تروجان Spark
به تازگی محققان دریافتند که شش کشور با رایانامههای spear-phishing مورد هدف قرار گرفته اند که شامل یک بدافزار مخرب است. هشت سازمان مرتبط با این کشورها شامل سازمان های دولتی، مخابراتی، بیمه و خرده فروشی می باشند. حمله با یک روش معمولی spear-phishing آغاز شده و قربانیان را ترغیب میکند تا محتوا را فعال و ماکرو را اجرا کنند. کد مخرب در فایل های Word و PDF قرار دارد که با کلیک کردن کاربر بر روی تصاویر یا پیوندها اجرا می شود. قسمت زیادی از این کد مخرب مرتبط با یک backdoor به نام Spark می باشد و از آنجایی که Spark از سال ۲۰۱۷ توسط Molerats استفاده میشده است به نظر میرسد که استفاده دوباره از آن گزینه اصلی مهاجمان بوده است. هرچند که به نظر می رسد کدهای جدیدتر نسبت به نسخه های قدیمی متفاوت باشند از آنجایی که نسخه های فعلی نیاز به تعامل با سرور از راه دور را دارند.
در سه ماهه پایانی سال ۲۰۱۹ نیز تیم امنیت سایبری Unit42 حملات فیشینگ گستردهای که توسط گروه Molerats بر ضد ۸ سازمانهای دولتی در ۶ کشور دنیا سازماندهی شده بود را رصد کردند. الگوی این حملات، بسیار عجیب و شبیه هیچکدام از حملاتی که تاکنون اتفاق افتاده بود نبود. روش مهندسی اجتماعی بکار رفته در این حملات شامل رایانامههای فیشینگ حاوی پیوستهای مخرب بودند که قربانیان را وادار به انجام مجموعهای از اقدامات ناخواسته از جمله فعالسازی ماکروی جاسازی شده در اسناد آلوده و یا کلیک بر روی لینکهای حاوی سرآیندهای مخرب میکردند. این سرآیندهای مخرب در واقع همان تروجان Spark بودند که به مهاجمین اجازه اجرای دستورات مخرب بر روی سیستم قربانیان را میداد.
در ادامه خلاصهای از تحلیلهای صورت گرفته توسط Unit42 بر روی چند مورد از اسناد مخرب مورد استفاده در این حملات با اسامی MOFA را ملاحظه میکنید. جدول زیر جزئیات رایانامهها و سازمانهای مورد هدف در این حملات را نشان میدهد.
تاریخ | عنوان | پیوست | SHA256 | کشور | بخش |
۱۰/۲/۲۰۱۹ | MOFA reports 03-10-2019 | MOFA- 031019.doc | d19104ef4f443e8.. | AE | دولتی |
۱۰/۳/۲۰۱۹ | ۰۳-۱۰-۲۰۱۹ | MOFA- 031019.doc | d19104ef4f443e8.. | UK,ES | دولتی |
۱۰/۵/۲۰۱۹ | ۰۶-۱۰-۲۰۱۹ | MOFA- 061019.doc | ۰۳be1d7e1071b01.. | AE | دولتی |
۱۰/۱۰/۲۰۱۹ | MOFA Reports | MOFA- 101019.doc | ۰۱۱ba7f9b4c508f..
ddf938508618ff7.. |
US | بیمه |
۱۰/۳۱/۲۰۱۹ | لعناية معاليكم – المرفق ۳۱-۱۰-۲۰۱۹ | attachment.doc | eaf2ba0d78c0fda.. | DJ | Telecom |
۱۱/۲/۲۰۱۹ | لعناية معاليكم – المرفق ۳۱-۱۰-۲۰۱۹ | attachment.doc | eaf2ba0d78c0fda.. | DJ | مخابرات |
۱۱/۱۸/۲۰۱۹ |
صورك مع هبة |
Pictures.pdf | ۹d6ce7c585609b8.. | ES | دولتی |
۱۱/۲۴/۲۰۱۹ | مخطط الجهاد الاسلامي لمباغتة اسرائيل وضرب التهدئة | Urgent.docx | ۲۷۳aa20c4857d98.. | DJ | مخابرات |
۱۲/۹/۲۰۱۹ | محضر اجتماع قيادة المخابرات العامة مع وفد حركة حماس ۰۹-۱۲-۲۰۱۹ | Urgent.docx | ۲۷۳aa20c4857d98.. | DJ | مخابرات |
در اینجا به بررسی فایل تحلیل شده با نام MOFA- 061019.doc و با مشخصه هش زیر میپردازیم:
SHA256: 03be1d7e1071b018d3fbc6496788fd7234b0bb6d3614bec5b482f3bf95aeb506
هنگام باز کردن اولین فایل که با رمز [email protected] محافظت شده است، ظاهراً تصویر موجود در سند مایکروسافت ورد برای قربانی قابل نمایش نمیباشد.
https://unit42.paloaltonetworks.com/wp-content/uploads/2020/03/word-image-9.png
به محض کلیک بر روی Enable Content، ماکروی حاوی VBScript که درون سند جاسازی شده است، اجرا شده و در مسیر C:\programdata\Micorsoft\Microsoft.vbs قرار میگیرد. این ماکرو برای دریافت اسکریپت دوم با سرور کنترل و فرمان (C2) بدافزار در دامنه servicebios[.]com ارتباط میگیرد. سپس اسکریپت دوم، سرآیند (Payload) تروجان را از آدرس https://servicebios[.]com/PlayerVLC.vbs بارگذاری کرده و در مسیر C:\ProgramData\PlayerVLC.vbs قرار میدهد.
در ادامه، اسکریپت اول برای پایداری در سیستم قربانی، با استفاده از دستور زیر، یک وظیفه تعریف کرده و در بازههای زمانی یک دقیقه، اسکریپت دوم را مرتب اجرا میکند.
schtasks /create /sc minute /mo 1 /tn PlayerVLC /F /tr C:\ProgramData\PlayerVLC.vbs
سپس اسکریپت دوم سعی میکند تا فایل اجرایی تروجان را از آدرس https://servicebios[.]com/PlayerVLC.msi دانلود و در مسیر C:\ProgramData\PlayerVLC.msi ذخیره کند. پس از دانلود این فایل، اسکریپت دوم با استفاده از دستور زیر در خط فرمان ویندوز، به فرآیند msiexec.exe خاتمه داده و با دستور ping به مدت دو ثانیه قبل از اجرای دوباره فرآیند msiexec.exe برای شروع دانلود فایل PlayerVLC.msi به حالت Sleep تغییر حالت پیدا میکند.
تکنیکهای بکار رفته در تروجان Spark در واقع زنجیرهای از ارتباطات با سرور کنترل و فرمان بدافزار را نشان میدهد که برای یک حمله موفقیتآمیز مورد نیاز میباشد که مشابه آن قبلاً در حملات منتسب به گروههای سایبری DarkHydrus و Sofacy دیده شده است. اغلب ارتباطات و زیرساختهای مورد استفاده در حملات این چنینی با ردیابی دامنهها و آدرسهای آیپی به سادگی قابل استخراج میباشند. نمودار زیر ارتباطات مرتبط با دامنه servicebios[.]com که با استفاده از کوئریهای AutoFocus و الگوهای Yara استخراج شده است را نشان میدهد.
بر اساس تحقیقات صورت گرفته توسط Unit42، تروجان Spark توسط گروه سایبری Molerats از اوایل سال ۲۰۱۷ مورد بهرهبرداری قرار گرفته و عامل اصلی حملات در کمپینی موسوم به Operation Parliament که توسط کسپرسکی گزارش شد، میباشد. این بدافزار دستورات لازم را از طریق یک فایل JSON و با استفاده از درخواستهای HTTP با متد POST از سرور فرمان و کنترل (C2) خود دریافت میکند. در اکثر موارد، فایل اجرایی بدافزار برای جلوگیری از شناسایی و تحلیل، با استفاده از Enigma protector، Themida و VMProtect مبهمسازی میگردد. بر اساس تحقیقات گروه Unit42 تاکنون دو نسخه مختلف از تروجان Spark شناسایی شده که نسخه اول (۲٫۲) در سال ۲۰۱۷ و نسخه دوم (۴٫۲) در اواخر دسامبر ۲۰۱۹ ساخته شده است. جدول زیر نسخههای مختلف این بدافزار به همراه نوع بستهبند (packer) مورد استفاده در سرآیند آن را نشان میدهد.
Truncated SHA256 | Version | Compiled | Packer |
۹۶۶ad6452793b15.. | ۲٫۲ | ۲۰۱۷-۰۵-۲۴ ۶:۱۵:۰۴ | VMProtect |
ab4e43b4e526d44.. | ۲٫۲ | ۲۰۱۷-۰۵-۲۴ ۶:۱۵:۰۴ | VMProtect |
۲۱۲aa6e3f236550.. | ۲٫۲ | ۲۰۱۷-۰۵-۲۴ ۶:۱۵:۰۴ | VMProtect |
cf32479ed30ae95.. | ۴٫۲ | ۲۰۱۹-۱۲-۳۰ ۹:۴۵:۴۴ | none |
d0dc1de0ae912c7.. | ۴٫۲ | ۲۰۲۰-۰۱-۱۲ ۱۰:۵۷:۵۰ | Enigma |
۰۴fa6aaea5e3a26.. | ۴٫۲ | ۲۰۲۰-۰۱-۱۲ ۱۰:۵۷:۵۰ | Enigma |
۶e60f5c65299ee7.. | ۴٫۲ | ۲۰۲۰-۰۱-۱۲ ۱۰:۵۷:۵۰ | Enigma |
b08b8fddb9dd940.. | ۴٫۲ | ۲۰۲۰-۰۱-۱۲ ۱۰:۵۷:۵۰ | Enigma |
۶۴ea1f1e0352f3d.. | ۴٫۲ | ۲۰۲۰-۰۱-۱۲ ۱۰:۵۷:۵۰ | Enigma |
همانطور که اشاره شد بر اساس یافتههای گروه Unit42 تروجان Spark از سال ۲۰۱۷ در حملات مختلف مورد استفاده قرار گرفته است.
بررسی فایل Pictures.pdf مورد استفاده در حمله نوامبر ۲۰۱۹
مهاجمین برای مبهمسازی این فایل از Enigma protector استفاده کرده و درون آن از قابلیتی به نام “Splash Screen” استفاده کردهاند که قبل از اجرای فایل مخرب، بر روی دسکتاپ قربانی نمایش داده میشود. این پوشش در واقع تکنیکی برای گریز از مکانیزم سندباکس ویندوز ۱۰ میباشد که با کلیک کاربر بر روی آن فعال میشود.
https://unit42.paloaltonetworks.com/wp-content/uploads/2020/03/word-image-13.png
در ادامه، بدافزار به بررسی Layout صفحهکلید قربانی پرداخته و در صورت یافتن زبان عربی (واژه arabic) اجرا خواهد شد. سپس عملیات رمزگشایی کلید کد شده با انکدینگ Base64 که خود توسط الگوریتم XOR رمزگذاری شده است، آغاز میشود. سپس رشته نهایی که با الگوریتم DES رمزشده است، توسط کلید دیکود شده استخراج میگردد. این همان فایل JSON است که مسئول انتقال دستورات از/به سرور کنترل و فرمان بدافزار میباشد.
در حین ارتباط با سرور کنترل و فرمان، بدافزار اطلاعاتی از قبیل hostname و شناسه (UUID) سیستم قربانی را از طریق اجرای دستورات زیر در محیط CMD جمعآوری کرده و و با طی کردن حلقهای از ارتباطات رمزگذاری شده فرآیند ارسال و دریافت دستورات را تکمیل میکند.
- wmic csproduct get UUID | more +1 | cmd /q /v:on /c “set/p .=&echo(!.!”
- Hostname
- echo %username%
مقایسه نسخههای ۲۰۱۹ و ۲۰۲۰
در نسخههای مربوط به ژانویه ۲۰۱۹ بدافزار Spark، نمونه فایلهای آلوده حاوی سرآیندِ جاسازی شده درون فایل بودند که برای اجرا نیاز به سرور راه دور (C2) داشتند. اما در نسخههای مشاهده شده در اکتبر و نوامبر ۲۰۱۹ و همچنین ژانوایه ۲۰۲۰، بدافزار سعی در بارگذاری VBScript بر روی سیستم قربانی و سپس دانلود سرآیند اجرایی بدافزار دارد. تفاوت دیگر این نمونهها در کتابخانههای مورد استفاده توسط بدافزار و همچنین شیوه بکارگیری ماکرو، الگوریتمهای رمزنگاری و … میباشد. جدول زیر مقایسه بین این نمونهها را به خوبی نشان میدهد.
Feature | Jan. 2019 Spark | Nov. 2019 Spark (Pictures.pdf) | Oct. and Nov. 2019 “attachment.doc” and Jan. 2020 “The Spark Campaign” |
Dropper | None | Compiled AutoIt script | Compiled AutoIt script |
HTTP Library | SFML | cURL 7.56.0-DEV | elnormous’ HTTPRequest |
Configuration Structure | msgpack version 1 | JSON for Modern C++ v2.1.1 | JSON for Modern C++ v3.7.0 |
Payload Packer | Enigma Virtual Box | Enigma (5.X) | Enigma (5.X) |
Cipher used | AES on ciphertext | Rolling XOR on key and ciphertext + 3DES on ciphertext | Rolling XOR on key and ciphertext + custom AES decrypting 16-byte chunks of ciphertext |
Encrypted data | Configuration, Names for C2 comms, Commands to gather system information | Configuration, Names for C2 comms, Commands to gather system information | Configuration, Names for C2 comms |
Persistence | Scheduled task | LNK Shortcut in @StartupDir | Scheduled task, Copied executable in @StartupDir |
نتیجهگیری
همانطور که در ابتدا اشاره شد گروه سایبری Molerats مسئول حمله به ۸ سازمان دولتی مختلف در ۶ کشور دنیا در بازه زمانی اکتبر تا دسامبر ۲۰۱۹ میباشد. این گروه به جای سوءاستفاده از آسیبپذیری نرمافزارها از رایانامههای فیشینگ حاوی اسناد Word و PDF و روشهای مهندسی اجتماعی برای پیشبرد این حملات استفاده کردند. بدافزار Spark در این حملات مورد استفاده قرار گرفت و برای بهرهگیری از ارتباطات با سرور کنترل و فرمان، به مرور توسط این تیم توسعه داده شد.
آرمان داده پویان نمایندگی رسمی کسپرسکی در ایران
برای کسب اطلاعات بیشتر با ما تماس بگیرید