نماد سایت اتاق خبر شبکه گستر

پنهان‌نگاری؛ تکنیک جدید ObliqueRAT

بررسی محققان سیسکو نشان می‌دهد مهاجمان از تصاویر در ظاهر بی‌خطری که در سایت‌های هک‌شده تزریق شده‌اند در فرایند انتشار نسخ جدید ObliqueRAT بهره می‌گیرند.

در ادامه این مطلب که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه شده چکیده‌ای از یافته‌های این محققان ارائه است.

ObliqueRAT بدافزاری از نوع Remote Access Trojan – به اختصار RAT – است که نخستین نسخه از آن یک سال قبل شناسایی شد.

نسخ ابتدایی آن دارای عملکرد معمول بدافزارهای RAT نظیر سرقت داده‌ها و متوقف‌سازی برخی پروسه‌ها بودند.

با گذشت زمان و استمرار در ظهور نسخ جدید، این بدافزار مجهز به قابلیت‌های فنی پیشرفته و توانایی انتشار با روش‌های مختلف شد.

 

 

یکی از روش‌های انتشار ObliqueRAT ایمیل‌های فیشینگ ناقل اسناد Office است. در اسناد مذکور ماکرویی (Macros) مخرب تزریق شده که اجرای آن موجب آلوده شدن دستگاه به ObliqueRAT می‌شود.

در حالی که تا مدتی پیش ObliqueRAT مستقیماً توسط ماکرو توزیع می‌شد در نسخ اخیر این بدافزار از سایت‌های هک‌شده به‌عنوان واسط (احتمالاً برای عبور از سد کنترل‌ها و پویشگرهای امنیتی ایمیل) استفاده می‌شود.

همچنین در نسخ جدید از تکنیک پنهان‌نگاری (Steganography) بهره گرفته شده است. بدین‌صورت که کد مخرب ObliqueRAT در فایل‌های تصویری BMP و در میان داده‌های معتبر آنها درج شده است.

 

 

مهاجمان فایل BMP آلوده را در سایت‌های هک شده تزریق می‌کنند تا ماکرو در زمان اجرا، آن را دریافت و پس از استخراج کد مخرب، ObliqueRAT را بر روی دستگاه قربانی فراخوانی کند.

ObliqueRAT قادر به شناسایی بسترهای موسوم به Sandbox است؛ بسترهایی که عمدتاً توسط محققان بدافزار به‌منظور مهندسی معکوس و تحلیل کد مورد استفاده قرار می‌گیرند. از جمله آن‌که در صورت فعال بودن هر یک از پروسه‌های زیر، اجرای خود را متوقف می‌کند:

 

ida64

ProcessHacker

python

Procmon

procexp

vmacthlp

ollydbg

Autoruns

VGAuthService

LordPE

pestudio

vmtoolsd

Fiddler

Wireshark

TPAutoConnSvc

CFF Explorer

dumpcap

ftnlsv

sample

TSVNCache

ftscanmgrhv

vboxservice

dnSpy

vmwsprrdpwks

vboxtray

ConEmu

usbarbitrator

ida64

010Editor

horizon_client_service

 

در نسخ اخیر ObliqueRAT بدافزار از اجرای بر روی سیستم‌هایی که نام دستگاه یا نام کاربری آنها یکی از موارد زیر است نیز خودداری می‌کند:

 

virlab

roslyn

15pb

beginer

vince

7man2

beginner

test

stella

markos

sample

f4kh9od

semims

mcafee

willcarter

gregory

vmscan

biluta

tom-pc

mallab

ehwalker

will carter

abby

hong lee

angelica

elvis

joe cage

eric johns

wilbert

jonathan

john ca

joe smith

kindsight

lebron james

hanspeter

malware

rats-pc

johnson

peter miller

robot

placehole

petermiller

serena

tequila

phil

sofynia

paggy sue

rapit

straz

klone

r0b0t

bea-ch

oliver

cuckoo

 

stevens

vm-pc

 

ieuser

analyze

 

ObliqueRAT می‌تواند با دریافت فرامین زیر از سرور فرماندهی (C2) خود اقدام به اجرای اموری همچون تصویربرداری از طریق دوربین دستگاه و جاسوسی از فعالیت‌های کاربر و اطلاعات او کند:

 

COMMAND CODE = “WES” ; WEBCAM SCREENSHOT

COMMAND CODE = “SSS” ; DESKTOP SCREENSHOT

COMMAND CODE = “PIZZ” COMMAND DATA=<FILENAME> & <ZIP_FILE_NAME>

COMMAND CODE = “PLIT” COMMAND DATA=<TARGET FILEPATH>

 

برخی منابع ارتباط ObliqueRAT با کارزارهای ناقل CrimsonRAT و گروه Transparent Tribe APT را که حمله به سفارت‌های هند در عربستان سعودی و قزاقستان را در کارنامه دارد محتمل دانسته‌اند. زیرساخت‌های سروهای C2 آن نیز اشتراکاتی با کارزارهای RevengeRAT دارد.

مشروح گزارش سیسکو در خصوص ObliqueRAT در لینک زیر قابل دریافت و مطالعه است:

https://blog.talosintelligence.com/2021/02/obliquerat-new-campaign.html

خروج از نسخه موبایل