بک‌دور جدید Titanium گروه Platinum APT

دسته بندی ها : اخبار ۹ آذر ۱۳۹۸ فایزه اشرفیان اشرفیان 390 بازدید

این تروجان به عنوان payload نهایی در یک مجموعه کد نصب بدافزار سطح بالا و پیچیده مشاهده شده است.

Platinum در گروه تهدیدات APT یک toolkit جدید و قابل توجه دارد: یک تروجان در پشتی (backdoor) سفارشی با نام Titanium.

گذشته از داشتن تم فلزی نقره‌ای، نام این در پشتی از گذرواژه یکی از بایگانی‌های قابل اجرا در کد آمده است. به گفته محققان Kaspersky که آن را مورد تجزیه و تحلیل قرار داده‌اند، این بدافزار می‌تواند هر فایلی را از یک فایل سیستم بخواند و داده‌ها را از آن استخراج (exfiltrate) کند، یک فایل را در فایل سیستم اضافه یا حذف نماید، فایلی را اضافه کرده و آن را اجرا کند، یک خط فرمان را اجرا کرده و نتایج اجرا را آپلود نماید و و پارامترهای پیکربندی را به روز کند (به جز کلید رمزگذاری AES). همچنین دارای یک حالت تعاملی است که به مهاجم اجازه می‌دهد تا از برنامه‌های کنسول، ورودی دریافت نماید.

به گفته محققان،Titanium بعنوان payload نهایی در campaignهایی یافت شد که شامل قرار دادن dropper، مراحل بارگیری و نصب اضافی در بردار آلودگی آن نیز می‌شد. جالب است بدانید که بدافزار در طی هر یک از این مراحل با تقلید از نام فایل‌های نرم‌افزارهای رایج، از جمله بسته‌های امنیتی، درایورهای صوتی و ابزارهای ایجاد فیلم DVD، در طول راه پنهان می‌شد.

به گفته‌ی محققان، Platinum از لحاظ تکنولوژیکی یکی از پیشرفته‌ترین بازیگران APT حال حاضر است که به طور مرسوم بر منطقه‌ی آسیا-اقیانوسیه (APAC region) تمرکز دارد و این campaign آشکار ساخت که: قربانیان در جنوب و جنوب شرقی آسیا قرار داشته‌اند.

یک رابطه‌ی چند مرحله‌ای

دنباله پیچیده‌ی مراحل، در تمام حملات مشاهده شده تاکنون، با یک آسیب‌پذیری مستعد اجرای کد به عنوان کاربر SYSTEM، آغاز می‌شود و پس از آن حمله‌کنندگان برای اتصال به یک آدرس دستوروکنترل hardcode شده (hardcoded command-and-control (C2) address)، یک shellcode را نصب می‌کنند.

طبق تجزیه و تحلیل‌های منتشر شده در روز جمعه، بارگیری دوم به نوبت خود، بایگانی SFX (self-extracting) را که حاوی اسکریپت نصب عملیات ویندوز (Windows task) است، به شکل کد اجرایی cURL، کامپایل شده به فرمت DLL دریافت (fetches) می‌کند. هدف از آن، نصب یک Windows task برای ایجاد پایداری در سیستم آلوده است.

همچنین بارگیری کننده (downloader) آرشیو SFX محافظت شده با رمز عبور (رمز عبور: Titanium) را که باید ازcommand line راه اندازی شود، دریافت می کند؛ یک اسکریپت نصب کننده؛ و یک BITS downloader که برای بارگیری فایل‌های رمزگذاری شده از سرور C2 استفاده می‌کند، سپس رمزگشایی و راه اندازی می‌گردد.

و سرانجام خود در پشتی Titanium را بارگیری می‌کند.

Kaspersky خاطرنشان کرد که این کد چند مرحله‌ای به خاطر فراخوانی‌ها و حلقه‌های مختلف API ویندوز در این حد گیج کننده شده است.

پس از نصب Titanium در campaign مورد مشاهده، محققان Kaspersky بیان کردند که مشخص شد این گروه وب سایت‌های Intranet محلی را با یک کد مخرب به خطر انداخته و شروع به گسترش کرده است؛ و یا این که یک shellcode را به یک فرآیند “winlogon.exe” تزریق نموده.

Titanium از نگاهی عمیق‌تر

برای آغاز اتصال به C2، تیتانیوم یک درخواست انکد شده base64 را ارسال می‌کند که شامل SystemID، نام رایانه و شماره سریال هارد دیسک دستگاه آلوده است. پس از آن، بدافزار آماده عملیات است.

براساس این تحلیل ، “برای دریافت دستورات، درپشتی یک درخواست خالی را به C2 ارسال می‌کند”. “و برای تهیه درخواست از رشته UserAgent از مرحله configuration و الگوریتم مخصوص تولید کوکی استفاده می کند. همچنین این بدافزار می‌تواند تنظیمات پروکسی را از Internet Explorer دریافت نماید. ”

C2 با یک فایل تصویری فرمت .PNG به این درخواست پاسخ می‌دهد که حاوی داده‌های پنهان استگانوگرافی (پنهان‌نگاری) است و با همان کلید درخواست C2 رمزگذاری شده است. داده‌های رمزگشایی شده حاوی دستورات Backdoor هستند و به آن دستور اجرای عملکردهای بسیار را می‌دهند.

محققان Kaspersky اظهار داشتند: « [campaign]  Titaniumیک نقشه نفوذ بسیار پیچیده دارد. این اقدامات شامل مراحل متعددی است و هماهنگی خوبی بین همه آن‌ها وجود دارد. علاوه بر این، هیچ یک از فایل‌های موجود در فایل سیستم به دلیل استفاده از فناوری‌های رمزگذاری و فیلترشکن نمی‌توانند به عنوان مخرب تشخیص داده شوند. یکی دیگر از ویژگی‌هایی که تشخیص را سخت‌تر می‌کند تقلید از نرم‌افزار شناخته شده‌است. »

راه آسان‌تری برای ارتباط با کاربران‌مان پیدا کرده‌ایم :) عضویت در کانال

نظرات کاربران

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

لینک کوتاه :

عضویت در خبرنامه ویژه مشتریان سیگما پلاس

با عضویت در خبرنامه ویژه سیگما پلاس از آخرین جشنواره های سایت باخبر شوید!