باج‌افزار Tycoon برای جلوگیری از تشخیص از یک فرمت Image جاوا استفاده می‌کند

پژوهش‌گران BlackBerry گزارش دادند که یک باج‌افزار جاوای چند بستری که اخیراً کشف شده است، از یک فایل Image  جاوا برای جلوگیری از شناسایی شدن خود استفاده می‌کند. با توجه به تعداد اندک قربانیان و سازوکار انتقال استفاده‌شده، این باج‌افزار که Tycoon نام دارد، تنها در حملات بسیار هدفمند استفاده می‌شود.

پژوهش‌گران بیان می‌کنند که اپراتورهای این باج‌افزار شرکت‌ها و مؤسسه‌های کوچک و متوسط در صنایع آموزش و نرم‌افزار را هدف قرار می‌دهند. در یکی از نمونه‌ها، آن‌ها ابتدا یک jump-server پروتکل remote desktop را در معرض خطر قرار دادند و از آن برای ایجاد آسیب‌های بیشتر استفاده کردند. با بررسی حادثه مشخص شد که مهاجمان از تزریق Image File Execution Options برای پایداری استفاده کردند و یک درب پشتی اجرا کردند و برنامه‌ی ضدبدافزار را نیز غیرفعال کردند.

مهاجمان پس از استقرار یک پایگاه در محیط موردنظر، ماژول جاوای باج‌افزار را اجرا کردند که همه‌ی سرورهای فایل متصل به شبکه ازجمله سیستم‌های پشتیبان را رمزنگاری می‌کرد.این باج‌افزار به‌عنوان یک فایل ZIP حاوی یک ساختار تروجانی Java Runtime Environment  (JRE) مستقر می‌شود و در یک فایل Image  جاوا کامپایل می‌شود. این فرمت فایل که اولین بار در جاوای نسخه‌ی ۹ معرفی شد و به ندرت توسط توسعه‌دهندگان مورد استفاده قرار می‌گیرد، برای ذخیره‌ی تصاویر JRE توسط Java Virtual Machine (JVM) استفاده می‌شود.

پژوهش‌گران امنیتی همچنین کشف کردند که این باج‌افزار برای هدف قرار دادن سیستم‌های ویندوز و لینوکس طراحی شده است. پیکربندی این باج‌افزار شامل آدرس ایمیل مهاجم، کلید عمومی RSA، محتوای یادداشت باج، یک فهرست حذف و یک فهرست از دستورات shell برای اجرا است. هنگامی که این باج‌افزار اجرا می‌شود، مجموعه‌ای دستورات مشخص‌شده در فایل پیکربندی را اجرا می‌کند. Tycoon فایل‌های اصلی را حذف می‌کند و برای جلوگیری از بازیابی آن‌ها را بازنویسی می‌کند و در طول رمزنگاری قسمت‌هایی از فایل‌های بزرگ‌تر را پرش می‌کند تا این فرآیند را تسریع کند که منجر به آسیب دیدن و غیرقابل استفاده شدن فایل‌ها می‌شود.

هر فایل با استفاده از یک کلید AES متفاوت رمزنگاری می‌شود. این باج‌افزار از الگوریتم نامتقارن RSA برای رمزنگاری کلیدهای AES رمزنگاری استفاده می‌کند، این به این معنا است که برای رمزگشایی کلید خصوصی RSA مهاجم موردنیاز است. BlackBerry بیان می‌کند که Tycoon حداقل از شش ماه قبل وجود داشته است، اما به نظر می‌رسد که تعداد قربانیان محدود است. این نشان می‌دهد که این بدافزار ممکن است بسیار هدفمند بوده و بخشی از یک پویش گسترده‌تر باشد که از چند باج‌افزار مختلف استفاده می‌کند.

پژوهش‌گران همچنین براساس هم‌پوشانی‌های موجود در آدرس‌های ایمیل، متن یادداشت باج و قرارداد نام‌گذاری استفاده‌شده برای فایل‌های رمزنگاری‌شده، یک ارتباط احتمالی با باج‌افزار Dharma/crySIS را شناسایی کردند.

این حمله‌ی باج‌افزاری دومین مورد در ماه گذشته است که از JRE برای اجرای حمله استفاده می‌کند. بااین‌که اطلاعات اولیه یک حمله‌ی بسیار هدفمند را نشان می‌دهد، اما بیانگر این است که گروه‌های مجرمانه به دنبال روش‌های جدید برای جلوگیری از شناسایی در یک سازمان هستند. غیرفعال کردن برنامه‌ی ضدبدافزار در سیستم‌ها احتمال کشف شدن توسط مدیران سیستم نظارتی را کاهش می‌دهد.

منبع

پست‌های مشابه

Leave a Comment