مهاجمان با تزریق کد مخرب به سرویس معتبر Windows Error Reporting – به اختصار WER – اقدام به اجرای حملات موسوم به “بدون فایل” (Fileless) کردهاند.
این نخستین بار نیست که تاکتیک بهرهجویی (Exploit) از سرویس WER مورد استفاده مهاجمان قرار میگیرد و پیشتر نیز در باجافزار Cerber و بدافزار NetWire RAT گزارش شده بود.
در حمله اخیر که شرکت ملوربایتز آن را گزارش کرده مهاجمان با هک یک سایت از آن برای میزبانی کد مخرب بهره گرفتهاند. در ادامه نیز ضمن بکارگیری چندین تکنیک ضدتحلیل از CactusTorch Framework بهمنظور اجرای حمله بهصورت “بدون فایل” استفاده کردهاند.
به گزارش شرکت مهندسی شبکه گستر، ملوربایتز این حمله را اولین بار در 27 شهریور در حین بررسی ایمیلهای فیشینگ با پیوست یک فایل فشرده ZIP کشف کرد.
در فایل مذکور سندی به چشم میخورد که در آن یک ماکروی مخرب که نسخهای سفارشی شده از ماژول CactusTorch است لحاظ شده بود.
بهمحض باز شدن سند و فعال شدن ماکرو، کد موسوم به Shellcode دریافت شده و در ادامه کدی مبتنی بر NET. مستقیما در حافظه Windows فراخوانی میشود.
پس از آن بدون کپی شدن هر گونه فایل بر روی دیسک سخت دستگاه قربانی، Shellcode در پروسه سرویس WER (فایل WerFault.exe) تزریق میشود.
در ابتدا رشته اجرایی (Thread) سرویس جدید با چندین سازوکار ضدتحلیل اطمینان حاصل میکند که بر روی یک ماشین مجازی، سندباکس و بهطور کلی بسترهای مورد استفاده محققان و تحلیلگران بدافزار اجرا نشده باشد. در غیر این صورت اجرای خود را متوقف میکند.
بعد از آن، Shellcode نهایی در رشته اجرایی WER رمزگشایی و اجرا میشود که این خود موجب اجرا در یک رشته اجرایی جدید میگردد.
در نهایت، کد نهایی بدافزار نیز که در فایلی با نام favicon32.ico بر روی asia-kotoba[.]net میزبانی شده دریافت و در یک پروسه جدید تزریق میشود.
با توجه به از دسترس خارج شدن URL مذکور، شرکت ملوربایتز موفق به دستیابی به کد نهایی نشده است.
دامنهای که از آن برای میزبانی پیوستهای ایمیلهای فیشینگ استفاده شده (yourrighttocompensation[.]com) در شهر هوشیمین ویتنام ثبت شده است. به همین بخاطر اجرای حمله توسط گروه ویتنامی APT32 محتمل دانسته شده است. این گروه حمله مؤسسات تحقیقاتی، سازمانهای حامی حقوق بشر و رسانهها در کشورهای مختلف را در کارنامه دارد.
مشروح گزارش ملوربایتز در لینک زیر قابل مطالعه است:
https://blog.malwarebytes.com/malwarebytes-news/2020/10/kraken-attack-abuses-wer-service/