فرم‌ تماس در سایت‌ها، وسیله انتشار BazarBackdoor

بدافزار BazarBackdoor بجای استفاده از پیام‌های ایمیل فریب‌دهنده (Phishing) همیشگی، اکنون از فرم‌های تماس در سایت‌های سازمانی به‌عنوان ابزاری برای انتشار استفاده می‌کند تا از شناسایی شدن توسط محصولات امنیتی نیز در امان بماند.

در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه گردیده بدافزار مذکور مورد بررسی قرار گرفته است.

BazarBackdoor از نوع بدافزارهای “مخفی‌شونده” (stealth) است که دسترسی غیرمجاز (backdoor) به سیستم قربانی را فراهم می‌کند. این بدافزار در گذشته توسط گروه TrickBot ایجاد شده و در کارزارهای موسوم به “فریب سایبری” یا “فیشینگ” (Phishing) مورد استفاده قرار می‌گرفت. اکنون بدافزار BazarBackdoor توسط گردانندگان باج‌افزار Conti در حال توسعه است.

این بدافزار امکان دسترسی راه دور به یک دستگاه در شبکه قربانی را برای گردانندگان بدافزار فراهم می‌کند تا به عنوان یک سکوی پرتاب، آلودگی را به دستگاه‌های مجاور (Lateral Movement) در شبکه گسترش دهند.

بدافزار BazarBackdoor معمولاً از طریق پیام‌های ایمیل فیشینگ که حاوی پیوست مخرب هستند، انتشار می‌یابد. کاربر فریب خورده با اجرای فایل مخرب پیوست، باعث دریافت و اجرای بدافزار می‌شود. اما از آنجایی که امروزه محصولات امنیتی بهبود چشمگیری یافته‌اند و ایمیل‌ها را جهت شناسایی این بدافزارها بررسی می‌نمایند، منتشرکنندگان بدافزار به سراغ روش‌های جدیدی رفته‌اند.

در کارزار جدیدی که از آذر ماه امسال شروع شده، کاربران سازمانی مورد هدف بدافزار BazarBackdoor قرار گرفته‌اند و بدافزار سعی در اجرای ابزار Cobalt Strike و یا فایل‌های مخرب خود دارد. Cobalt Strike یک ابزار تست نفوذ است که مورد سوءاستفاده مهاجمان و نفوذگران سایبری جهت توزیع کدهای بدافزاری خود در سطح شبکه نیز قرار می‌گیرد.

در این کارزرار، به جای ارسال مستقیم ایمیل‌های فیشینگ به اهداف مورد نظر، BazarBackdoor از فرم‌های تماس سایت‌های سازمانی برای ایجاد ارتباط اولیه با کاربران سازمانی استفاده می‌کند.

به عنوان نمونه در یک مورد مشاهده گردید که مهاجمان در قالب کارمندان یک شرکت ساختمانی کانادایی ظاهر شدند و درخواستی را برای استعلام قیمت محصول ارسال کردند. پس از اینکه کارمند مربوطه به ایمیل فیشینگ مهاجمان پاسخ داد، مهاجمان در پاسخ یک فایل ISO مخرب را که ظاهراً مربوط به مذاکرات خرید بود، ارسال نمودند. از آنجایی که ارسال مستقیم این فایل‌ها غیرممکن است و منجر به هشدار محصولات امنیتی می‌شود، همانطور که در تصویر زیر نشان داده شده مهاجمان از خدمات اشتراک‌گذاری فایل نظیر TransferNow و WeTransfer استفاده کرده بودند.

فایل پیوست و فشرده شده ISO حاوی یک فایل lnk. و یک فایل log. است. هدف از بسته‌بندی کدهای مخرب در فایل فشرده، ترغیب کاربر به استخراج دستی آنها پس از دانلود، دور زدن محصولات ضدویروس و شناسایی نشدن فایل‌های مخرب است. فایل lnk. حاوی فرمانی است که یک پنجره Terminal باز می‌کند و فایل log. را که در واقع فایل DLL بدافزار BazarBackdoor  است را بارگذاری می‌کند.

هنگامی که بخش Backdoor بدافزار بارگیری می‌شود، به فرآیند svchost.exe تزریق شده و با سرور کنترل و فرمان‌دهی (Command and Control – به اختصار C2) ارتباط برقرار می‌کند تا فرامین را برای اجرا دریافت کند.

به دلیل آفلاین بودن بسیاری از نشانی‌های IP مربوط به سرورهای کنترل و فرمان‌دهی در زمان تحلیل حمله توسط محققان، آنها نتوانستند کد بدافزاری و مخرب مرحله دوم را بازیابی کنند، بنابراین هدف نهایی این کارزار همچنان ناشناخته باقی مانده است.

 

منبع:

https://www.bleepingcomputer.com/news/security/corporate-website-contact-forms-used-to-spread-bazarbackdoor-malware/

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *