پویشی در قالب COVID-19 بخش‌های SCADA را با بدافزار سرقت داده هدف قرار می‌دهند

یک پویش بدافزاری جدید کشف شده است که از فریب‌هایی با قالب ویروس کرونا برای ضربه زدن به دولت و بخش‌های انرژی در آذربایجان به وسیله‌ی تروجان‌های دسترسی از راه دور (RAT) با قابلیت استخراج اسناد حساس، فشرده شدن کلیدها، گذرواژه‌ها و حتی تصاویر وب‌کم استفاده می‌کند.

حملات هدفمند از اسناد مایکروسافت ورد به‌عنوان توزیع‌کننده استفاده می‌کنند تا یک RAT مبتنی‌بر پایتون به نام PoetRAT را مستقر کنند.

سیسکو تالس بیان کرد که این RAT همه‌ی ویژگی‌های استاندارد این نوع بدافزار را دارد و کنترل کامل سیستم آسیب‌دیده را در اختیار می‌گیرد.

به‌گفته‌ی پژوهش‌گران، این بدافزار به‌طور خاص سیستم‌های کنترل نظارتی و جمع‌آوری داده در صنعت انرژی مانند سیستم‌های توربین بادی را هدف قرار می‌دهد.

این پیشرفت و توسعه جدیدترین مورد در توسعه‌ی حملات سایبری است که از نگرانی‌های مربوط به اپیدمی ویروس کرونا به‌عنوان طعمه‌ای برای نصب بدافزار، سرقت اطلاعات و کسب سود بهره‌برداری می‌کنند.

این پویش با افزودن PoetRAT به یک سند ورد کار می‌کند، که با باز شدن این سند یک ماکرو اجرا می‌شود که این بدافزار را استخراج و سپس آن را اجرا می‌کند.

سازوکار دقیق توزیع سند ورد هنوز مشخص نیست، اما با توجه به این‌که اسناد از یک آدرس اینترنتی ساده قابل بارگیری هستند، پژوهش‌گران گمان می‌کنند که قربانیان فریب داده می‌شوند تا این RAT را از طریق آدرس‌های اینترنتی مخرب یا ایمیل‌های فیشینگ بارگیری کنند.

سیسکو تالس بیان کرد که سه موج از این حملات را از آغاز ماه فوریه کشف کرده است که برخی از آن‌ها از اسناد طعمه‌‌ای استفاده می‌کنند که ادعا می‌شود از طرف سازمان‌های دولت آذربایجان و سازمان تحقیق و توسعه‌ی دفاعی هند (DRDO) هستند و یا در نام‌های فایل‌های خود به COVID-19 اشاره دارند، بدون این‌که هیچ محتوای واقعی در مورد آن داشته باشند.

صرف نظر از بردار حمله، ماکروی Visual Basic Script موجود در اسناد، بدافزار را به‌عنوان یک فایل فشرده به نام smile.zip در حافظه می‌نویسد که حاوی یک مترجم پایتون و خود RAT است.

اسکریپت پایتون نیز محیطی را که سند در آن باز می‌شود، بررسی می‌کند تا اطمینان حاصل کند که در sandbox یکسانی قرار ندارد. درصورتی‌که یک محیط sanbox را شناسایی کند، خود را از سیستم حذف می‌کند.

این RAT با دو اسکریپت همراه است: یکی از آن‌ها frown.py مسئول برقراری ارتباط با یک سرور فرمان و کنترل از راه دور با یک شناسه‌ی دستگاه منحصر به فرد است و دیگری smile.py است که اجرای دستورات C2 را در دستگاه آسیب‌دیده مدیریت می‌کند.

این دستورات به مهاجم این امکان را می‌دهند تا فایل‌های حساس را بارگذاری کند، اسکرین‌شات تهیه کند، فرآیندهای سیستم را خاتمه دهد، فشرده شدن کلیدها را ثبت کند و گذرواژه‌های ذخیره‌شده در مرورگرها را به سرقت ببرد.

علاوه‌براین، مهاجم پشت پرده‌ی این پویش ابزارهای بهره‌برداری دیگری ازجمله dog.exe را مستقر کرده است که یک بدافزار مبتنی‌بر .NET است که بر مسیرهای حافظه نظارت می‌کند و اطلاعات را از طریق یک حساب ایمیل یا یک FTP به‌طور خودکار انتقال می‌دهد. ابزار دیگری به نام Bewmac مهاجم را قادر می‌سازد تا کنترل وب‌کم قربانی را به دست گیرد.

این بدافزار با ایجاد کلیدهای رجیستری به پایداری می‌رسد تا اسکریپت پایتون را اجرا کند و بتواند اصلاحاتی در رجیستری ایجاد کند تا سازوکار بررسی فرار از sandbox را دور بزند و از بررسی مجدد همان محیط جلوگیری کند.

پژوهش‌گران سیسکو تالس نتیجه‌گیری کردند که این عامل تهدید مسیرهای خاصی را تحت نظر گرفته است که نشان می‌دهد قصد داشته است اطلاعات خاصی را در مورد قربانیان استخراج کند. مهاجم نه تنها اطلاعات خاص به دست آمده از قربانیان، بلکه مجموعه‌ی کاملی از اطلاعات مربوط به قربانیان خود را می‌خواست. این عامل تهدید با استفاده از پایتون و سایر ابزارهای مبتنی بر پایتون در این پویش، احتمالاً از شناسایی شدن توسط ابزارهای سنتی که پایتون و روش‌های اجرای پایتون را در لیست سفید خود قرار داده‌اند، جلوگیری می‌کند.

منبع

پست‌های مشابه

Leave a Comment