بدافزار جدید ComRAT برای دریافت دستورات و استخراج داده از جی‌میل استفاده می‌کند

پژوهش‌گران امنیت سایبری نسخه‌ی پیشرفته‌ی جدیدی از درب‌پشتی ComRAT را کشف کردند  که یکی از اولین درب‌های پشتی شناخته شده‌ی مورد استفاده‌ی گروه Turla APT است و از رابط وب جی‌میل برای دریافت دستورات و استخراج داده‌های حساس به‌طور مخفیانه استفاده می‌کند.

شرکت امنیت سایبری ESET در گزارش خود اعلام کرد که ComRAT نسخه‌ی ۴ اولین بار در سال ۲۰۱۷ مشاهده شد و به‌تازگی در ماه ژانویه‌ی سال ۲۰۲۰ میلادی نیز مورد استفاده قرار گرفته است. این شرکت حداقل سه هدف را شناسایی کرده است: دو وزارت امور خارجه در اروپای شرقی و یک پارلمان ملی در منطقه‌ی قفقاز.

گروه Turla که با نام Snake نیز شناخته می‌شود، با سابقه‌ی طولانی در مورد پویش‌های watering hole و spear-phishing علیه سفارتخانه‌ها و سازمان‌های نظامی، حداقل از سال ۲۰۰۴ میلادی فعال بوده است. بستر جاسوسی این گروه با نام Agent.BTZ در سال ۲۰۰۷ میلادی و قبل از تکامل آن به شکل ComRAT آغاز به کار کرد.

درحال‌حاضر مشخص شده است که نسخه‌های قبلی Agent.BTZ مسئول آلوده کردن شبکه‌های نظامی امریکا در خاورمیانه در سال ۲۰۰۸ میلادی بودند. در سال‌های اخیر گفته می‌شود که Turla در پشت  پرده‌ی حملات علیه نیروهای مسلح فرانسه در سال ۲۰۱۸ میلادی و وزارت امور خارجه‌ی اتریش در اوایل سال جاری بوده است.

نسخه‌های جدیدتر درب‌پشتی ComRAT، سازوکار آلودگی USB-stick مربوط به Agent.BTZ برای تزریق خود در هر یک از فرآیندهای دستگاه آلوده و اجرای بار داده‌ی اصلی خود در explorer.exe را کنار گذاشته است.

به‌گفته‌ی ESET، ComRAT نسخه‌ی ۴ که از یک پایگاه کد کاملاً جدید استفاده می‌کند به مراتب پیچیده‌تر از نسخه‌های قبلی آن است. اولین نمونه‌ی شناخته‌شده‌ی این بدافزار در ماه آوریل سال ۲۰۱۷ میلادی شناسایی شد.

ComRAT معمولاً از طریق PowerStallion نصب می‌شود که یک درب‌پشتی PowerShell سبک است که  توسط Turla برای نصب سایر درب‌های پشتی استفاده می‌شود. علاوه‌برآن، بارگذار PowerShell ماژولی به نام orchestrator ComRAT در مرورگر وب تزریق می‌کند که از دو کانال برای دریافت دستورات از یک سرور C2 و استخراج اطلاعات برای اپراتورها استفاده می‌کند.

کاربرد اصلی ComRAT، کشف، سرقت و استخراج اسناد محرمانه است. حتی در یک مورد نیز اپراتورهای آن برای تعامل با پایگاه داده‌ی مرکزی MS SQL server قربانی که حاوی اسناد سازمان است، یک فایل اجرایی .NET را توزیع می‌کنند.

همه‌ی فایل‌های مربوط به ComRAT به استثنای فایل orchestrator DLL و کارهای برنامه‌ریزی‌شده برای ماندگاری، در یک سیستم فایل مجازی ذخیره می‌شود. حالت mail با خواندن آدرس ایمیل و کوکی‌های احرازهویت در سیستم فایل مجازی، به نمای HTML اصلی جی‌میل متصل می‌شود و صفحه‌ی HTML صندوق دریافت را parse می‌کند تا فهرست ایمیل‌هایی که عنوان آن‌ها با عناوین موجود در فایل subject.str در سیستم فایل مجازی مطابقت دارد، به دست آورد.

در هر ایمیلی که معیارهای موردنظر را داشته باشد، ComRAT پیوست‌ها را بارگیری و ایمیل‌ها را به‌منظور جلوگیری از پردازش دوباره‌ی آن‌ها حذف می‌کند.

برخلاف وجود فرمت .docx و .xlsx در نام فایل‌ها، پیوست‌ها سند نیستند، بلکه داده‌های رمزنگاری‌شده‌ای هستند که شامل یک دستور خاص برای اجرا هستند.

در مرحله‌ی آخر، نتایج اجرای دستور رمزنگاری و در یک پیوست ذخیره می‌شود که سپس به‌عنوان یک ایمیل به آدرس هدف مشخص‌شده در فایل answer_addr.str ارسال می‌شود. ComRAT نسخه‌ی ۴ یک خانواده‌ی بدافزاری کاملاً بازسازی شده است که در سال ۲۰۱۷ میلادی منتشر شده است. از جالب‌ترین ویژگی‌های آن سیستم فایل مجازی در فرمت FAT16 و توانایی استفاده از Gmail Web UI برای دریافت دستورات و استخراج داده است. بنابراین، می‌تواند برخی کنترل‌های امنیتی را دور بزند، زیرا به هیچ دامنه‌ی مخربی متکی نیست.

منبع

پست‌های مشابه

Leave a Comment