بر اساس گزارشی که شرکت پالوآلتو نتورکز آن را منتشر کرده گروه APT28 در کارزاری هرزنامهای در حال آلودهسازی سازمانهای دولتی در آمریکای شمالی، اروپا و یکی از کشورهای عضو سابق اتحاد جماهیر شوروی به بدافزاری با نام Cannon است.
در کارزار جدید با استفاده از تکنیک مهندسی اجتماعی این طور وانمود شده که موضوع هرزنامه ارسالی مربوط به حادثه پرواز ۶۱۰ لایِنایر بوده و نام فایل پیوست ایمیل با نام crash list (Lion Air Boeing 737).docx نیز فهرست قربانیان این حادثه را در ذهن تداعی میکند.
پیوست هرزنامههای مذکور فایلی Word است که یک Template حاوی ماکرو را بهصورت از راه دور فراخوانی میکند.
مهاجمان APT28 در کارزار اخیر، بجای فراخوانی کد مخرب مورد نظر خود در هنگام باز شدن فایل Word، با استفاده از تابعی با نام AutoClose اجرای آن را به زمان بسته شدن فایل موکول میکنند. روشی غیرمتداول که در عمل بسیاری از بسترهای موسوم به “قرنطینه امن” (Sandbox) را در شناسایی این بدافزار ناتوان میسازد.
نقش Cannon برقراری ارتباط با مهاجمان از طریق ایمیل بهمنظور دریافت کدهای مخرب دیگر است.
به گزارش شرکت مهندسی شبکه گستر، اگر چه تماس با مهاجمان از طریق ایمیل اتفاقی جدید و غیرعادی تلقی نمیشود اما قطعا نمیتوان آن را همرده با پودمانهای پراستفاده HTTP و HTTPS که اکثر بدافزارها از آنها برای برقراری ارتباط با سرور فرماندهی خود استفاده میکنند قرار داد. یکی از مزایای بکارگیری ایمیل نزد مهاجمان، کاهش شانس شناسایی شدن ارتباطات بدافزار توسط محصولات امنیتی است.
Cannon پس از ماندگار کردن خود بر روی دستگاه و ایجاد یک شناسه منحصربهفرد از آن، اقدام به جمعآوری اطلاعاتی در خصوص سیستم و تصویربرداری از Desktop کاربر میکند.
در ادامه، اطلاعات استخراجشده را از طریق سه حساب ایمیل که بر روی یک سرویسدهنده با نام Seznam در کشور چک میزبانی شده به مهاجمان ارسال میکند. مقصد پیامهای ارسالی sahro.bella7[at]post.cz اعلام شده است. عملیات ارسال نیز در بستر پودمان SMTPS و بر روی درگاه TCP 587 صورت میپذیرد.
همچنین Cannon قادر است تا با ورود به حسابهای ایمیل مبتنی بر POP3 به پیوستها دسترسی یافته و نسبت به دریافت آنها اقدام کند. با استفاده از همین قابلیت، مهاجمان کدهای مخرب خود را به ایمیل trala.cosh2[at]post.cz و با عنوان شناسه منحصربهفرد دستگاه که پیشتر توسط Cannon به آنها ارسال شده بود پیوست می کنند تا این بدافزار پس از ورود به حساب ایمیل مذکور – از طریق پودمان POP3 – آنها را دریافت و بر روی دستگاه قربانی به اجرا در آورد.
بسیاری از کارشناسان امنیتی گروه نفوذگران APT28 که با نامهای زیر نیز شناخته میشود را وابسته به دولت روسیه میدانند:
- Sofacy
- Grizzly Steppe
- Fancy Bear
- STRONTIUM
- Sednit
- Tsar Team
- Pawn Storm
مشروح گزارش پالوآلتو نتورکز در اینجا قابل دریافت و مطالعه است.