هدف قرار گرفتن شخصیت‌های برجسته‌ی نظامی و دیپلماتیک توسط نفوذگران InvisiMole

پژوهش‌گران امنیت سایبری از روش کار یک گروه تهدید که شخصیت‌های برجسته‌ی نظامی و دیپلماتیک در اروپای شرقی را به‌منظور جاسوسی هدف قرار می‌دهد، پرده‌برداری کرد. این یافته‌ها بخشی از تجزیه و تحلیل شرکت امنیت سایبری ESET و شرکت‌های تحت تأثیر است که منجر به بررسی گسترده‌ی عملیات InvisiMole و روش‌ها و ابزراها و رویه‌های این گروه شده است.

این شرکت در گزارش خود بیان کرد که پژوهش‌گران ESET با همکاری سازمان‌هایی که تحت تأثیر قرار گرفت‌اند، تحقیقی درباره‌ی این حملات انجام داده و توانسته‌اند مجموعه ابزارهای گسترده و پیچیده‌ی استفاده‌شده برای توزیع، حرکات جانبی و اجرای درب‌های پشتی InvisiMole را کشف کنند.

InvisiMole اولین بار در سال ۲۰۱۸ میلادی کشف شد و حداقل از سال ۲۰۱۳ میلادی در عملیات جاسوسی سایبری هدفمند در اوکراین و روسیه فعال بوده است. این عامل تهدید پس از فعالیت مخفیانه در اواخر سال گذشته با یک مجموعه ابزار به‌روزرسانی‌شده و روش‌های ناشناخته برای مبهم‌سازی بدافزار بازگشت.

پژوهش‌گران ESET در گزارش ماه ژوئن سال ۲۰۱۸ میلادی خاطرنشان کرده بودند که InvisiMole یک معماری ماژولار دارد که فعالیت خود را با یک wrapper DLL آغاز کرده است و اقدامات خود را با استفاده از دو ماژول دیگر که در منابع آن تعبیه شده است، انجام می‌دهد. هر دو ماژول درب‌های پشتی feature-rich هستند که در کنار هم امکان جمع‌آوری اطلاعات بیشتر در مورد هدف را فراهم می‌کنند.

پژوهش‌گران متوجه شدند که جاسوس‌افزار feature-rich به نام RC2FM و RC2CL  قادر به ایجاد تغییرات سیستمی، اسکن شبکه‌های بی‌سیم برای ردیابی مکان جغرافیایی قربانیان، جمع‌آوری اطلاعات کاربر و حتی بارگذاری فایل‌های حساس در دستگاه آسیب‌دیده است. اما سازوکار دقیق توزیع بدافزار تاکنون مشخص نشده است.

ESET نه تنها شواهدی از به کارگیری روش‌های «living off the land» یافته است که از برنامه‌های قانونی برای انجام عملیات مخفیانه بهره‌برداری می‌کند،  بلکه ارتباطاتی با عامل تهدید ثانویه به نام گروه Gamaredon نیز یافته است که در حملات سایبری علیه مؤسسه‌های اوکراین سابقه‌ی طولانی دارد.

از Gamaredon برای بار داده‌ی مخفی استفاده می‌شود و تعداد اندکی از اهداف Gamaredon به بدافزار InvisiMole ارتقا یافته‌اند. این بدافزار پس از دست‌یابی مهاجمان به امتیازات مدیر مستقر می‌شود، زیرا بسیاری از روش‌های اجرای InvisiMole به مجوزهای سطح بالاتر نیاز دارند.

پس از آن‌‌که InvisiMole سیستم را در معرض خطر قرار داد، از آسیب‌پذیری‌های BlueKeep و EternalBlue در پروتکل‌های RDP و SMB بهره‌برداری می‌کند و یا از اسناد دارای تروجان و برنامه‌های نصب نرم‌افزار برای انتشار در سراسر شبکه استفاده می‌کند.

این بدافزار علاوه‌بر استفاده از نسخه‌های به‌روزرسانی‌شده‌ی درب‌های پشتی RC2CL و RC2FM، یک برنامه‌ی بارگیری TCS جدید برای بارگیری ماژول‌‌های بیشتر و یک برنامه‌ی بارگیری DNS را به کار می‌گیرد که از DNS tunneling برای پنهان کردن ارتباطات با سرور تحت کنترل یک مهاجم استفاده می‌کند.

با استفاده از DNS tunneling کلاینتی که در معرض خطر قرار گرفته است به‌طور مستقیم با سرور فرمان و کنترل ارتباط برقرار نمی‌کند، بلکه تنها با سرورهای DNS بی‌خطری ارتباط برقرار می‌کند که قربانی معمولاً با آن‌ها ارتباط برقرار می‌کند. سپس سرور DNS با سرور مربوط به دامنه در درخواست ارتباط برقرار می‌کند که سرور نام تحت کنترل مهاجم است و پاسخ آن را به کلاینت باز می‌گرداند.

درب‌پشتی RC2CL با قابلیت روشن کردن دوربین و میکروفن برای گرفتن عکس و ضبط ویدئو و تهیه‌ی اسکرین‌شات، جمع‌آوری اطلاعات شبکه، فهرست کردن نرم‌افزار نصب‌شده و نظارت بر اسنادی که اخیراً قربانی به آن‌ها دسترسی یافته است، از ۸۷ دستور پشتیبانی می‌کند. اگرچه RC2FM چندان مورد استفاده قرار نمی‌گیرد اما در کنار مجموعه دستورات استخراج اسناد خود ویژگی‌های جدیدی برای ثبت keystrokeها و دور زدن کنترل دسترسی کاربر دارد.

علاوه‌برآن، نسخه‌های جدید RC2CL و RC2FM ابزارهای مخصوص خود را برای فرار از شناسایی ضدبدافزار دارند. اهداف مورد توجه مهاجمان از بدافزار نسبتاً ساده‌ی Gamaredon به بدافزار InvisiMole ارتقا یافته‌اند و این همکاری بین دو گروه به InvisiMole اجازه می‌دهد تا روش‌های خلاقانه‌‌ای برای فعالیت مخفیانه‌ی خود ابداع کنند.

منبع

پست‌های مشابه

Leave a Comment