اخبار داخلی

حمله‌ی گروه روسی apt28 به آمریکا

حمله‌ی گروه روسی apt28 به آمریکا


با استفاده از اسناد مایکروسافتی

گروه APT28 یک گروه جاسوسی روسی میباشد. APT28 در سال ۲۰۱۷ اقدام به حملهای نمود که در آن از روش DDE (Dynamic Data Exchange) بهرهبرداری شده بود. در واقع DDE روشی است که اجازه میدهد برخی از برنامههای کاربردی مایکروسافت که از حافظه مشترک استفاده میکنند، با یکدیگر ارتباط داشته باشند. یکی از این برنامهها که از این ویژگی بهره میبرد Microsoft Word میباشد. مهاجمین با بهرهبرداری ازروش DDE توانستند بدون فعال کردن ماکرو، کدهای مخرب دلخواهشان را بر روی سیستم قربانی از طریق یک سند آلوده اجرا نمایند.

گروه APT28 که به عنوان Fancy Bear هم شناخته میشود از روشهای مختلفی در حملات خود استفاده کرده‌است . در حملهی اخیر خود بر ضد امریکا که در شهر نیویورک رخ داد، یک سند خالی در قالب Word برای قربانی ارسال شد. نحوه‌ی حمله به این صورت می‌باشد:

به محض اینکه قربانی این سند را باز مینماید، سند آلوده با سرور C2اش ارتباط برقرار می‌کند. بعد از این مرحله بدافزار Seduploader بر روی سیستم قربانی بارگذاری میشود ومهاجمان به روند مخربانهی خود ادامه میدهند. دامنهای که برای انتشار این بدافزار مورد استفاده قرار گرفت، تنها ۱۱ روز قبل از ایجاد این بدافزار ساخته شده بود.

  • مشخصات سندی که در این پست مورد تحلیل قرار گرفته است عبارت است از:
  • نام سند: IsisAttackInNewYork.docx
  • ۱c6c700ceebfbe799e115582665105caa03c5c9e :Sha1
  • تاریخ ساخت: ۲۰۱۷-۱۰-۲۷T22:23:00Z

این سند از روش DDE که در محصولات Office برای دستیابی به پاورشل از طریق CMD مورد استفاده قرار میگیرد، بهره میبرد. این سند دو دستور را راهاندازی مینماید:

  • دستوردوم یک دستور رمز شدهی Base64 میباشدکه به صورت یک فایل config.txt از سرور دریافت میشود. روند رمزگشایی این فایل به صورت زیر میباشد.

سپس پاورشل اسکریپت از طریق URL زیر اقدام به بارگذاری Seduploader مینماید:

       hxxp://netmediaresources[.]com/media/resource/vms.dll

نمونه‌ای از این بدافزار را تحلیل کرده‌ایم که مشخصات آن را می‌توانید مشاهده نمایید:
نام فایل: vms.dll
Sha1: 4bc722a9b0492a50bd86a1341f02c74c0d773db7
تاریخ راه‌اندازی: ۲۰۱۷-۱۰-۳۱ ۲۰:۱۱:۱۰
سرور C2: webviewres[.]net
سند آلوده همان‌طور که گفتیم ابتدا نسخه‌ای از Seduploader را در سیستم قربانی بارگذاری می‌نماید. این کار در واقع شروع حمله محسوب می‌گردد. مهاجمین با این اقدام سعی در شناخت قربانی از طریق این بدافزار دارند. با اطلاعات پایه‌ای که این بدافزار جمع‌آوری می‌نماید مهاجمین ارزش سیستمی که آلوده کرده‌اند را بررسی می‌نماید و اگر مورد تاییدشان بود کار را ادامه می‌دهند. سپس X-Agent را نصب می‌کنند و مابقی اعمال مخربانه‌ی خود را انجام می‌دهند.

نتیجه‌گیری

متخصصین امنیتی معتقد هستند گروه APT28 یکی از تهدیدات امنیتی محسوب می‌گردد. این گروه در حال کار کردن بر روی بهره‌برداری‌های جدید است و تنها بر روی روش‌هایی که قبلا در حملاتش استفاده کرده است نمانده است. متخصصین احتمال می‌دهند این گروه در حملات بعدی خود به جای استفاده از اسکریپت‌های VBA از روش DDE برای دور زدن راهکارهای امنیتی استفاده کند. در آخرتمایل و توانایی این گروه به سو‌استفاده از جغرافیای سیاسی بایستی مورد توجه متخصصین قرار گیرد.

آرمان داده پویان تامین کننده برترین تجهیزات و راهکارهای امنیتی


تازه ترین ها