دیپلمات‌ها؛ هدف BackdoorDiplomacy

ای‌ست (ESET) در گزارشی به بررسی بدافزار یک گروه APT پرداخته که به گفته این شرکت حداقل از سال 2017 دیپلمات‌ها را در نقاط مختلف جهان از جمله کشورهایی در آفریقا و خاورمیانه هدف قرار می‌داده است.

این گروه که از آن با عنوان BackdoorDiplomacy یاد شده، از بدافزاری سفارشی با نام Turian برای آلوده‌سازی اهداف خود بهره می‌گرفته است.

در این مطلب که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه شده چکیده‌ای از یافته‌های ای‌ست ارائه شده است.

به نظر می‌رسد اصلی‌ترین روش نفوذ اولیه BackdoorDiplomacy، در هر دو بستر Windows و Linux، سوءاستفاده از آسیب‌پذیری سرویس‌ای قابل دسترس بر روی اینترنت است. چنانچه سرورهای وب یا واسط‌های مدیریت شبکه‌ای قربانی به دلیل وجود ضعف امنیتی نرم‌افزاری یا عدم مقاوم‌سازی صحیح آسیب‌پذیر تشخیص داده شوند، این مهاجمان اقدام به اجرای حمله می‌کنند.

در یکی از موارد، مهاجمان از آسیب‌پذیری CVE-2020-5902 در F5 برای توزیع یک درب‌پشتی Linux استفاده کرده بودند. یا در نمونه‌ای دیگر مهاجمان از باگ‌های امنیتی Exchange برای توزیع China Chopper Webshell بهره برده بودند.

به‌محض فراهم شدن دسترسی اولیه، مهاجمان اقدام به پوش دستگاه‌ها برای گسترش دامنه آلودگی می‌کنند. در ادامه نیز با نصب Turian و توزیع مجموعه‌ای از ابزارها، فعالیت کاربران قربانی را تحت رصد قرار داده و در نهایت داده‌ها را سرقت می‌کنند.

 

 

فهرست ابزارهای مورد استفاده در جریان انتشار BackdoorDiplomacy به‌شرح زیر گزارش شده است:

  • EarthWorm که یک تونل شبکه‌ای ساده مبتنی بر SOCKS v5 است؛
  • Mimikatz و نسخ مختلف ابزارهای مبتنی بر آن از جمله SafetyKatz؛
  • Nbtscan که یک پویشگر خط‌فرمان NetBIOS برای Windows است؛
  • NetCat که یک ابزار شبکه‌ای برای خواندن و نوشتن داده‌ها در بستر ارتباطات شبکه‌ای است؛
  • PortQry که برای شناسایی دستگاه‌های آسیب‌پذیر به EternalBlue مورد استفاده قرار می‌گیرد.

ضمن آنکه از ابزارهای مختلف ShadowBrokers شامل موارد زیر نیز بهره گرفته شده است:

  • DoublePulsar
  • EternalBlue
  • EternalRocks
  • EternalSynergy

همچنین مهاجمان از VMProtect برای مبهم‌سازی (Obfuscation) کدها و ابزارها استفاده کرده‌اند.

از دیگر فعالیت‌های مخرب BackdoorDiplomacy می‌توان به پویش حافظه‌های USB Flash متصل به دستگاه و در ادامه ارسال تمامی فایل‌های آنها به سرور فرماندهی (C2) در قالب یک فایل فشرده حاوی رمز عبور (Password-protected Archive) اشاره کرد.

اصلی‌ترین قابلیت Turian استخراج داده‌ها از روی دستگاه، تصویربرداری از فعالیت‌های کاربر و رونویسی، حذف/انتقال و سرقت فایل‌هاست.

بررسی‌ها نشان می‌دهد Turian بر پایه Quarian توسعه داده شده است. از Quarian در سال 2013 برای اجرای حمله سایبری بر ضد دیپلمات‌های سوری و آمریکایی استفاده شده بود.

 

روش رمزگذاری بکار گرفته شده توسط BackdoorDiplomacy بسیار مشابه با درب پشتی Whitebird است که گروه Calypso در سال‌های 2017 تا 2020 از آن برای حمله به دیپلمات‌های قزاقستان و قرقیزستان استفاده کرده بود. ضمن آن که شباهت‌هایی نیز با گروه CloudComputating/Platinum که حمله به دیپلمات‌ها، دولت‌ها و سازمان‌های نظامی در آسیا را در کارنامه دارد مشاهده می‌شود. تشابهاتی نیز در سازوکار و کدنویسی گروه‌های Rehashed Rat و MirageFox/APT15گزارش شده است.

به گفته ای‌ست، BackdoorDiplomacy، موفق به حمله به وزارت خارجه کشورهایی در آفریقا، آسیا و اروپا، چند شرکت فعال در حوزه مخابرات در آفریقا و خاورمیانه و یک نهاد خیریه در عربستان سعودی شده است.

 

 

کمتر از دو هفته قبل نیز محققان امنیتی در گزارش زیر از شناسایی یک درب‌پشتی نو با نام VictoryDll_x86.dll خبر داد که مهاجمان چینی از آن برای نفوذ به وزارت‌ خارجه کشورهایی در جنوب شرق آسیا استفاده کرده بودند:

https://research.checkpoint.com/2021/chinese-apt-group-targets-southeast-asian-government-with-previously-unknown-backdoor/

مشروح گزارش ای‌ست در لینک زیر قابل مطالعه است:

https://www.welivesecurity.com/2021/06/10/backdoordiplomacy-upgrading-quarian-turian/

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *