بدافزارها

تروجان Spark
۱۷ اردیبهشت ۱۳۹۹

تروجان Spark

به تازگی محققان دریافتند که شش کشور با رایانامه‌های spear-phishing مورد هدف قرار گرفته اند که شامل یک بدافزار مخرب است. هشت سازمان مرتبط با این کشورها شامل سازمان های دولتی، مخابراتی، بیمه و خرده فروشی می باشند. حمله با یک روش معمولی spear-phishing آغاز شده و قربانیان را ترغیب میکند تا محتوا را فعال و ماکرو را اجرا کنند. کد مخرب در فایل های Word و PDF قرار دارد که با کلیک کردن کاربر بر روی تصاویر یا پیوندها اجرا می شود. قسمت زیادی از این کد مخرب مرتبط با یک backdoor به نام Spark می باشد و از آنجایی که Spark از سال ۲۰۱۷ توسط Molerats استفاده می‌شده است به نظر می‌رسد که استفاده دوباره از آن گزینه اصلی مهاجمان بوده است. هرچند که به نظر می رسد کدهای جدیدتر نسبت به نسخه های قدیمی متفاوت باشند از آنجایی که نسخه های فعلی نیاز به تعامل با سرور از راه دور را دارند.

در سه ماهه پایانی سال ۲۰۱۹ نیز تیم امنیت سایبری Unit42 حملات فیشینگ گسترده‌ای که توسط گروه Molerats بر ضد ۸ سازمان‌های دولتی در ۶ کشور دنیا سازمان‌دهی شده بود را رصد کردند. الگوی این حملات، بسیار عجیب و شبیه هیچ‌کدام از حملاتی که تاکنون اتفاق افتاده بود نبود. روش مهندسی اجتماعی بکار رفته در این حملات شامل رایانامه‌های فیشینگ حاوی پیوست‌های مخرب بودند که قربانیان را وادار به انجام مجموعه‌ای از اقدامات ناخواسته از جمله فعال‌سازی ماکروی جاسازی شده در اسناد آلوده و یا کلیک بر روی لینک‌های حاوی سرآیندهای مخرب می‌کردند. این سرآیندهای مخرب در واقع همان تروجان Spark بودند که به مهاجمین اجازه اجرای دستورات مخرب بر روی سیستم قربانیان را می‌داد.

در ادامه خلاصه‌ای از تحلیل‌های صورت گرفته توسط Unit42 بر روی چند مورد از اسناد مخرب مورد استفاده در این حملات با اسامی MOFA را ملاحظه می‌کنید. جدول زیر جزئیات رایانامه‌ها و سازمان‌های مورد هدف در این حملات را نشان می‌دهد.

تاریخ عنوان پیوست SHA256 کشور بخش
۱۰/۲/۲۰۱۹ MOFA reports 03-10-2019 MOFA- 031019.doc d19104ef4f443e8.. AE دولتی
۱۰/۳/۲۰۱۹ ۰۳-۱۰-۲۰۱۹ MOFA- 031019.doc d19104ef4f443e8.. UK,ES دولتی
۱۰/۵/۲۰۱۹ ۰۶-۱۰-۲۰۱۹ MOFA- 061019.doc ۰۳be1d7e1071b01.. AE دولتی
۱۰/۱۰/۲۰۱۹ MOFA Reports MOFA- 101019.doc ۰۱۱ba7f9b4c508f..

ddf938508618ff7..

US بیمه
۱۰/۳۱/۲۰۱۹ لعناية معاليكم – المرفق ۳۱-۱۰-۲۰۱۹ attachment.doc eaf2ba0d78c0fda.. DJ Telecom
۱۱/۲/۲۰۱۹ لعناية معاليكم – المرفق ۳۱-۱۰-۲۰۱۹ attachment.doc eaf2ba0d78c0fda.. DJ مخابرات
۱۱/۱۸/۲۰۱۹

صورك

مع هبة

Pictures.pdf ۹d6ce7c585609b8.. ES دولتی
۱۱/۲۴/۲۰۱۹ مخطط الجهاد الاسلامي لمباغتة اسرائيل وضرب التهدئة Urgent.docx ۲۷۳aa20c4857d98.. DJ مخابرات
۱۲/۹/۲۰۱۹ محضر اجتماع قيادة المخابرات العامة مع وفد حركة حماس ۰۹-۱۲-۲۰۱۹ Urgent.docx ۲۷۳aa20c4857d98.. DJ مخابرات

در اینجا به بررسی فایل تحلیل شده با نام MOFA- 061019.doc و با مشخصه هش زیر می‌پردازیم:

SHA256: 03be1d7e1071b018d3fbc6496788fd7234b0bb6d3614bec5b482f3bf95aeb506

هنگام باز کردن اولین فایل که با رمز [email protected] محافظت شده است، ظاهراً تصویر موجود در سند مایکروسافت ورد برای قربانی قابل نمایش نمی‌باشد.

https://unit42.paloaltonetworks.com/wp-content/uploads/2020/03/word-image-9.png

به محض کلیک بر روی Enable Content، ماکروی حاوی VBScript که درون سند جاسازی شده است، اجرا شده و در مسیر C:\programdata\Micorsoft\Microsoft.vbs قرار می‌گیرد. این ماکرو برای دریافت اسکریپت دوم با سرور کنترل و فرمان (C2) بدافزار در دامنه servicebios[.]com ارتباط می‌گیرد. سپس اسکریپت دوم، سرآیند (Payload) تروجان را از آدرس https://servicebios[.]com/PlayerVLC.vbs بارگذاری کرده و در مسیر C:\ProgramData\PlayerVLC.vbs قرار می‌دهد.

در ادامه، اسکریپت اول برای پایداری در سیستم قربانی، با استفاده از دستور زیر، یک وظیفه تعریف کرده و در بازه‌های زمانی یک دقیقه، اسکریپت دوم را مرتب اجرا می‌کند.

schtasks /create /sc minute /mo 1 /tn PlayerVLC /F /tr C:\ProgramData\PlayerVLC.vbs

سپس اسکریپت دوم سعی می‌کند تا فایل اجرایی تروجان را از آدرس https://servicebios[.]com/PlayerVLC.msi دانلود و در مسیر C:\ProgramData\PlayerVLC.msi ذخیره کند. پس از دانلود این فایل، اسکریپت دوم با استفاده از دستور زیر در خط فرمان ویندوز، به فرآیند msiexec.exe خاتمه داده و با دستور ping به مدت دو ثانیه قبل از اجرای دوباره فرآیند msiexec.exe برای شروع دانلود فایل PlayerVLC.msi به حالت Sleep تغییر حالت پیدا می‌کند.

تکنیک‌های بکار رفته در تروجان Spark در واقع زنجیره‌ای از ارتباطات با سرور کنترل و فرمان بدافزار را نشان می‌دهد که برای یک حمله موفقیت‌آمیز مورد نیاز می‌باشد که مشابه آن قبلاً در حملات منتسب به گروه‌های سایبری DarkHydrus و Sofacy دیده شده است. اغلب ارتباطات و زیرساخت‌های مورد استفاده در حملات این چنینی با ردیابی دامنه‌ها و آدرس‌های آی‌پی به سادگی قابل استخراج می‌باشند. نمودار زیر ارتباطات مرتبط با دامنه servicebios[.]com که با استفاده از کوئری‌های AutoFocus و الگوهای Yara استخراج شده است را نشان می‌دهد.

بر اساس تحقیقات صورت گرفته توسط Unit42، تروجان Spark توسط گروه سایبری Molerats از اوایل سال ۲۰۱۷ مورد بهره‌برداری قرار گرفته و عامل اصلی حملات در کمپینی موسوم به Operation Parliament که توسط کسپرسکی گزارش شد، می‌باشد. این بدافزار دستورات لازم را از طریق یک فایل JSON و با استفاده از درخواست‌های HTTP با متد POST از سرور فرمان و کنترل (C2) خود دریافت می‌کند. در اکثر موارد، فایل اجرایی بدافزار برای جلوگیری از شناسایی و تحلیل، با استفاده از Enigma protector، Themida و VMProtect مبهم‌سازی می‌گردد. بر اساس تحقیقات گروه Unit42 تاکنون دو نسخه مختلف از تروجان Spark شناسایی شده که نسخه اول (۲٫۲) در سال ۲۰۱۷ و نسخه دوم (۴٫۲) در اواخر دسامبر ۲۰۱۹ ساخته شده است. جدول زیر نسخه‌های مختلف این بدافزار به همراه نوع بسته‌بند (packer) مورد استفاده در سرآیند آن را نشان می‌دهد.

Truncated SHA256 Version Compiled Packer
۹۶۶ad6452793b15.. ۲٫۲ ۲۰۱۷-۰۵-۲۴ ۶:۱۵:۰۴ VMProtect
ab4e43b4e526d44.. ۲٫۲ ۲۰۱۷-۰۵-۲۴ ۶:۱۵:۰۴ VMProtect
۲۱۲aa6e3f236550.. ۲٫۲ ۲۰۱۷-۰۵-۲۴ ۶:۱۵:۰۴ VMProtect
cf32479ed30ae95.. ۴٫۲ ۲۰۱۹-۱۲-۳۰ ۹:۴۵:۴۴ none
d0dc1de0ae912c7.. ۴٫۲ ۲۰۲۰-۰۱-۱۲ ۱۰:۵۷:۵۰ Enigma
۰۴fa6aaea5e3a26.. ۴٫۲ ۲۰۲۰-۰۱-۱۲ ۱۰:۵۷:۵۰ Enigma
۶e60f5c65299ee7.. ۴٫۲ ۲۰۲۰-۰۱-۱۲ ۱۰:۵۷:۵۰ Enigma
b08b8fddb9dd940.. ۴٫۲ ۲۰۲۰-۰۱-۱۲ ۱۰:۵۷:۵۰ Enigma
۶۴ea1f1e0352f3d.. ۴٫۲ ۲۰۲۰-۰۱-۱۲ ۱۰:۵۷:۵۰ Enigma

همانطور که اشاره شد بر اساس یافته‌های گروه Unit42 تروجان Spark از سال ۲۰۱۷ در حملات مختلف مورد استفاده قرار گرفته است.

بررسی فایل Pictures.pdf مورد استفاده در حمله نوامبر ۲۰۱۹

مهاجمین برای مبهم‌سازی این فایل از Enigma protector استفاده کرده و درون آن از قابلیتی به نام           “Splash Screen” استفاده کرده‌اند که قبل از اجرای فایل مخرب، بر روی دسکتاپ قربانی نمایش داده می‌شود. این پوشش در واقع تکنیکی برای گریز از مکانیزم سندباکس ویندوز ۱۰ می‌باشد که با کلیک کاربر بر روی آن فعال می‌شود.

https://unit42.paloaltonetworks.com/wp-content/uploads/2020/03/word-image-13.png

در ادامه، بدافزار به بررسی Layout صفحه‌کلید قربانی پرداخته و در صورت یافتن زبان عربی (واژه arabic) اجرا خواهد شد. سپس عملیات رمزگشایی کلید کد شده با انکدینگ Base64 که خود توسط الگوریتم XOR رمزگذاری شده است، آغاز می‌شود. سپس رشته نهایی که با الگوریتم DES رمزشده است، توسط کلید دیکود شده استخراج می‌گردد. این همان فایل JSON است که مسئول انتقال دستورات از/به سرور کنترل و فرمان بدافزار می‌باشد.

در حین ارتباط با سرور کنترل و فرمان، بدافزار اطلاعاتی از قبیل hostname و شناسه (UUID) سیستم قربانی را از طریق اجرای دستورات زیر در محیط CMD جمع‌آوری کرده و و با طی کردن حلقه‌ای از ارتباطات رمزگذاری شده فرآیند ارسال و دریافت دستورات را تکمیل می‌کند.

  1. wmic csproduct get UUID | more +1 | cmd /q /v:on /c “set/p .=&echo(!.!”
  2. Hostname
  3. echo %username%

مقایسه نسخه‌های ۲۰۱۹ و ۲۰۲۰

در نسخه‌های مربوط به ژانویه ۲۰۱۹ بدافزار Spark، نمونه فایل‌های آلوده حاوی سرآیندِ جاسازی شده درون فایل بودند که برای اجرا نیاز به سرور راه دور (C2) داشتند. اما در نسخه‌های مشاهده شده در اکتبر و نوامبر ۲۰۱۹ و همچنین ژانوایه ۲۰۲۰، بدافزار سعی در بارگذاری VBScript بر روی سیستم قربانی و سپس دانلود سرآیند اجرایی بدافزار دارد. تفاوت دیگر این نمونه‌ها در کتابخانه‌های مورد استفاده توسط بدافزار و همچنین شیوه بکارگیری ماکرو، الگوریتم‌های رمزنگاری و … می‌باشد. جدول زیر مقایسه بین این نمونه‌ها را به خوبی نشان می‌دهد.

Feature Jan. 2019 Spark Nov. 2019 Spark (Pictures.pdf) Oct. and Nov. 2019 “attachment.doc” and Jan. 2020 “The Spark Campaign”
Dropper None Compiled AutoIt script Compiled AutoIt script
HTTP Library SFML cURL 7.56.0-DEV elnormous’ HTTPRequest
Configuration Structure msgpack version 1 JSON for Modern C++ v2.1.1 JSON for Modern C++ v3.7.0
Payload Packer Enigma Virtual Box Enigma (5.X) Enigma (5.X)
Cipher used AES on ciphertext Rolling XOR on key and ciphertext + 3DES on ciphertext Rolling XOR on key and ciphertext + custom AES decrypting 16-byte chunks of ciphertext
Encrypted data Configuration, Names for C2 comms, Commands to gather system information Configuration, Names for C2 comms, Commands to gather system information Configuration, Names for C2 comms
Persistence Scheduled task LNK Shortcut in @StartupDir Scheduled task, Copied executable in @StartupDir

نتیجه‌گیری

همانطور که در ابتدا اشاره شد گروه سایبری Molerats مسئول حمله به ۸ سازمان دولتی مختلف در ۶ کشور دنیا در بازه زمانی اکتبر تا دسامبر ۲۰۱۹ می‌باشد. این گروه به جای سوءاستفاده از آسیب‌پذیری نرم‌افزارها از رایانامه‌های فیشینگ حاوی اسناد Word و PDF و روش‌های مهندسی اجتماعی برای پیشبرد این حملات استفاده کردند. بدافزار  Spark در این حملات مورد استفاده قرار گرفت و برای بهره‌گیری از ارتباطات با سرور کنترل و فرمان، به مرور توسط این تیم توسعه داده شد.

آرمان داده پویان نمایندگی رسمی کسپرسکی در ایران

برای کسب اطلاعات بیشتر با ما تماس بگیرید


تازه ترین ها