یک پویش بدافزاری جدید کشف شده است که از فریبهایی با قالب ویروس کرونا برای ضربه زدن به دولت و بخشهای انرژی در آذربایجان به وسیلهی تروجانهای دسترسی از راه دور (RAT) با قابلیت استخراج اسناد حساس، فشرده شدن کلیدها، گذرواژهها و حتی تصاویر وبکم استفاده میکند.
حملات هدفمند از اسناد مایکروسافت ورد بهعنوان توزیعکننده استفاده میکنند تا یک RAT مبتنیبر پایتون به نام PoetRAT را مستقر کنند.
سیسکو تالس بیان کرد که این RAT همهی ویژگیهای استاندارد این نوع بدافزار را دارد و کنترل کامل سیستم آسیبدیده را در اختیار میگیرد.
بهگفتهی پژوهشگران، این بدافزار بهطور خاص سیستمهای کنترل نظارتی و جمعآوری داده در صنعت انرژی مانند سیستمهای توربین بادی را هدف قرار میدهد.
این پیشرفت و توسعه جدیدترین مورد در توسعهی حملات سایبری است که از نگرانیهای مربوط به اپیدمی ویروس کرونا بهعنوان طعمهای برای نصب بدافزار، سرقت اطلاعات و کسب سود بهرهبرداری میکنند.
این پویش با افزودن PoetRAT به یک سند ورد کار میکند، که با باز شدن این سند یک ماکرو اجرا میشود که این بدافزار را استخراج و سپس آن را اجرا میکند.
سازوکار دقیق توزیع سند ورد هنوز مشخص نیست، اما با توجه به اینکه اسناد از یک آدرس اینترنتی ساده قابل بارگیری هستند، پژوهشگران گمان میکنند که قربانیان فریب داده میشوند تا این RAT را از طریق آدرسهای اینترنتی مخرب یا ایمیلهای فیشینگ بارگیری کنند.
سیسکو تالس بیان کرد که سه موج از این حملات را از آغاز ماه فوریه کشف کرده است که برخی از آنها از اسناد طعمهای استفاده میکنند که ادعا میشود از طرف سازمانهای دولت آذربایجان و سازمان تحقیق و توسعهی دفاعی هند (DRDO) هستند و یا در نامهای فایلهای خود به COVID-19 اشاره دارند، بدون اینکه هیچ محتوای واقعی در مورد آن داشته باشند.
صرف نظر از بردار حمله، ماکروی Visual Basic Script موجود در اسناد، بدافزار را بهعنوان یک فایل فشرده به نام smile.zip در حافظه مینویسد که حاوی یک مترجم پایتون و خود RAT است.
اسکریپت پایتون نیز محیطی را که سند در آن باز میشود، بررسی میکند تا اطمینان حاصل کند که در sandbox یکسانی قرار ندارد. درصورتیکه یک محیط sanbox را شناسایی کند، خود را از سیستم حذف میکند.
این RAT با دو اسکریپت همراه است: یکی از آنها frown.py مسئول برقراری ارتباط با یک سرور فرمان و کنترل از راه دور با یک شناسهی دستگاه منحصر به فرد است و دیگری smile.py است که اجرای دستورات C2 را در دستگاه آسیبدیده مدیریت میکند.
این دستورات به مهاجم این امکان را میدهند تا فایلهای حساس را بارگذاری کند، اسکرینشات تهیه کند، فرآیندهای سیستم را خاتمه دهد، فشرده شدن کلیدها را ثبت کند و گذرواژههای ذخیرهشده در مرورگرها را به سرقت ببرد.
علاوهبراین، مهاجم پشت پردهی این پویش ابزارهای بهرهبرداری دیگری ازجمله dog.exe را مستقر کرده است که یک بدافزار مبتنیبر .NET است که بر مسیرهای حافظه نظارت میکند و اطلاعات را از طریق یک حساب ایمیل یا یک FTP بهطور خودکار انتقال میدهد. ابزار دیگری به نام Bewmac مهاجم را قادر میسازد تا کنترل وبکم قربانی را به دست گیرد.
این بدافزار با ایجاد کلیدهای رجیستری به پایداری میرسد تا اسکریپت پایتون را اجرا کند و بتواند اصلاحاتی در رجیستری ایجاد کند تا سازوکار بررسی فرار از sandbox را دور بزند و از بررسی مجدد همان محیط جلوگیری کند.
پژوهشگران سیسکو تالس نتیجهگیری کردند که این عامل تهدید مسیرهای خاصی را تحت نظر گرفته است که نشان میدهد قصد داشته است اطلاعات خاصی را در مورد قربانیان استخراج کند. مهاجم نه تنها اطلاعات خاص به دست آمده از قربانیان، بلکه مجموعهی کاملی از اطلاعات مربوط به قربانیان خود را میخواست. این عامل تهدید با استفاده از پایتون و سایر ابزارهای مبتنی بر پایتون در این پویش، احتمالاً از شناسایی شدن توسط ابزارهای سنتی که پایتون و روشهای اجرای پایتون را در لیست سفید خود قرار دادهاند، جلوگیری میکند.