بدافزار BazarBackdoor بجای استفاده از پیامهای ایمیل فریبدهنده (Phishing) همیشگی، اکنون از فرمهای تماس در سایتهای سازمانی بهعنوان ابزاری برای انتشار استفاده میکند تا از شناسایی شدن توسط محصولات امنیتی نیز در امان بماند.
در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه گردیده بدافزار مذکور مورد بررسی قرار گرفته است.
BazarBackdoor از نوع بدافزارهای “مخفیشونده” (stealth) است که دسترسی غیرمجاز (backdoor) به سیستم قربانی را فراهم میکند. این بدافزار در گذشته توسط گروه TrickBot ایجاد شده و در کارزارهای موسوم به “فریب سایبری” یا “فیشینگ” (Phishing) مورد استفاده قرار میگرفت. اکنون بدافزار BazarBackdoor توسط گردانندگان باجافزار Conti در حال توسعه است.
این بدافزار امکان دسترسی راه دور به یک دستگاه در شبکه قربانی را برای گردانندگان بدافزار فراهم میکند تا به عنوان یک سکوی پرتاب، آلودگی را به دستگاههای مجاور (Lateral Movement) در شبکه گسترش دهند.
بدافزار BazarBackdoor معمولاً از طریق پیامهای ایمیل فیشینگ که حاوی پیوست مخرب هستند، انتشار مییابد. کاربر فریب خورده با اجرای فایل مخرب پیوست، باعث دریافت و اجرای بدافزار میشود. اما از آنجایی که امروزه محصولات امنیتی بهبود چشمگیری یافتهاند و ایمیلها را جهت شناسایی این بدافزارها بررسی مینمایند، منتشرکنندگان بدافزار به سراغ روشهای جدیدی رفتهاند.
در کارزار جدیدی که از آذر ماه امسال شروع شده، کاربران سازمانی مورد هدف بدافزار BazarBackdoor قرار گرفتهاند و بدافزار سعی در اجرای ابزار Cobalt Strike و یا فایلهای مخرب خود دارد. Cobalt Strike یک ابزار تست نفوذ است که مورد سوءاستفاده مهاجمان و نفوذگران سایبری جهت توزیع کدهای بدافزاری خود در سطح شبکه نیز قرار میگیرد.
در این کارزرار، به جای ارسال مستقیم ایمیلهای فیشینگ به اهداف مورد نظر، BazarBackdoor از فرمهای تماس سایتهای سازمانی برای ایجاد ارتباط اولیه با کاربران سازمانی استفاده میکند.
به عنوان نمونه در یک مورد مشاهده گردید که مهاجمان در قالب کارمندان یک شرکت ساختمانی کانادایی ظاهر شدند و درخواستی را برای استعلام قیمت محصول ارسال کردند. پس از اینکه کارمند مربوطه به ایمیل فیشینگ مهاجمان پاسخ داد، مهاجمان در پاسخ یک فایل ISO مخرب را که ظاهراً مربوط به مذاکرات خرید بود، ارسال نمودند. از آنجایی که ارسال مستقیم این فایلها غیرممکن است و منجر به هشدار محصولات امنیتی میشود، همانطور که در تصویر زیر نشان داده شده مهاجمان از خدمات اشتراکگذاری فایل نظیر TransferNow و WeTransfer استفاده کرده بودند.
فایل پیوست و فشرده شده ISO حاوی یک فایل lnk. و یک فایل log. است. هدف از بستهبندی کدهای مخرب در فایل فشرده، ترغیب کاربر به استخراج دستی آنها پس از دانلود، دور زدن محصولات ضدویروس و شناسایی نشدن فایلهای مخرب است. فایل lnk. حاوی فرمانی است که یک پنجره Terminal باز میکند و فایل log. را که در واقع فایل DLL بدافزار BazarBackdoor است را بارگذاری میکند.
هنگامی که بخش Backdoor بدافزار بارگیری میشود، به فرآیند svchost.exe تزریق شده و با سرور کنترل و فرماندهی (Command and Control – به اختصار C2) ارتباط برقرار میکند تا فرامین را برای اجرا دریافت کند.
به دلیل آفلاین بودن بسیاری از نشانیهای IP مربوط به سرورهای کنترل و فرماندهی در زمان تحلیل حمله توسط محققان، آنها نتوانستند کد بدافزاری و مخرب مرحله دوم را بازیابی کنند، بنابراین هدف نهایی این کارزار همچنان ناشناخته باقی مانده است.
منبع: