OilRig که بسیاری منابع آن را گروهی متشکل از هکرهای ایرانی حرفهای میدانند در جدیدترین کارزار خود افراد رده بالای یکی از دولتها در منطقه خاورمیانه را هدف قرار داده است.
این گروه که با نامهای زیر نیز شناخته میشود جاسوسی از سازمان های مالی، هوافضا، زیرساختی، دولتی و تحقیقاتی را در کارنامه خود دارد.
- Charming Kitten
- Helix Kitten
- Newscaster
- Newsbeef
بر اساس مقالهای که شرکت امنیتی پالوآلتو نتورکز آن را منتشر کرده، OilRig در کارزار جدید خود از نسخهای ارتقا یافته از بدافزار BondUpdater بهره گرفته است. BondUpdater بدافزاری از نوع Fileless و مبتنی بر PowerShell است که نخستین بار در اواسط نوامبر 2017 توسط شرکت آمریکایی فایرآی شناسایی شد.
به گزارش شرکت مهندسی شبکه گستر، روش رخنه به اهداف – در نمونه اخیر، افراد رده بالای دولت یکی از کشورهای خاورمیانه – ارسال ایمیلهای فیشینگ اعلام شده است.
پیوست این ایمیلها، فایلی Word با محتوای جذاب و مرتبط با فعالیت فرد هدف قرار گرفته شده است که در آن یک ماکروی مخرب تزریق شده است.
با اجرای ماکرو، از طریق کد زیر، یک فرمان زمانبندی شده (Scheduled Task) بر روی دستگاه ایجاد میشود.
- cmd.exe /C schtasks /create /F /sc minute /mo 1 /tn “\WindowsAppPool\AppPool” /tr “wscript /b “C:\ProgramData\WindowsAppPool\AppPool.vbs””
وظیفه فرمان، فراخوانی BondUpdater – از طریق پورسه PowerShell -، هر یکدقیقه یکبار و در حقیقت مکانیزمی برای ماندگاری بدافزار بر روی دستگاه است.
BondUpdater مجهز به قابلیتی موسوم به دربپشتی (Backdoor) است که مهاجمان را قادر میسازد تا اطلاعات استخراج شده از روی دستگاه را از طریق فرامین مورد نظر خود جمعآوری و یا از BondUpdater بهمنظور اجرای فایلهای دیگر بر روی دستگاه استفاده کنند.
بررسی محققان پالوآلتو نتورکز، همچنین نشان میدهد که بدافزار بر اساس نویسههای درج شده در نام فایل، نسبت به هر فایل دریافت شده از سرور فرماندهی واکنش نشان میدهد. برای مثال در صورت وجود نویسه 0 در نام فایل، BondUpdater محتوای فایل دریافتی را از طریق پروسه معتبر cmd.exe اجرا میکند.
همانند بسیاری دیگر از ابزارهای مورد استفاده گروه OilRig، این بدافزار نیز از ارتباطات موسوم به DNS Tunneling برای تبادل اطلاعات با سرورهای فرماندهی خود استفاده میکند. نسخه جدید BondUpdater، توانایی بهرهجویی از رکوردهای TXT و A را در سرورهای DNS دارا میباشد.
از این رکوردها در سرورهای DNS بهمنظور تسهیل فرآیند برگردان نشانیهای IP استفاده میشود. برای مثال رکوردهای A حاوی نشانی IP ماشینها و دامنههای قابل دسترس بر روی اینترنت هستند. رکوردهای TXT نیز حاوی دادههایی همچون اطلاعاتی در خصوص سرور، مرکز داده و مواردی از این دست میباشند. اما مهاجمان با بهرهگیری از این رکوردها از آنها برای ثبت فرامین و اطلاعات مورد نظر خود و انتقال آنها به دستگاه آلوده یا سرور فرماندهی بهره میگیرند. از آنجا که پودمان ارتباطی از نوع DNS است عملا بسیاری از دیوارههای آتش آنها را امن تلقی کرده و نسبت به آنها واکنشی نشان نمیدهند.
پالوآلتو نتورکز اشارهای به نام کشوری که هدف کارزار اخیر OilRig قرار گرفته نکرده است.
حدود دو هفته پیش نیز محققان از شناسایی کارزاری با عنوان Domestic Kitten خبر داد که در جریان آن گروه OilRig در حملهای کاملا هدفمند موفق به جاسوسی از بیش از 200 نفر از اهداف خود شده است.
مشروح گزارش پالوآلتو نتورکز در لینک زیر قابل دریافت و مطالعه است: