به گزارش سایت ویروس ریمووا، بدافزاری جدید یافت شده که با سوء استفاده از سیستم های کامپیوتری آنها را به یک بات نت، برای گسترش بیشتر خود تبدیل می نماید.
نام این بدافزار «MyloBot» بوده است و در بازه زمانی برگزاری انتخابات آمریکا گسترش یافته است.
از طرفی این بدافزار بیشتر از طریق فضای دارک وب منتشر شده، زیرا بیش از 50 هزار سایت تبهکاری، جاسوسی و... در دارک وب وجود دارد که جولانگاه مناسبی برای بدافزارها است.
به طور معمول بدافزار های مختلفی در سطح جهان وجود دارد، اما پیچیدگی در طراحی و عملکرد این بدافزار ها آنها را متفاوت می کند.
بات نت «botnet MyloBot» سیستم قربانیان را به بردگی گرفته و علاوه بر آلوده کردن خود سیستم از رایانه قربانی برای انتشار بیشتر خود، سوء استفاده می کند.
به طور کلی هدف قرار گرفت سامانه کامپیوتری عبارت اند از: در اختیار گرفتن میزبانی، سرقت اطلاعات، نصب باج افزار، نصب بدافزار، غیر فعال کردن آنتی ویروس و....
بات نت یاد شده علاوه بر توانایی های فوق، سیستم قربانی را به یک منتشر کننده بات نت تبدیل می کند. این امکان بسیار منحصر به فرد بوده و گسترش این بات نت را هموار می سازد.
این بات نت پس از ورود به سیستم کاربر «Windows Defender» را غیر فعال کرده، به روز رسانی ها را میبندد، درگاه های خاص فایروال ویندوز را غیر فعال کرده و سپس در پوشه ای به نام « %APPDATA%» بدافزار قرار می دهد.
سیستم رایانه ای قربانی همانند بات نت زامبی به دنبال آلوده کردن سیستم های دیگر است.
این بدافزار در دارک وب منتشر شده و به سرعت گسترش یافته است، زیرا برخی هکرها از این نوع بات نت ها برای تخریب طیف گسترده ای از سیستم ها استفاده می کنند. به طور مثال هکرها با آلوده کردن چند سیستم رایانه ای در یک نهاد یا سازمان و تبدیل آن به زامبی برای آلوده کردن سامانه های دیگر بهره می برند.
محققان امنیت سایبری روز سه شنبه از بدافزار جدیدی با نام "MosaicLoader" رونمایی کردند که به عنوان بخشی از یک کمپین جهانی، در پی اهدافی است که در جستجوی نرم افزارهای کرک شده می باشند.
محققان Bitdefender در گزارشی که با خبرگزاری ها به اشتراک گذاشته شده، گفتند: "مهاجمان MosaicLoader بدافزاری را ایجاد کرده اند که می تواند هر دیتایی را بر روی سیستم تحویل دهد که در نهایت به طور بالقوه از آن در راستای یک سرویس ارائه و تحویل بهره برداری کند. این بدافزار با نمایش خود به عنوان نصب کننده های کرک به سیستم های مورد نظر ورود پیدا می کند. سپس یک پخش کننده بدافزار مخرب را دانلود میکند که حاوی لیستی از URL هایی است که از سرور C2 به دست می آیند و بعد از آن داده های جدید را از لینک های دریافت شده، دانلود می نماید.".
به نقل از هکر نیوز، این بدافزار به دلیل ساختار داخلی پیچیده ای که برای جلوگیری از مهندسی معکوس و فرار از هرگونه تجزیه و تحلیل تنظیم شده، با این عنوان نامگذاری شده است.
حملات MosaicLoader متکی به یک روش کاملاً ثابت برای تحویل بدافزارها به نام آلودگی بهینه سازی موتور جستجو (SEO) است که در آن مجرمان سایبری با خرید اسلات تبلیغاتی در نتایج موتور جستجو، لینکهای مخرب خود را در هنگام جستجوی کاربران برای عبارات مربوط به نرم افزارهای غیرقانونی، به عنوان نتایج اول به نمایش می گذارد.
پس از یک الودگی موفقیت آمیز، دراپر اولیه مبتنی بر دلفی (که به عنوان یک نصب کننده نرم افزار عمل میکند) به عنوان نقطه آغازی برای بارگیری دیتای مرحله بعدی از یک سرور از راه دور عمل می کند و همچنین برای جلوگیری از اسکن شدن توسط آنتی ویروس، تلاش های مضاعفی را در مورد Windows Defender برای دو فایل اجرایی دانلود شده، به کار میگیرد.
لازم به ذکر است که این موارد Exclusion های Windows Defender را می توان در رجیستری کی های ذکر شده در زیر مشاهده کرد:
موارد استثنائات فایل و فولدر - HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows Defender \ Exccepts \ Paths استثنائات نوع فایل - HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows Defender \ Exccepts \ Extensions استثنائات فرآیندی - HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows Defender \ Exccepts \ Processes
یکی از باینری ها، "appsetup.exe" برای نیل به هدف ماندگاری بر روی سیستم طراحی شده است، در حالی که دومین فایل اجرایی، "prun.exe"، به عنوان دانلودر برای یک ماژول پخش کننده عمل می کند که می تواند تهدیدهای مختلف را از طریق بازیابی و استقرار لیستی از URL ها، از سرقت کنندگان کوکی گرفته تا استخراج کنندگان رمزارز و حتی استقرارهای پیشرفته تر مانند Glupteba را اجرایی نماید.
مورد دوم یعنی"prun.exe" همچنین به دلیل حجم زیاد پیچیدگی و تکنیک های ضد مهندسی معکوس که شامل جداسازی تکه های کد با بایت های تصادفی فیلر است، با جریان اجرایی طراحی شده است که "از این قسمت های تصادفی می پرد و فقط قسمت های کوچک و معنی دار را اجرا می کند"، بسیار قابل توجه و جالب است.
با توجه به قابلیت های گسترده و فراوان MosaicLoader، سیستم های به خطر افناده می توانند در یک بات نت قرار بگیرند که عامل تهدید می تواند از آن برای انتشار مجموعه های مختلف و در حال تکامل بدافزار پیچیده، از جمله بدافزارهای عمومی و سفارشی سازی شده برای بدست آوردن، گسترش دادن و نگهداری غیر مجاز جهت دسترسی به رایانه ها و شبکه های قربانی استفاده نماید.
محققان گفتند: "بهترین راه برای دفاع در برابر MosaicLoader جلوگیری از بارگیری نرم افزارهای کرک شده از هر منبعی است. ضمنا علاوه بر خلاف قانون بودن، مجرمان اینترنتی به دنبال هدف قرار دادن و سواستفاده از کاربرانی هستند که به دنبال نرم افزارهای غیرقانونی هستند، همچنین ضروری است که مرحله ای برای "بررسی دامنه منبع هر دانلود برای اطمینان از قانونی بودن فایل ها" در نظر گرفته شود.".
مهاجمان با بهرهوری از یک تکنیک جدید، روشهایی را برای استفاده از Microsoft Background Intelligent Transfer Service (BITS) به منظور جایگذاری پنهانی داده های مخرب بر روی دستگاه های دارای سیستم عامل ویندوز را کشف کرده اند.
به گزارش سایت هکرنیوز، در سال ۲۰۲۰، بیمارستانها، سازمان های بازنشستگی و مراکز درمانی زیادی، متحمل آسیب و ضررهای بسیار شدیدی بابت یک کمپین فیشینگ همیشه متغیر که از روش Backdoor شخصی سازی شده مانند KEGTAP استفاده میکرده است، قرار گرفته اند، که در نهایت زمینه حملات باج افزار RYUK را فراهم میکرده است.
اما تحقیقات جدید شاخه امنیت سایبری شرکت FireEye اکنون مکانیسم پایداری ناشناخته ای را شناسایی کرده است که نشان می دهد مهاجمان از BITS برای راه اندازی Backdoor استفاده کرده اند.
فناوری BITS در ویندوز XP معرفی شد، که یکی از سرویس های مایکروسافت ویندوز است که از پهنای باند خالی شبکه برای تسهیل در انتقال ناهمگام فایل ها بین دستگاه ها استفاده می کند. این امر با ایجاد یک عملگر (فضایی که شامل فایل های بارگیری یا بارگذاری است) حاصل می شود.
فناوری BITS معمولاً برای ارائه به روزرسانی های سیستم عامل به کاربران و همچنین توسط اسکنر آنتی ویروس Windows Defender برای دریافت به روزرسانی های شناسایی علائم بدافزار استفاده می شود. علاوه بر محصولات خود مایکروسافت، این سرویس توسط برنامه های دیگری مانند موزیلا فایرفاکس نیز استفاده می شود تا امکان دریافت اطلاعات در پس زمینه حتی در صورت بسته بودن مرورگر نیز فراهم گردد.
محققان FireEye گفتند: "وقتی برنامه های مخرب عملگر BITS را ایجاد می کنند، فایل ها در چارچوب روند خدمات سرویس کاربر میزبان، روند دریافت یا بارگذاری را انجام می دهند". آنها افزودند: "این امکان می تواند برای جلوگیری از فایروال هایی که ممکن است فرایندهای مخرب یا ناشناخته را مسدود کنند کاربردی باشد و همچنین کمک می کند که مشخص شود کدام برنامه درخواست انتقال اطلاعات را داده است".
بخصوص حوادث مخاطره آمیز قبل که شامل آلوده سازی از طریق Ryuk برای استفاده از سرویس BITS برای ایجاد یک عملگر جدید تحت عنوان "به روزرسانی سیستم" که برای راه اندازی یک فایل اجرایی با نام "mail.exe" برنامه ریزی و پیکربندی شده است، پس از تلاش برای بارگیری URL نامعتبر، باعث ایجاد Backdoor برای KEGTAP شده است.
محققان اظهار داشتند: "عملگر مخرب BITS جهت تلاش برای انتقال HTTP یک فایل موجود از localhost تنظیم شده است. و از آنجا که این فایل هرگز وجود نخواهد داشت، BITS حالت خطا را ایجاد کرده و دستور notify را اجرا می کند، که در این مورد، این دستور به معنی اجرای KEGTAP می باشد".
سازوکار جدید یادآور این نکته است که چگونه استفاده از یک ابزار مفید مانند BITS به نفع مهاجمان میتواند خطرساز باشد. همچنین برای کمک به پاسخگویی سریعتر به این دست حوادث و تحقیقات تیم امنیتی، محققان یک ابزار پایتون به نام BitsParser را در دسترس عموم قرار داده اند، که هدف آن تجزیه فایل های پایگاه داده BITS و استخراج عملگر و اطلاعات فایل ها جهت تجزیه و تحلیل بیشتر است.
حمله سایبری که وب سایت های وزارت حمل و نقل ایران و سیستم راه آهن ملی ایران را در اوایل ماه تیر سال جاری از دسترس خارج کرد و باعث اختلال گسترده در خدمات قطارها شد، در نتیجه بهره گیری از بدافزار حذف کننده ای به نام "Meteor" بوده است.
به گفته محققان شرکت آنتی ویروس ایرانی امن پرداز و سنتینل وان، این کمپین که با نام "MeteorExpress" شناخته میشود، با هیچ گروه تهدید کننده ای که قبلاً شناسایی شده اند یا حملات مضاعفی مرتبط نبوده است و این اولین حادثه مربوط به استقرار بدافزار مذکور است. اعتقاد بر این است که Meteor در سه سال گذشته در حال فعالیت بوده است.
خوان آندرس گوئررو ساعد، محقق اصلی سنتینل وان، خاطرنشان کرد: "علیرغم فقدان شاخص های معینی برای بررسی خطر، ما توانستیم بیشتر اجزای حمله را بازیابی کنیم. در پشت این داستان عجیب و غریب در مورد قطارهای متوقف شده و ترول های ناگهانی، ما آثار جرم یک مهاجم ناشناس را پیدا کردیم". وی افزود: این حمله برای فلج کردن سیستم قربانی طراحی شده است و هیچ راهی برای ترمیم ساده از طریق مدیریت دامنه یا بازیابی نسخه های پشتیبان باقی نمیگذارد.
در 9 جولای سال ۲۰۲۱، سیستم قطار ایران در پی یک حمله بزرگ فلج شد و هکرها با خراب کردن نمایشگرهای الکترونیکی به مسافران دستور دادند شکایات خود را به شماره تلفنی که گفته میشود مرتبط با دفتر آیت الله علی خامنه ای رهبر معظم جمهوری اسلامی ایران است، ارسال نمایند. گفته می شود این حادثه باعث ایجاد هرج و مرج بی سابقهای در ایستگاه های راه آهن شده و صدها قطار با تاخیر حرکت کرده یا حرکتشان لغو شده است.
در حال حاضر طبق گزارش سنتینل وان، این زنجیره آلودگی با سواستفاده از Group Policy برای استقرار مجموعه ای از ابزاری شامل ترکیبی از فایل های دسته ای که اجزای مختلف را تنظیم می کنند، که از چندین آرشیو RAR استخراج شده اند و برای تسهیل رمزگذاری فایل سیستم با هم پیوند داشته اند، خرابی و اختلال در مستر بوت رکورد (MBR) و قفل کردن سیستم مورد نظر، آغاز شده است.
سایر فایلهای اسکریپت دسته ای که در طول حمله مستقر شده اند، وظیفه قطع دستگاه آلوده از شبکه و ایجاد exclusion در Windows Defender برای همه اجزا را بر عهده داشته اند؛ تاکتیکی که در بین عاملان تهدید به طور فزاینده ای رایج شده است تا فعالیت های مخرب خود را از آنتی ویروس های نصب شده روی دستگاه ها پنهان کنند.
بدافزار Meteor به نوبه خود یک پاک کننده با امکان اعمال تنظیمات خارجی با مجموعه ای وسیع از ویژگی ها و امکانات، از جمله قابلیت حذف کپی ها و همچنین بسیاری قابلیت های اضافی دیگر مانند تغییر رمزهای عبور کاربر، خاتمه دادن به فرآیندهای دلخواه، غیرفعال کردن حالت بازیابی و اجرای دستورات مخرب است.
این پاک کننده به عنوان "ترکیبی عجیب از کد کاستوم شده" توصیف شده است که اجزای متن باز را با نرم افزارهای قدیمی "که با بررسی منطق، بررسی خطا و افزودن امکان دستیابی به اهداف خود آمیخته است"، ترکیب می کند، که نشان از وجود یک رویکرد از هم گسسته و عدم هماهنگی در بین تیمهای مختلف درگیر در این توسعه بدافزازی دارد.
گوئررو ساعد گفت: "درگیری در فضای سایبری و مجازی بیش از حد با عاملان تهدید مخرب روبرو است. پشت هنر و مدیریت این ترول بزرگ یک واقعیت ناراحت کننده نهفته است که در آن یک عامل تهدید ناشناخته مایل است از بدافزار پاک کننده برعلیه سیستم های راه آهن عمومی یک کشور استفاده کند. مشخص است که مهاجم این حادثه، یک عامل سطح متوسط است، چرا که اجزای مختلف عملیاتی آن به شدت از حالت ناموزون و ابتدایی تا واضح و توسعه یافته متغیر است".
"ما باید در نظر داشته باشیم که مهاجمان از قبل با تنظیمات کلی هدف خود، ویژگی های کنترل کننده دامنه و انتخاب سیستم پشتیبان هدف (Veeam) آشنا بوده اند. این به معنای یک مرحله شناسایی است که به طور کامل مجموعه هدف را تحت نظارت داشته اند و همچنین از بسیاری از ابزارهای جاسوسی بهره برده اند که ما تاکنون آنها را کشف نکرده ایم".
حمله سایبری که وب سایت های وزارت حمل و نقل ایران و سیستم راه آهن ملی ایران را در اوایل ماه تیر سال جاری از دسترس خارج کرد و باعث اختلال گسترده در خدمات قطارها شد، در نتیجه بهره گیری از بدافزار حذف کننده ای به نام "Meteor" بوده است.
English (UK) 
Persian (IR)