یک گروه تهدید که قبلاً با تروجان دسترسی از راه دور بدنام ShadowPad (RAT) مرتبط بود، با استفاده از نسخههای قدیمی و قدیمی بستههای نرمافزاری محبوب برای بارگذاری بدافزار در سیستمهای متعلق به چندین سازمان هدف دولتی و دفاعی در آسیا مشاهده شده است.
دلیل استفاده از نسخههای قدیمی نرمافزار قانونی این است که آنها به مهاجمان اجازه میدهند از روش معروفی به نام کتابخانه پیوند پویا (DLL) بارگذاری جانبی برای اجرای بارهای مخرب خود در یک سیستم هدف استفاده کنند. اکثر نسخههای فعلی همان محصولات در برابر بردار حمله محافظت میکنند، که اساساً متضمن این است که دشمنان یک فایل DLL مخرب را به عنوان یک فایل قانونی پنهان میکنند و آن را در فهرستی قرار میدهند که برنامه به طور خودکار فایل را بارگیری و اجرا کند.
محققان از تیم Broadcom's Software's Symantec Threat Hunter این موضوع را مشاهده کردند سایه بانگروه تهدید مرتبط با استفاده از تاکتیک در کمپین جاسوسی سایبری. اهداف این گروه تاکنون شامل دفتر نخست وزیری، سازمان های دولتی مرتبط با بخش مالی، شرکت های دفاعی و هوافضای دولتی و شرکت های مخابراتی، فناوری اطلاعات و رسانه های دولتی بوده است. تجزیه و تحلیل فروشنده امنیتی نشان داد که این کمپین حداقل از اوایل سال 2021 ادامه دارد و تمرکز اصلی آن اطلاعات است.
یک تاکتیک حمله سایبری شناخته شده، اما موفق
"استفاده از برنامه های کاربردی قانونی برای تسهیل بارگذاری جانبی DLL سیمانتک در گزارشی در این هفته گفت: به نظر می رسد روند رو به رشدی در میان عوامل جاسوسی فعال در منطقه باشد. این یک تاکتیک جذاب است زیرا ابزارهای ضد بدافزار اغلب فعالیت مخرب را شناسایی نمیکنند زیرا مهاجمان از برنامههای قدیمی برای بارگذاری جانبی استفاده میکنند.
"به غیر از سن برنامه ها، وجه مشترک دیگر این است که همه آنها نام های نسبتاً شناخته شده ای بودند و بنابراین ممکن است بی ضرر به نظر برسند." آلن نویل، تحلیلگر اطلاعات تهدید در تیم شکارچی تهدید سیمانتک میگوید.
سیمانتک گفت، این واقعیت که گروهی که پشت کمپین کنونی در آسیا قرار دارد، از این تاکتیک استفاده می کند، علیرغم اینکه به خوبی درک شده است، نشان می دهد که این تکنیک تا حدی موفقیت را به همراه دارد.
نویل می گوید که شرکت او اخیراً مشاهده نکرده است که بازیگران تهدید از این تاکتیک در ایالات متحده یا جاهای دیگر استفاده کنند. او می افزاید: «این تکنیک بیشتر توسط مهاجمانی که بر سازمان های آسیایی تمرکز دارند استفاده می شود.
نویل می گوید که در بیشتر حملات در آخرین کمپین، عوامل تهدید از ابزار قانونی Windows PsExec برای اجرای برنامه ها در سیستم های راه دور برای انجام بارگذاری جانبی و استقرار بدافزار. در هر مورد، مهاجمان قبلاً سیستمهایی را که برنامههای قدیمی و قانونی را روی آن نصب کرده بودند، به خطر انداخته بودند.
«[برنامهها] روی هر رایانه آسیبدیدهای که مهاجمان میخواستند بدافزار را روی آنها اجرا کنند، نصب شدند. نویل میگوید در برخی موارد، این میتواند چندین رایانه در یک شبکه قربانی باشد. او می افزاید: در موارد دیگر، سیمانتک همچنین مشاهده کرد که آنها چندین برنامه قانونی را روی یک دستگاه برای بارگذاری بدافزار خود به کار می گیرند.
او خاطرنشان می کند: «آنها از مجموعه ای از نرم افزارها، از جمله نرم افزارهای امنیتی، نرم افزارهای گرافیکی، و مرورگرهای وب استفاده می کردند. در برخی موارد، محققان سیمانتک همچنین مهاجم را با استفاده از فایلهای سیستم قانونی از سیستم عامل Windows XP قدیمی برای فعال کردن حمله مشاهده کردند.
Logdatter، محدوده بارهای مخرب
یکی از بارهای مخرب یک دزد اطلاعات جدید به نام Logdatter است که به مهاجمان اجازه میدهد تا از جمله مواردی که ضربههای کلیدی را وارد میکنند، از صفحهنمایش عکس بگیرند، از پایگاههای داده SQL پرس و جو کنند، کد دلخواه را تزریق کنند و فایلها را دانلود کنند. سایر محمولههایی که این عامل تهدید در کمپین آسیایی خود استفاده میکند شامل یک تروجان مبتنی بر PlugX، دو RAT با نامهای Trochilus و Quasar و چندین ابزار قانونی با کاربرد دوگانه است. اینها عبارتند از Ladon، چارچوب تست نفوذ، FScan و NBTscan برای اسکن محیط های قربانی.
نویل میگوید سیمانتک نمیتواند با قطعیت تعیین کند که چگونه عوامل تهدید ممکن است به یک محیط هدف دسترسی اولیه پیدا کنند. اما فیشینگ و فرصتیابی سیستمهای وصلهنشده احتمالاً بردارهایی هستند.
از طرف دیگر، حمله به زنجیره تامین نرمافزار خارج از اختیارات این مهاجمان نیست، زیرا بازیگرانی که به ShadowPad دسترسی دارند. شناخته شده است که حملات زنجیره تامین را انجام داده است در گذشته، نویل اشاره می کند. هنگامی که عوامل تهدید به یک محیط دسترسی پیدا کردند، تمایل دارند از طیف وسیعی از ابزارهای اسکن مانند NBTScan، TCPing، FastReverseProxy و Fscan برای جستجوی سیستم های دیگر برای هدف گیری استفاده کنند.
برای دفاع در برابر این نوع حملات، سازمانها باید مکانیسمهایی را برای ممیزی و کنترل نرمافزارهایی که ممکن است در شبکهشان اجرا میشود، پیادهسازی کنند. آنها همچنین باید اجرای سیاستی را در نظر بگیرند که فقط به برنامههای لیست سفید اجازه میدهد در محیط اجرا شوند و اصلاح آسیبپذیریها در برنامههای عمومی را در اولویت قرار دهند.
نویل توصیه میکند: «ما همچنین توصیه میکنیم برای تمیز کردن ماشینهایی که هر گونه نشانهای از سازش را نشان میدهند، اقدام فوری انجام دهید، «... از جمله مدارک دوچرخه سواری و پیگیری فرآیند داخلی سازمان خود برای انجام یک بررسی کامل».