طبق گزارش پژوهشگران Netskope مهاجمان بااستفاده از تروجان دسترسی از راه دور (RAT) در یک پویش جدید، شرکتهای نفتی امریکا را هدف قرار میدهند. نمونههای مشاهدهشده در این حملات نسبتاً جدید هستند، اما عملکرد این تروجان با پویشهای قبلی سازگار است.
این بدافزار تلاش میکند تا با استفاده از مبهمسازی چندلایهای سازوکار تشخیص و شناسایی را دور بزند و پس از آنکه یک دستگاه را آلوده کرد، رجیستری سیستم را برای رسیدن به ماندگاری، انجام تزریق فرآیند، متوقف کردن خدمات امنیتی تغییر میدهد و سپس اطلاعات حساس را به سرقت میبرد.
این پویش جدید از شبکهی ارائهدهندهی خدمات اینترنتی استرالیایی Westnet به Adwind خدمات میدهد. پژوهشگران Netskope معتقدند که مهاجم در واقع یک کاربر Westnet است و یا آنها یک یا چند حساب Westnet را در معرض خطر قرار دادهاند. مهاجمان از پسوندهای فایل مختلف مانند *.png.jar.jar استفاده میکنند تا نوع فایل واقعی را از کاربر هدف مخفی کنند. به محض اینکه بار داده اجرا شد، چند سطح از استخراج JAR اتفاق میافتد.
زمانی که بدافزار اجرا شد، بار دادهی JAR تزریقشده یک فرآیند جاوا ایجاد میکند و خود را در مسیر %User% کپی میکند. در مرحلهی بعد، جاوا این کپی را اجرا میکند و یک ورودی رجیستری برای ماندگاری ایجاد میکند و اسکریپتهای WMI را در مسیر %temp% ایجاد و آنها را برای غیرفعال کردن فایروال و برنامهی ضد بدافزار راهاندازی میکند.
بار دادهی JAR تزریقشده یک شیء جاسازیشده را برای ساخت Step 3 Jar رمزگشایی میکند و آن را در مسیر %temp% مینویسد و بهعنوان یک نخ جاوای جدید اجرا میکند. سپس Step 3 Jar کلاس JRAT را آپلود میکند که مسئول آپلود و پیوند دادن DLL حاوی تابع اصلی RAT است. کلاس JRAT که این تابع را در زیر چند سطح از مبهمسازی مخفی میکند، تلاش میکند تا به سرور دستور و کنترل در ۱۸۵٫۲۰۵٫۲۱۰٫۴۸ متصل شود.
بدافزار Adwind یک تروجان دسترسی از راه دور چند بستری (قابل اجرا در هر بستری) است که ویندوز، لینوکس و مک را هدف قرار میدهد. این بدافزار میتواند تصاویر وبکم را دریافت کند، حافظه را برای یافتن فایلهایی با پسوندهای تعریفشده در پیکربندی RAT پویش کند و آنها را در فرآیندهای ویندوزی قانونی شناختهشده تزریق کند، بر وضعیت سیستم نظارت کند و دادههای به سرقت رفته را به حالت رمزنگاری شده به سرور دستور و کنترل ارسال کند.
Netskope بیان میکند که تروجان Adwind یک خانوادهی بدافزاری شناختهشده است که طی چند سال گذشته بهطور فعال در پویش های مختلف مورد استفاده قرار گرفته است. نمونههایی که تجزیه و تحلیل شده است، نشان میدهد که نرخ تشخیص VirusTotal برای JAR سطح بالا ۵٫۵۶ بود، درحالی که برای JAR رمزگشاییشدهی نهایی ۴۹٫۵۸ بود. این نرخهای تشخیص نشان میدهد که مهاجمان تا حد زیادی در زمینهی توسعهی روشهای مبهمسازی نوآورانه برای دور زدن سازوکار تشخیص موفق بودهاند.