جاسوسی دربپشتی Outlook، از طربق فایلهای PDF
در حالی که در حملات سرقت اطلاعات، پس از آلوده شدن دستگاه قربانی به جاسوسافزار، تبادل دادهها با مهاجمان از طریق سرورهای تحت کنترل آنها موسوم به Command and Control صورت میگیرد، دربپشتی مورد استفاده گروه Turla از روشی کاملاً غیرمتداول و البته بسیار خلاقانه برای این منظور بهره میگیرد.
بر اساس بررسیهای انجام شده توسط محققان شرکت ضدویروس ایست، مهاجمان این گروه، برای ارسال فرامین خود به دربپشتی، بجای سرورهای Command and Control، ایمیلهایی با پیوست فایل PDF را به نشانی ایمیل قربانی ارسال میکنند.
به گفته این محققان، گروه Turla حداقل از سال 2013 میلادی بهنحوی از تکنیک مذکور بهره برده است.
در جدیدترین نمونه، دربپشتی در قالب یک فایل DLL پس از نصب بر روی دستگاه قربانی اقدام به برقراری ارتباط با نرمافزارهای مدیریت ایمیل Microsoft Outlook و !The Bat میکند. همچنین در این نمونه، برای ماندگاری، از روش تسخیر COMو(COM Object Hijacking) استفاده شده که در نتیجه آن، فایل DLL در زمان اجرای COM توسط Outlook – معمولا در زمان باز شدن نرمافزار – بهصورت خودکار فراخوانی میشود.
برای دسترسی به صندوق ایمیل قربانی نیز پودمان Messaging Application Programming Interface – به اختصار MAPI – به کار گرفته شده است.
در ادامه، مهاجمان با ارسال فایلهای PDF حاوی فرامین از قبل تعریف شده برای دربپشتی اقدامات مورد نظر خود را بهصورت از راه دور بر روی دستگاه به اجرا در میآورند.
ارسال اطلاعات از روی دستگاه قربانی به مهاجمان نیز به روشی مشابه انجام میشود. بدین ترتیب که دربپشتی پس از استخراج دادههای مورد درخواست مهاجمان از روی دستگاه، آنها را در یک فایل PDF جاسازی کرده و همانند یک ایمیل عادی ارسال میکند.
برای مخفی نمودن این تبادلاتی ایمیلی از دید کاربر، درب پشتی، پیامهای ارسالی و دریافتی را از صندوق ایمیل کاربر حذف میکند. هر چند که ممکن است برای چند ثانیه پیامی توسط Outlook ظاهر گردیده و به کاربر دریافت ایمیل جدید اطلاعرسانی شود اما حتی اگر کاربر متوجه موضوع شده و به نرمافزار مدیریت کننده ایمیل خود سربزند اثری از آن ایمیل پیدا نخواهد کرد.
به گزارش شرکت مهندسی شبکه گستر، برخی نهادها و شرکتهای امنیتی، Turla را – که با نام Snake نیز شناخته میشود – گروهی مرتبط با سازمانهای اطلاعاتی روسیه میدانند. این گروه حداقل از سال 2008 فعال بوده است.
مشروح گزارش محققان ایست با عنوان “Turla Outlook Backdoor, Analysis of an unusual Turla backdoor” در لینک زیر قابل دریافت و مطالعه است:
