کنند تا نوع فایل واقعی را از کاربر هدف مخفی کنند. به محض این‌که بار داده اجرا شد، چند سطح از استخراج JAR اتفاق می‌افتد.

زمانی که بدافزار اجرا شد، بار داده‌ی JAR تزریق‌شده یک فرآیند جاوا ایجاد می‌کند و خود را در مسیر %User% کپی می‌کند. در مرحله‌ی بعد، جاوا این کپی را اجرا می‌کند و یک ورودی رجیستری برای ماندگاری ایجاد می‌کند و اسکریپت‌های WMI را در مسیر %temp% ایجاد و آن‌ها را برای غیرفعال کردن فایروال و برنامه‌ی ضد بدافزار راه‌اندازی می‌کند.

بار داده‌ی JAR تزریق‌شده یک شیء جاسازی‌شده را برای ساخت Step 3 Jar رمزگشایی می‌کند و آن را در مسیر %temp% می‌نویسد و به‌عنوان یک نخ جاوای جدید اجرا می‌کند. سپس Step 3 Jar کلاس JRAT را آپلود می‌کند که مسئول آپلود و پیوند دادن DLL حاوی تابع اصلی RAT است. کلاس JRAT که این تابع را در زیر چند سطح از مبهم‌سازی مخفی می‌کند، تلاش می‌کند تا به سرور دستور و کنترل در ۱۸۵٫۲۰۵٫۲۱۰٫۴۸ متصل شود.

بدافزار Adwind یک تروجان دسترسی از راه دور چند بستری (قابل اجرا در هر بستری) است که ویندوز، لینوکس و مک را هدف قرار می‌دهد. این بدافزار می‌تواند تصاویر وب‌کم را دریافت کند، حافظه را برای یافتن فایل‌هایی با پسوندهای تعریف‌شده در پیکربندی RAT پویش کند و آن‌ها را در فرآیندهای ویندوزی قانونی شناخته‌شده تزریق کند، بر وضعیت سیستم نظارت کند و داده‌های به سرقت رفته را به حالت رمزنگاری شده به سرور دستور و کنترل ارسال کند.

Netskope بیان می‌کند که تروجان Adwind یک خانواده‌ی بدافزاری شناخته‌شده است که طی چند سال گذشته به‌طور فعال در پویش های مختلف مورد استفاده قرار گرفته است. نمونه‌هایی که تجزیه و تحلیل شده است، نشان می‌دهد که نرخ تشخیص VirusTotal برای JAR سطح بالا ۵٫۵۶ بود، درحالی که برای JAR رمزگشایی‌شده‌ی نهایی ۴۹٫۵۸ بود. این نرخ‌های تشخیص نشان می‌دهد که مهاجمان تا حد زیادی در زمینه‌ی توسعه‌ی روش‌های مبهم‌سازی نوآورانه برای دور زدن سازوکار تشخیص موفق بوده‌اند.

منبع

پست‌های مشابه

Leave a Comment