IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

بدافزار جدید ماژولار Deadglyph و حمله به سازمان‌های دولتی خاورمیانه

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian.ir new stealthy and modular deadglyph malware used in govt attacks 1
یک بدافزار جدید و پیچیده backdoor به نام "Deadglyph" در حمله جاسوسی سایبری علیه سازمان‌های دولتی در خاورمیانه مورد استفاده قرار گرفت.

بدافزار Deadglyph به گروه Stealth Falcon APT (معروف به Project Raven یا FruityArmor) که یک گروه هک دولتی از امارات متحده عربی است، نسبت داده می‌شود.

این گروه هکر تقریبا یک دهه است که به دلیل هدف قرار دادن فعالان، روزنامه‌نگاران و مخالفان شناخته شده است.

در گزارش جدیدی که در کنفرانس امنیت سایبری LABScon منتشر شد، محقق ESET، فیلیپ جورساکو، تجزیه‌و‌تحلیل بدافزار ماژولار جدید و نحوه آلوده کردن آن به‌دستگاه‌های ویندوز را منتشر کرد.

حملات ددگلیف (Deadglyph)
‌مجموعه ESET آگاهی و اطلاعی در مورد نحوه آلودگی اولیه ندارد، اما گمان می‌رود که از یک فایل اجرایی مخرب که احتمالا یک نصب کننده برنامه می‌باشد، استفاده شده است.

با‌این‌حال، ESET بیشتر اجزای زنجیره آلودگی را به‌دست آورد تا تصویری از نحوه عملکرد بدافزار و تلاش برای فرار از شناسایی ترسیم و ارائه کند.

زنجیره بارگذاری Deadglyph با یک لودر شل‌کُد رجیستری (DLL) آغاز می‌شود که کد را از رجیستری ویندوز استخراج می‌کند تا کامپوننت Executor (x64) را بارگیری کند، که به نوبه خود کامپوننت Orchestrator (.NET) را بارگذاری می‌کند.

فقط کامپوننت اولیه روی دیسک سیستم در معرض خطر به‌عنوان یک فایل DLL وجود دارد که احتمال شناسایی را به حداقل می‌رساند.

مجموعه ESET می‌گوید که لودر شل‌کد را از رجیستری ویندوز بارگیری می‌کند، که برای چالش‌برانگیزتر کردن و سخت‌تر کردن آنالیز، رمزگذاری شده است.

همانطور که کامپوننت DLL در سیستم فایل ذخیره می‌شود، احتمال شناسایی آن بیشتر است. به همین دلیل، عوامل تهدید از یک حمله homoglyph در منبع VERSIONINFO با استفاده از کاراکتر‌های یونانی و سیریلیک متمایز یونیکد استفاده کردند تا اطلاعات مایکروسافت را تقلید کنند و در ظاهر و قالب فایل قانونی ویندوز ظاهر شوند.

گزارش ESET توضیح می‌دهد: "ما یک حمله هموگلیف مشابه شرکت مایکروسافت را در این منبع VERSIONINFO و سایر اجزای PE مشاهده کردیم. این‌روش از کاراکتر‌های یونیکد متمایز استفاده می‌کند که از نظر بصری مشابه به نظر می‌رسند، اما در این مورد با کاراکتر‌های اصلی یکسان نیستند، به‌ویژه حرف بزرگ یونانی San (U+03FA، Ϻ) و حرف کوچک سیریلیک O (U+043E، о) در Ϻicrоsоft Corporation.

کامپوننت Executor پیکربندی‌های رمزگذاری شده با AES را برای backdoor بارگیری می‌کند، زمان اجرا دات نت را روی سیستم راه اندازی می‌کند، بخش NET. مرتبط با backdoor را بارگیری می‌کند و به‌عنوان لایبرری آن عمل می‌نماید.

در‌نهایت، ارکستراتور مسئول ارتباطات سرور command-and-control (C2) است که از دو ماژول برای موارد "Timer" و "Network" استفاده می‌کند.

اگر backdoor نتواند پس از مدت مشخصی با سرور C2 ارتباط برقرار کند، مکانیزم حذف خود را برای جلوگیری از تجزیه‌و‌تحلیل آن توسط محققان و کارشناسان امنیت سایبری راه اندازی می‌کند.

takian.ir new stealthy and modular deadglyph malware used in govt attacks 2بدافزار ماژولار
‌بدافزار Deadglyph ماژولار است، به این معنی که ماژول‌های جدیدی را از C2 دانلود می‌کند که حاوی shellcode‌های متفاوتی هستند تا توسط کامپوننت Executor اجرا شوند.

استفاده از یک رویکرد ماژولار به عوامل تهدید اجازه می‌دهد تا ماژول‌های جدیدی را در صورت لزوم برای سفارشی کردن حملات ایجاد کنند، که سپس می‌توانند برای انجام عملکرد‌های مخرب اضافی به قربانیان تحمیل شوند.

این ماژول‌ها دارای API‌های Windows و API‌های Executor سفارشی هستند که دومی ٣٩ عملکرد را ارائه می‌کند که انجام عملیات فایل، بارگذاری فایل‌های اجرایی، دسترسی به جعل توکن و انجام رمزگذاری و هش کردن را ممکن می‌سازد.

شرکت ESET بر این باور است که ٩ تا ١٤ ماژول مختلف وجود دارد، اما تنها توانسته است که به سه ماژول دست پیدا کند: یک سازنده فرآیند، یک جمع‌آوری کننده اطلاعات و یک فایل‌خوان.

گردآورنده اطلاعات از کوئری‌های WMI برای تغذیه ارکستراتور با اطلاعات زیر در مورد سیستم در معرض خطر استفاده می‌کند:

• سیستم عامل
• آداپتور‌های شبکه
• نرم‌افزار نصب شده
• درایو‌ها
• سرویس‌ها
• درایور‌ها
• فرآیند‌ها
• کاربران
• متغیر‌های محیطی
• نرم‌افزار امنیتی

ابزار Process creator، ابزاری برای اجرای دستور است که دستورات مشخص شده را به‌عنوان یک فرآیند جدید اجرا می‌کند و نتیجه را به ارکستراتور می‌دهد.

ماژول فایل‌خوان محتوای فایل‌ها را می‌خواند و آن را به ارکستراتور ارسال می‌کند، در‌حالی‌که به اپراتور‌ها این امکان را می‌دهد که فایل را پس از خواندن، حذف کنند.

اگرچه ESET تنها توانست تنها بخش کوچکی از قابلیت‌های بدافزار را آشکار کند، اما واضح است که Deadglyph Stealth Falcon یک تهدید بزرگ است.

بدون اطلاعات دقیق در مورد آلودگی اولیه، ارائه استراتژی‌های دفاعی خاص در برابر این بدافزار غیرممکن است.

در حال حاضر، مدافعان سایبری تنها می‌توانند به IoC‌های موجود منتشر شده در گزارش کمپانی ESET اعتماد کنند.

برچسب ها: UAE, امارات متحده عربی, Orchestrator, VERSIONINFO, Deadglyph Stealth Falcon, Executor, homoglyph, Modular, Stealth Falcon, Project Raven, FruityArmor, Deadglyph, Cyberspionage, Spyware, ماژولار, ESET, دات نت, APT, Shellcode, malware, Cyber Security, جاسوسی سایبری, backdoor, امنیت سایبری, جنگ سایبری, Cyber Attacks, حمله سایبری, news

نوشته شده توسط تیم خبر.

چاپ ایمیل