خانه » ابزار StealerBot برای جاسوسی سایبری در خاورمیانه و آفریقا استفاده می‌شود!

ابزار StealerBot برای جاسوسی سایبری در خاورمیانه و آفریقا استفاده می‌شود!

توسط Vulnerbyte
22 بازدید
گروه vulnerbyte - گروه والنربایت - vulnerbyte group - گروه SideWinder - ابزار StealerBot - جاسوسی سایبری

تحلیلگران آزمایشگاه کسپرسکی دریافتند که گروه SideWinder از ابزار جاسوسی جدیدی به نام StealerBot استفاده می‌کند. این گروه عمدتاً سازمان‌های بزرگ و زیرساخت‌های استراتژیک را در خاورمیانه و آفریقا مورد هدف قرار می‌دهد، اما اکنون به نظر می‌رسد دامنه قربانیان آن افزایش یافته است.

گروه SideWinder که با نام‌های APT-C-17، Baby Elephant، Hardcore Nationalist، Leafperforator، Rattlesnake، Razor Tiger  و T-APT-04 نیز دنبال می‌شود، اولین بار در سال 2012 مورد توجه کارشناسان امنیت اطلاعات قرار گرفت و هنوز هم به عنوان یکی از فعال‌ترین گروه‌های هک شناخته می‌شود.

اهداف اصلی این گروه معمولاً سازمان‌های دولتی و نظامی، لجستیک، زیرساخت‌ها و شرکت‌های مخابراتی، مؤسسات مالی، دانشگاه‌ها و شرکت‌های بازرگانی نفت واقع در بنگلادش، جیبوتی، اردن، مالزی، مالدیو، میانمار، نپال، پاکستان، عربستان سعودی، سری‌لانکا، ترکیه، امارات متحده عربی و همچنین سازمان‌هایی از سایر مناطق و کشورهای جنوب و جنوب شرق آسیا می‌باشد.

گروه SideWinder نفوذ به نهادهای دیپلماتیک افغانستان، فرانسه، چین، هند، اندونزی و مراکش را نیز در کارنامه خود دارد.

 

زنجیره نفوذ گروه SideWinder

SideWinder در حملات اخیر خود، از یک زنجیره نفوذ چند مرحله‌ای برای ارائه یک toolkit جدید به نام StealerBot استفاده کرده است. این ابزار، یک ایمپلنت ماژولار می‌باشد که به طور خاص برای جاسوسی طراحی شده است.

گروه vulnerbyte - گروه والنربایت - vulnerbyte group - گروه SideWinder - ابزار StealerBot - جاسوسی سایبری

گروه SideWinder عمدتا برای حملات خود از اسناد مخرب با سوء استفاده از آسیب پذیری‌های آفیس وگاهی اوقات نیز از فایل‌های LNK، HTML و HTAتوزیع شده در آرشیوها استفاده می‌کند. این اسناد اغلب حاوی اطلاعاتی از وب‌سایت‌های معروف می‌باشند تا آنها را قانونی جلوه دهند و قربانی را متقاعد سازند تا فایل را باز کند.

حملات اخیر این گروه با استفاده از یک ایمیل فیشینگ هدفمند آغاز می‌شود که دارای یک فایل ZIP پیوست شده است. این فایل ZIP حاوی یک LNK یا یک سند مایکروسافت آفیس است که یک سری دانلودر جاوا اسکریپت و دات نت را اجرا می‌کند تا در نهایت، بدافزار StealerBot را مستقر نماید.

تمامی اسناد از تکنیک تزریق تمپلیت از راه دور (remote template injection) ‌برای دانلود یک فایل RTF استفاده می‌کنند که در یک سرور راه دور تحت کنترل مهاجم ذخیره می‌شود.

گروه vulnerbyte - گروه والنربایت - vulnerbyte group - گروه SideWinder - تروجان - جاسوسی سایبری

فایل‌های RTF به‌طور خاص توسط هکرها برای سوء استفاده از CVE-2017-11882، یک آسیب ‌پذیری memory corruption در نرم ‌افزار Microsoft Office ساخته شده‌اند تا کد جاوا اسکریپت میزبانی شده در mofa-gov-sa.direct888[.]net را اجرا کنند.

از سوی دیگر، فایل LNK از ابزار mshta.exe استفاده می‌کند، یک باینری مختص ویندوز که برای اجرای فایل‌های HTA طراحی شده است تا کد جاوا اسکریپت یکسانی را که در یک وب‌سایت مخرب تحت کنترل هکر، اجرا نماید.

بدافزار جاوا اسکریپت به عنوان دانلودر برای پیلود ثانویه دات نت از یک سرور (ModuleInstaller.dll) و همچنین برای استخراج یک رشته کدگذاری شده با Base64 و یک کتابخانه دات نت به نام “App.dll” که اطلاعات سیستم را جمع آوری می‌کند، طراحی شده است.

ModuleInstaller یک دانلودر است که برای حفظ تداوم دسترسی روی Host، اجرای یک ماژول لودر بکدور و بازیابی کامپوننت‌های مرحله بعدی مورد استفاده قرار می‌گیرد.

هدف نهایی حملات، استقرار StealerBot از طریق ماژول لودر بکدور است که به عنوان یک ایمپلنت ماژولار پیشرفته مبتنی بر دات نت شناخته می‌شود.

طبق اظهارات دیمیتری گالوف، رئیس GReAT (مرکز تحقیقات و تحلیل تهدیدات جهانی) کسپرسکی، StealerBot قادر به انجام طیف وسیعی از اقدامات از جمله نصب بدافزار بیشتر، تهیه اسکرین شات، ثبت کلیدهای فشرده شده کیبورد، ربودن پسورد از مرورگرها، ذخیره داده‌های لاگین RDP و ربودن فایل‌ها می‌باشد.

StealerBot به مهاجمان اجازه می‌دهد در حالی از سیستم‌ها جاسوسی کنند که تشخیص آن دشوار می‌باشد. این بدافزار طبق یک ساختار ماژولار کار می‌کند، جایی که هر کامپوننت عملکرد خاصی را انجام می‌دهد.

این ماژول‌ها هرگز به عنوان فایل روی هارد دیسک ظاهر نشده و مستقیما در حافظه لود می‌شوند که این ویژگی، ردیابی آن را دشوار می‌کند.  StealerBotکل فرآیند را کنترل می‌کند، با سرور مهاجمان تعامل دارد و کار ماژول‌های مختلف را هماهنگ می‌کند.

کسپرسکی دو کامپوننت دیگر به نام‌های InstallerPayload و InstallerPayload_NET  را شناسایی کرده است که به عنوان بخشی از زنجیره حمله مشخص نمی‌شوند، اما برای نصب StealerBot و به‌روزرسانی احتمالی آن یا آلوده کردن کاربر جدید استفاده می‌شوند.

به منظور مشاهده IoCهای این حمله به مقاله اصلی مراجعه کنید.

 

منبع

همچنین ممکن است دوست داشته باشید

پیام بگذارید