کمپین‌ها

حمله OilRig
۲۳ دی ۱۳۹۶

حمله OilRig

Unit 42، گروه OilRig را از ماه می ۲۰۱۶ تحت نظر قرار داده است. طبق مشاهدات Unit 42 این گروه برای راهیابی از Spear-phishing استفاده نموده‌اند. سند آلودهای که در این حملات استفاده شده است Clayslide نام دارد. تحقیقات اخیر Unit 42 نشان میدهد، OilRig تغییرات و بهبودهای زیادی در این سند ایجاد کرده است.

نسخهی جدید Clayslide تروجانی که توسط گروه OilRig طراحی شده است به نام ALMA را بر روی سیستم قربانی نصب مینماید. این سند محتوی ابزار post-exploitation ای به نام Mimikatz است. این ابزار بعد از بهرهبرداری اقدام به جمعآوری credential های سیستم قربانی مینماید. Unit 42 میگوید با توجه به مدارکی که دارد این گروه یکی از کارمندان یک شرکت خدمات عمومی در خاورمیانه را مورد حمله قرار داده و از طریق سیستم او به سازمان مورد نظر نفوذ کرده‌اند.

حمله گروه OilRig

نسخهی جدید سند آلوده Clayslide

نسخهی جدید Clayslide تقریبا مشابه نسخههای قبلی عمل مینماید. پیغامی مبنی بر اینکه نسخهی Excel مورد استفاده قدیمی است و نیاز به فعال کردن محتوی “Enable Content” برای مشاهدهی سند میباشد. بعد از آن هم یک ماکرو آلوده اجرا خواهد شد.

در برگه incompatible سلولی وجود دارد که درآن کدی برای ساختن فایل .HTA وجود دارد. ماکرو بعد از اجرا به محتوی این سلول دسترسی مییابد و سپس آن را در %PUBLIC%\tmp.hta  نصب مینماید. سپس آن را با برنامه کاربردی mshta.exe باز مینماید. فایل .HTA حاوی کد HTML است که یک VBScript را راهاندازی مینماید. این اسکریپت در نهایت یک سربار آلوده را نصب میکند.

 روند نصب سربار با ساختن یک پوشه .HTA با نام %PUBLIC%\{5468973-4973-50726F6A656374-414C4D412E-2}  آغاز میشود. در این پوشه سه پوشهی دیگر با نامهای زیر ساخته خواهند شد.

  • SystemSyncs.exe
  • m6.e
  • cfg

سربار هر دو دقیقه یک بار اجرا میشود.

 

 تروجان ALMA

تروجان ALMA از طریق یک درب پشتی که از روش DNS tunneling استفاده میکند برای دریافت دستورات اقدام مینماید. تروجان ALMA هیچ گونه پیکره بندی داخلیای ندارد پس برای عملکرد خود نیازمند فایل cgf ای است که در سند آلودهی ارسالی موجود است.

نتایج

گروه OilGroup هموار از سند Clayslide برای شروع حمله و نفوذ به سازمانها استفاده مینماید. تغییراتی که این گروه در روند خود داده است، تغییر در روند ارسال اسناد آلوده و نصب بدافزارها است. تغییراتی که در نحوهی نصب به وجود آمده است برای جلوگیری از شناسایی شدن توسط راهکارهای ضدبدافزار میباشد. همچنین سربار جدیدی را این گروه به مجموعه ابزار خود اضافه کرده است. تروجانی که خود این گروه توسعه داده است تحت عنوان ALMA از سری کارهای جدید این گروه میباشد. روشی که این گروه برای برقرار ارتباط با سرور C2 استفاده میکند، همچنان DNS tunneling میباشد.

  • کاربرانی که از Palo Alto استفاده میکنند به دلایل زیر در برابر این حمله محافظت شدهاند.
  • WildFire سند ClaySlide و ALMA را به عنوان نمونههای آلوده میشناسد.
  • Traps تروجان ALMA را از طریق آنالیز محلی مسدود مینماید و اسناد Clayslide را به عنوان ماکرو مشکوک تشخیص میدهد.
  • همچنین از طریق AutoFocus ابزارهای زیر را میتوان شناسایی کرد:
  • Clayslide
  • ALMACommunicator
  • Mimikatz

آرمان داده پویان تامین کننده برترین تجهیزات و راه کار های امنیتی


تازه ترین ها