بهره‌برداری TrickBot از رایانه‌های شخصی آلوده برای انجام حملات کورکورانه‌ی RDP

یک ماژول جدید از تروجان بانکی TrickBot به‌تازگی کشف شده است که به مهاجمان اجازه می‌دهد تا از سیستم‌های آسیب‌دیده برای راه‌اندازی حملات کورکورانه علیه سیستم‌های ویندوزی انتخاب‌شده که یک اتصال Remote Desktop Protocol (RDP) اجرا می‌کنند، استفاده کنند. این ماژول با نام rdpScanDll در ۳۰ ژانویه کشف شد و گفته می‌شود که هنوز در حال توسعه است. به‌گفته‌ی پژوهش‌گران، ماژول rdpScanDll تاکنون تلاش کرده است تا ۶٬۰۱۳ سرور RDP متعلق به سازمان‌ها در بخش‌های مخابراتی، آموزشی و مالی در امریکا و هنگ‌کنگ را هدف قرار دهد.

نویسندگان بدافزاری که در پشت صحنه‌ی TrickBot هستند، در انتشار ماژول‌ها و نسخه‌های جدید این تروجان برای گسترش و تصحیح قابلیت‌های آن تخصص دارند. پژوهش‌گران بیان کردند که انعطاف‌پذیری این معماری ماژولار، TrickBot‌را به یک بدافزار بسیار پیچیده و پیشرفته تبدیل کرده است که تا زمانی که افزونه‌ای برای آن وجود داشته باشد، قادر به انجام طیف وسیعی از فعالیت‌های مخرب است.

هنگامی که TrickBot اجرای خود را آغاز می‌کند، یک پوشه حاوی بار داده‌ی مخرب رمزنگاری‌شده و فایل‌های پیکربندی مربوطه ایجاد می‌کند که شامل فهرستی از سرورهای فرمان و کنترل است که افزونه برای اجرای دستورات نیاز به برقراری ارتباط با آن‌ها دارد. به‌گفته‌ی پژوهش‌گران بیت‌دیفندر، افزونه‌ی rdpScanDll فایل پیکربندی خود را با ماژول دیگری به نام vncDll به اشتراک می‌گذارد و از یک قالب استاندارد آدرس اینترنتی مانند https://C&C/tag/computerID/controlEndpoint برای ارتباط با سرورهای C2 جدید استفاده می‌کند.

در این آدرس اینترنتی، C&C به سرور C2 و tag به تگ گروه استفاده‌شده توسط نمونه‌ی TrickBot و computerID به شناسه‌ی رایانه‌ی استفاده‌شده توسط این بدافزار و controlEndpoint به فهرستی از حالت‌های حمله (check، trybrute و brute) و فهرستی از ترکیبات شماره درگاه آدرس آی‌پی که از طریق حمله‌ی کورکورانه‌ی RDP هدف قرار می‌گیرد، اشاره دارد. حالت Check یک اتصال RDP را از فهرست اهداف بررسی می‌کند، درحالی‌که حالت trybrute تلاش می‌کند با استفاده از یک فهرست از پیش تعیین‌شده از نام‌های کاربری و گذرواژه‌های به دست آمده از نقاط انتهایی /rdp/names و /rdp/dict یک عملیات کورکورانه در هدف انتخاب‌شده انجام دهد.

به‌گفته‌ی پژوهش‌گران حالت brute هنوز در حال توسعه است. این حالت نه تنها شامل مجموعه‌ای از توابع قابل اجرایی است که مورد استفاده قرار نمی‌گیرند، بلکه فهرست نام کاربری را نیز واکشی نمی‌کند و باعث می‌شود که این افزونه از گذرواژه‌ها و نام‌های کاربری تهی برای احرازهویت در فهرست هدف استفاده کند.

هنگامی که فهرست اولیه‌ی آدرس‌های آی‌پی هدف از طریق /rdp/domains جمع‌آوری شد، این افزونه مجموعه‌ی دیگری از آی‌پی‌های جدید را با استفاده از یک نقطه‌ی انتهایی /rdp/over ثانویه بازیابی می‌کند. این دو فهرست، هر یک شامل ۴۹ و ۵٬۹۶۴  آدرس آی‌پی هستند که اهداف مستقر در شرکت‌های مخابراتی، آموزشی، مالی و پژوهشی امریکا و هنگ‌کنگ را در بر می‌گیرد.

علاوه‌برآن، گزارش بیت‌دیفندر جزئیات سازوکار تحویل به‌روزرسانی TrickBot را تشریح و کشف کرد که بعد از ماژول‌هایی که به شناسایی سیستم و شبکه و جمع‌آوری داده در شش ماه گذشته کمک کرده‌اند، افزونه‌های مسئول حرکات جانبی در شبکه بیشترین به‌روزرسانی‌ها را دریافت کرده‌اند. TrickBot در سال ۲۰۱۶ میلادی از طریق پویش‌های فیشینگ ایمیل کار خود را به‌عنوان یک تروجان بانکی آغاز کرد، اما از آن زمان تحولات بسیاری یافته است.

پویش‌هایی که TrickBot توزیع می‌کنند، از نشان‌های تجاری شخص ثالث آشنا برای گیرنده، مانند صورت‌حساب‌های شرکت‌های حسابداری و مالی استفاده می‌کنند. این ایمیل‌ها اغلب دارای یک پیوست مانند سند ورد یا اکسل مایکروسافت هستند که هنگام باز شدن کاربر را تشویق می‌کنند تا ماکروها را فعال کند و درنتیجه یک VBScript برای اجرای یک اسکریپت PowerShell برای بارگیری بدافزار اجرا کند.

TrickBot همچنین توسط سایر بدافزارها به‌عنوان بار داده‌ی ثانویه توزیع می‌شود که مهم‌ترین آن‌ها پویش هرزنامه‌ی بات‌نت Emotet  است که برای دست‌یابی به پایداری و جلوگیری از شناسایی، نرم‌افزار ضدبدافزار ویندوز دیفندر را غیرفعال و حذف می‌کند. ماژول جدید نشان می‌دهد که با استفاده از زیرساخت موجود قربانیان TrickBot، ممکن است مهاجمان روی بخش‌های غیرمالی مانند مخابراتی و آموزشی  و پژوهشی تمرکز کنند.

منبع

پست‌های مشابه

Leave a Comment