هشدار مرکز افتا درباره حمله بدافزارها به نهادهای دولتی
بر اساس اعلام مرکز مدیریت راهبردی امنیت فضای تولید و تبادل اطلاعات ریاست جمهوری، گروه OilRig همچنان در حال انجام حملات مداوم با استفاده از ابزارها و تکنیکهای شناختهشده علیه نهادهای دولتی در منطقه خاورمیانه است. در این حملات از ایمیلهای فیشینگ استفاده شده و قربانی با روشهای مهندسی اجتماعی، وادار به اجرای یک پیوست مخرب میشود. در پیوستها نیز از تروجان OopsIE که در فوریه ۲۰۱۸ شناسایی شده، استفاده شده است. در حملات گروه OilRig، قابلیتهای OopsIE مشابه نسخههای قبلی این تروجان است، اما برخی قابلیتهای مقابله با تحلیل و شناسایی ماشین مجازی در آن بهکار گرفته شده است تا سیستمهای دفاعی خودکار دور زده شوند. پژوهشگران Palo Alto Networks، در جولای ۲۰۱۸ موجی از حملات گروه OilRig را گزارش کردند که با کمک ابزاری به نام QUADAGENT، یک آژانس دولتی مستقر در خاورمیانه را مورد هدف قرار داده بود. در این حملات ایمیلهای فیشینگی از آدرسهای به سرقت رفته از سازمان مورد هدف مشاهده شد که به جای
QUADAGENT، تروجان OopsIE بهعنوان بدنه در آنها منتقل شده است. موضوع ایمیلها با زبان عربی نوشته شده که حاصل ترجمه آن عبارت «آموزش مدیریت مداوم کسبوکار» است. با توجه به بررسیهای انجام شده، گروههای مورد هدف شامل افرادی هستند که اسناد و مقالاتی را بهصورت عمومی در موضوع مدیریت مداوم کسبوکار منتشر کردهاند. تروجان OopsIE حملات خود را با اجرای چندین عملگر ضدتحلیل و سندباکس آغاز میکند. تروجان عملگرهای بررسی فن پردازنده، بررسی دما، بررسی نشانهگر ماوس، بررسی دیسک سخت، بررسی مادربورد، بررسی Sandboxie DLL، بررسی VBox DLL، بررسی VMware DLL، بررسی منطقه زمانی (که اطمینان حاصل شود منطقه زمانی قربانی در مناطق خاورمیانه (UTC+۲)، عربی (UTC+۳)، ایران (UTC+۳,۵) و ... باشد و بررسی تعامل انسان را اجرا میکند. در صورتی که بررسیها مطابق پارامترهای تعیین شده در بدافزار نباشد، تروجان بدون انجام فعالیتی خارج میشود. تروجان OopsIE منتقل شده در این حملات دارای قابلیتهای مشابه نسخه قبلی این بدافزار است. تشابه اصلی استفاده از فعالیتهای زمانبندی شده برای اجرای دستورات بهصورت پایدار در سیستم است. همچنین فرآیند کلی ارتباط با سرور C&C نیز مشابه نسخه قبلی است.
علاوهبر این، مشابه نسخه قبلی، تروجان استفاده شده در این حمله نیز از اشیای مرورگر اینترنت اکسپلورر برای دریافت دستورها استفاده میکند. با این حال، چند تفاوت نیز بین این نسخه و نسخه قبلی مشاهده میشود. در نگاه اول، در این نسخه تعداد زیادی از رشتهها مبهمسازی شدهاند. مورد دیگر، تکنیکهای مقابله با محیطهای تحلیل است. برخی تفاوتهای جزئی نیز در کد نسخه جدید مشاهده شده است. یک تفاوت بارز در مقایسه با نسخه قبلی، نحوه نمایش آدرس سرور C&C است که در این نسخه آدرس سرورها یا پارامترهای موجود در آنها معکوس شدهاند، به این صورت که chk به khc، what به tahw و resp به pser تبدیل شده است. در نهایت باید اشاره کرد که گروه OilRig همچنان یک تهدید فعال در منطقه خاورمیانه است. این گروه در تلاش است تا در عین حال که از تکنیکهای مشابه و تکراری استفاده میکند، ابزارهای خود را توسعه دهد و به آنها قابلیتهای بیشتری را اضافه کند.
ارسال نظر