جاسوسی هکرهای ایرانی از مقامات یکی از کشورهای خاورمیانه

OilRig که بسیاری منابع آن را گروهی متشکل از هکرهای ایرانی حرفه‌ای می‌دانند در جدیدترین کارزار خود افراد رده بالای یکی از دولت‌ها در منطقه خاورمیانه را هدف قرار داده است.

این گروه که با نام‌های زیر نیز شناخته می‌شود جاسوسی از سازمان های مالی، هوافضا، زیرساختی، دولتی و تحقیقاتی را در کارنامه خود دارد.

• Charming Kitten
• Helix Kitten
• Newscaster
• Newsbeef

بر اساس مقاله‌ای که شرکت امنیتی پالوآلتو نت‌ورکز آن را منتشر کرده، OilRig در کارزار جدید خود از نسخه‌ای ارتقا یافته از بدافزار BondUpdater بهره گرفته است. BondUpdater بدافزاری از نوع Fileless و مبتنی بر PowerShell است که نخستین بار در اواسط نوامبر 2017 توسط شرکت آمریکایی فایرآی شناسایی شد.

به گزارش شرکت مهندسی شبکه گستر، روش رخنه به اهداف – در نمونه اخیر، افراد رده بالای دولت یکی از کشورهای خاورمیانه – ارسال ایمیل‌های فیشینگ اعلام شده است.

پیوست این ایمیل‌ها، فایلی Word با محتوای جذاب و مرتبط با فعالیت فرد هدف قرار گرفته شده است که در آن یک ماکروی مخرب تزریق شده است.

با اجرای ماکرو، از طریق کد زیر، یک فرمان زمانبندی شده (Scheduled Task) بر روی دستگاه ایجاد می‌شود.

• cmd.exe /C schtasks /create /F /sc minute /mo 1 /tn “\WindowsAppPool\AppPool” /tr “wscript /b “C:\ProgramData\WindowsAppPool\AppPool.vbs””

وظیفه فرمان، فراخوانی BondUpdater – از طریق پورسه PowerShell -، هر یک‌دقیقه یک‌بار و در حقیقت مکانیزمی برای ماندگاری بدافزار بر روی دستگاه است.

BondUpdater مجهز به قابلیتی موسوم به درب‌پشتی (Backdoor) است که مهاجمان را قادر می‌سازد تا اطلاعات استخراج شده از روی دستگاه را از طریق فرامین مورد نظر خود جمع‌آوری و یا از BondUpdater به‌منظور اجرای فایل‌های دیگر بر روی دستگاه استفاده کنند.

بررسی محققان پالوآلتو نت‌ورکز، همچنین نشان می‌دهد که بدافزار بر اساس نویسه‌های درج شده در نام فایل، نسبت به هر فایل دریافت شده از سرور فرماندهی واکنش نشان می‌دهد. برای مثال در صورت وجود نویسه 0 در نام فایل، BondUpdater محتوای فایل دریافتی را از طریق پروسه معتبر cmd.exe اجرا می‌کند.

همانند بسیاری دیگر از ابزارهای مورد استفاده گروه OilRig، این بدافزار نیز از ارتباطات موسوم به DNS Tunneling برای تبادل اطلاعات با سرورهای فرماندهی خود استفاده میکند. نسخه جدید BondUpdater، توانایی بهره‌جویی از رکوردهای TXT و A را در سرورهای DNS دارا می‌باشد.

از این رکوردها در سرورهای DNS به‌منظور تسهیل فرآیند برگردان نشانی‌های IP استفاده می‌شود. برای مثال رکوردهای A حاوی نشانی IP ماشین‌ها و دامنه‌های قابل دسترس بر روی اینترنت هستند. رکوردهای TXT نیز حاوی داده‌هایی همچون اطلاعاتی در خصوص سرور، مرکز داده و مواردی از این دست می‌باشند. اما مهاجمان با بهره‌گیری از این رکوردها از آنها برای ثبت فرامین و اطلاعات مورد نظر خود و انتقال آنها به دستگاه آلوده یا سرور فرماندهی بهره می‌گیرند. از آنجا که پودمان ارتباطی از نوع DNS است عملا بسیاری از دیواره‌های آتش آنها را امن تلقی کرده و نسبت به آنها واکنشی نشان نمی‌دهند.

پالوآلتو نت‌ورکز اشاره‌ای به نام کشوری که هدف کارزار اخیر OilRig قرار گرفته نکرده است.

حدود دو هفته پیش نیز محققان از شناسایی کارزاری با عنوان Domestic Kitten خبر داد که در جریان آن گروه OilRig در حمله‌ای کاملا هدفمند موفق به جاسوسی از بیش از 200 نفر از اهداف خود شده است.

مشروح گزارش پالوآلتو نت‌ورکز در لینک زیر قابل دریافت و مطالعه است:

• https://researchcenter.paloaltonetworks.com/2018/09/unit42-oilrig-uses-updated-bondupdater-target-middle-eastern-government/