استفاه از Gmail برای تبادل اطلاعات با مهاجمان

گروه Turla نسخه جدیدی از درب‌پشتی ComRAT را عرضه کرده که مهاجمان را قادر می‌سازد تا از طریق رابط کاربری Gmail اقدام به تبادل اطلاعات با بدافزار نصب شده بر روی دستگاه قربانی کنند.

Turla گروهی منسوب به مهاجمان روسی است که بیش از یک‌دهه از ظهور آن می‌گذرد. این گروه که با نام‌های Waterbug،و Snake و VENOMOUS BEAR نیز شناخته می‌شود اجرای کارزارهای فیشینگ هدفمند (Spear-phishing) برای رخنه به سفارتخانه‌ها و سازمان‌های نظامی را در کارنامه دارد.

ComRAT یکی از قدیمی‌ترین بدافزارهای درب‌پشتی (Backdoor) مورد استفاده گروه Turla است.

بر اساس گزارشی که شرکت ای‌ست آن را منتشر کرده نسخه جدید ComRAT می‌تواند پس از استقرار بر روی دستگاه، از طریق رابط کاربری تحت وب Gmail فرامین را از مهاجمان دریافت و داده‌های استخراج شده را به همین طریق به مهاجمان ارسال کند.

به گزارش شرکت مهندسی شبکه گستر، بدین‌منظور، درب‌پشتی ComRAT با استفاده از کوکی‌های ذخیره شده در پیکربندی‌های آن به رابط کاربری Gmail متصل شده و در صورت وجود ایمیلی با عناوین خاص، پیوست آن را دریافت و سپس برای عدم پردازش مجدد ایمیل، آن را حذف می‌کند. پیوست ایمیل‌های دریافتی اگر چه docx و xlsx گزارش شده اما در حقیقت فایل‌هایی رمزگذاری شده حاوی فرامین مهاجمان هستند.

ComRAT نیز نتایج اجرای فرامین را رمزگذاری کرده و در فایلی با پسوند “jpg.bfe.” آن را به یک نشانی ایمیل خاص ارسال می‌کند.

به گفته ای‌ست، آخرین نسخه ComRAT کاملاً متفاوت از نسخ ابتدایی آن بوده و بر پایه کدی متفاوت و البته پیچیده توسعه داده شده  است.

از جمله وظایف ComRAT سرقت داده‌های حساسی همچون اطلاعات اصالت‌سنجی و بانک‌های داده سرورهایی نظیر SQL Server و همچنین نصب بدافزارهای دیگر مورد نظر مهاجمان است.

نمونه‌ای از فرامین اجرا شده بر روی سرور یکی از قربانیان برای استخراج اطلاعات از بانک داده SQL در تصویر زیر قابل مشاهده است.

به گفته این شرکت ضدویروس، حداقل سه سازمان مورد حمله این درب‌پشتی قرار گرفته که از این تعداد دو مورد دستگاه‌های متعلق به وزارت خارجه کشورهایی در اروپای شرقی و یک مورد نیز مربوط به شبکه یک مجلس ملی در محدوده قفقاز بوده است.

نکته قابل توجه در خصوص این تکنیک جدید گروه Turla (بهره‌گیری از Gmail به عنوان سرور فرماندهی)، عدم استفاده از پودمان‌هایی همچون HTTP و DNS برای برقراری ارتباط با دامنه‌های مشکوکی است که به‌سادگی مورد توجه راهبران امنیتی قرار می‌گیرند. در حالی که در ترفند جدید آنچه در دیواره آتش ثبت می‌شود برقراری ارتباط با نشانی mail.google.com است.

لازم به ذکر است که ComRAT به زبان ++C نوشته شده و از طریق بدافزارهایی همچون PowerStallion که یک درب‌پشتی مبتنی بر PowerShell است به دستگاه راه می‌یابد. PowerStallion در گروه بدافزارهای “بدون فایل” (Fileless) دسته‌بندی می‌شود.

مشروح گزارش ای‌ست در لینک زیر قابل دریافت و مطالعه است:

https://www.welivesecurity.com/2020/05/26/agentbtz-comratv4-ten-year-journey/

علاوه بر ضدویروس به‌روز و قدرتمند، فعالسازی قابلیت شناسایی بدافزارهای موسوم به “بدون فایل” در این محصولات – نظیر AMSI و Exploit Prevention در محصولات مک‌آفی و Fileless Attack Protection در محصولات بیت‌دیفندر – نقشی اساسی در ایمن ماندن از گزند این نوع تهدیدات پیشرفته دارد.

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *