پژوهشگران امنیت سایبری از شناسایی دو نسخه جدید ویندوزی از بکدور SprySOCKS خبر دادهاند که نشاندهنده گسترش این بدافزار از محیط لینوکس به ویندوز است. بررسیهای ESET نشان میدهد بکدور SprySOCKS اکنون با بهرهگیری از درایورهای کرنل، مکانیزمهای پیشرفته پنهانسازی و پشتیبانی از چندین کانال ارتباطی، توانمندیهای خود را به محیط ویندوز گسترش داده و سطح جدیدی از قابلیتهای جاسوسی سایبری را در اختیار عاملان تهدید منتسب به چین قرار داده است.
قابلیتهای جدید نسخههای ویندوزی بکدور SprySOCKS
بررسیهای شرکت ESET نشان میدهد بکدور SprySOCKS که پیشتر تنها در محیطهای لینوکسی شناخته شده بود، اکنون در قالب دو نمونه ویندوزی با نامهای WIN_DRV و WIN_PLUS نیز مشاهده شده است. هر دو نسخه دارای پیکربندی هاردکدشده برای ارتباط با سرور فرماندهی و کنترل (C2) هستند و از پروتکلهای TCP، UDP و WebSocket برای برقراری ارتباط با زیرساخت مهاجمان استفاده میکنند.
این بدافزار بیش از 30 دستور عملیاتی مختلف را در اختیار مهاجمان قرار میدهد که از جمله مهمترین آنها میتوان به موارد زیر اشاره کرد:
- جمعآوری اطلاعات سیستم
- فهرستبرداری از پردازههای در حال اجرا (Process Enumeration)
- مدیریت سرویسهای ویندوز
- اجرای عملیات روی فایلسیستم (File System Operations)
همچنین محققان اعلام کردهاند نسخه WIN_DRV از این بدافزار برای افزایش سطح پنهانسازی، از یک درایور سطح کرنل استفاده میکند. این مکانیزم امکان پنهان کردن موارد زیر را از دید ابزارهای امنیتی فراهم میکند:
- اتصالات شبکه بدافزار
- پردازههای مرتبط با فعالیت مخرب
- فایلهای ایجادشده توسط بدافزار
- کلیدهای رجیستری
این قابلیتها شناسایی، تحلیل و ردیابی فعالیتهای مخرب را برای محصولات امنیتی و تیمهای پاسخگویی به رخداد دشوارتر میکند.
قابلیت پنهانسازی پیشرفته
طبق گزارش پژوهشگران ESET، این نسخه از مکانیزمی برای انحراف ترافیک TCP (TCP Traffic Diversion) بهره میبرد. این قابلیت به اپراتورهای بدافزار اجازه میدهد بدون افشای پورت واقعی مورد استفاده توسط بکدور SprySOCKS، دستورات خود را از طریق یک پورت TCP تصادفی روی دستگاه قربانی ارسال کنند.
در نتیجه، پورت شنود (Listening Port) واقعی بدافزار در جریان ترافیک شبکه قابل مشاهده نخواهد بود و این موضوع شناسایی و تحلیل فعالیتهای مخرب را برای ابزارهای امنیتی و سامانههای مانیتورینگ بهطور قابل توجهی دشوارتر میکند.
ارتباط با گروههای جاسوسی سایبری چین
بکدور SprySOCKS نخستین بار در سپتامبر 2023 توسط شرکت Trend Micro بهصورت عمومی افشا و بررسی شد. این شرکت استفاده از این بدافزار را به گروه تهدید دولتی منتسب به چین با نام Earth Lusca نسبت داد؛ گروهی که در جامعه امنیت سایبری با نامهای Aquatic Panda، Bronze University، Charcoal Typhoon و RedHotel نیز شناخته میشود.
بر اساس ارزیابیهای انجامشده، این عامل تهدید حداقل از سال 2021 فعال بوده و به یک هکر به نام i-Soon نسبت داده میشود.
شرکت ESET این گروه تهدید را با نام FishMonger ردیابی میکند و آن را بخشی از اکوسیستم گستردهتر Winnti میداند؛ مجموعهای از گروههای جاسوسی سایبری که طی سالهای اخیر در حملات متعدد علیه سازمانها و نهادهای دولتی نقش داشتهاند.
این شرکت در گزارشی که مارس 2025 منتشر شد، گروه FishMonger را به یک عملیات گسترده جاسوسی سایبری با نام Operation FishMedley نسبت داده است. این کمپین بین ژانویه تا اکتبر 2022 دستکم هفت سازمان را در کشورهای تایوان، مجارستان، ترکیه، تایلند، فرانسه و ایالات متحده هدف قرار داده بود.
پیشینه فنی و منشأ توسعه این بدافزار
بررسیهای فنی نشان میدهد بکدور SprySOCKS بر پایه یک تروجان دسترسی از راه دور (RAT) ویندوزی به نام Trochilus توسعه یافته است. همچنین این بدافزار شباهتهای قابلتوجهی با بکدور RedLeaves دارد؛ بدافزاری که بخشهای زیادی از کد منبع (Source Code) آن با Trochilus همپوشانی دارد.
نکته قابل توجه این است که استفاده از Trochilus پیشتر به یک گروه تهدید چینی دیگر با نام Webworm نسبت داده شده بود. بررسیها نشان میدهد Webworm نیز از نظر تاکتیکها، تکنیکها و رویههای عملیاتی (TTPs) شباهتهایی با گروههای FishMonger و SixLittleMonkeys دارد؛ موضوعی که میتواند نشاندهنده اشتراک ابزارها، زیرساختها یا دانش فنی میان این عوامل تهدید باشد.
زنجیره اجرای WIN_DRV
بررسیهای ESET نشان میدهد نسخههای ویندوزی شناساییشده متعلق به نسخه 1.8 این بکدور هستند. در این میان، نمونه WIN_DRV برای افزایش قابلیتهای پنهانسازی از یک درایور سطح کرنل با نام RawWNPF استفاده میکند، در حالی که بخش عمده قابلیتهای عملیاتی نسخه لینوکسی را نیز حفظ کرده است.
این درایور از طریق یک درایور کرنل رمزنگاریشده دیگر با نام DriverLoader بارگذاری میشود؛ رویکردی که به بدافزار کمک میکند فعالیتهای خود را با سطح بالاتری از پنهانسازی اجرا کند.
تحلیل زنجیره حمله نشان میدهد مهاجمان ابتدا از یک روش دسترسی اولیه که هنوز شناسایی نشده است برای استقرار یک بچ اسکریپت (Batch Script) روی سیستم قربانی استفاده میکنند. این اسکریپت در ادامه یک تسک زمانبندیشده (Scheduled Task) ایجاد و اجرا میکند که مسئول آغاز زنجیره بارگذاری جانبی DLL (DLL Side-Loading) است.
در نهایت این زنجیره منجر به استقرار و اجرای کامپوننتهای زیر میشود:
- بکدور SprySOCKS
- درایور RawWNPF
- درایور DriverLoader
- سایر کامپوننتهای کمکی مورد نیاز بدافزار
با این حال، به گفته پژوهشگران، گروه FishMonger در گذشته برای دستیابی به دسترسی اولیه به شبکه قربانیان، از آسیبپذیریهای N-Day در سرویسهای اینترنتی نظیر Fortinet، GitLab و Microsoft Exchange Server سوءاستفاده کرده است.
به گفته پژوهشگر ESET:
«نسخه ویندوزی بخش عمده معماری اصلی نسخه لینوکسی خود از جمله پروتکل ارتباط با سرور C2، مکانیزمهای رمزگذاری و منطق کلی پردازش دستورات را حفظ کرده است. با این حال، توسعهدهندگان بدافزار در بخشهایی که نیاز بوده از سازوکارهای بومی ویندوز استفاده کردهاند و با افزودن درایورهای کرنل، سطح پنهانسازی بکدور را به شکل محسوسی افزایش دادهاند.»
نحوه عملکرد نسخه WIN_PLUS
به گفته محققان ESET، مهمترین تفاوتهای نسخه WIN_PLUS در نحوه بارگذاری بکدور نهایی، افزایش قابلیتهای پنهانسازی و همچنین نامگذاری کامپوننتها و مسیرهای مورد استفاده آن مشاهده میشود.
برخلاف WIN_DRV، نسخه WIN_PLUS از زنجیره اجرای متفاوتی استفاده میکند. این نسخه سرویس Windows Print Spooler را از طریق پردازه spoolsv.exe بهعنوان نقطه آغاز اجرای خود به کار میگیرد تا یک لودر مرحله اول (First-Stage) را اجرا کند. این لودر در قالب یک پردازشگر چاپ اجرا میشود.
این کامپوننت به گونهای طراحی شده است که لودر SprySOCKS را به یک پردازه svchost.exe که بهتازگی ایجاد شده تزریق کرده و اجرا کند؛ اقدامی که در نهایت منجر به بارگذاری و اجرای بکدور میشود.
قابلیتهای عملیاتی نسخههای WIN_DRV و WIN_PLUS
هر دو نسخه WIN_DRV و WIN_PLUS از بکدور SprySOCKS در قالب DLL توسعه یافتهاند و از سه کانال ارتباطی برای برقراری ارتباط با سرور C2 پشتیبانی میکنند:
- TCP
- UDP
- WebSocket
این نسخهها قادرند دستورات صادرشده از سوی اپراتور را روی میزبان آلوده اجرا کنند. مهمترین قابلیتهای آنها عبارتند از:
- جمعآوری اطلاعات سیستم
- اجرای کنسول تعاملی
- فهرستبرداری از پردازههای در حال اجرا
- دریافت اطلاعات و جزئیات ارتباطات C2
- فهرستبرداری از تمامی سرویسهای سیستم
- راهاندازی پروکسی SOCKS
- آپلود و دانلود فایل
- اجرای فایلهای موجود روی سیستم قربانی
این قابلیتها به مهاجمان امکان میدهد پس از نفوذ، کنترل گستردهای بر سیستم آلوده به دست آورده و عملیات جاسوسی، حرکت جانبی (Lateral Movement)، اجرای دستورات و انتقال داده را با کارایی بیشتری انجام دهند.
ردپای حملات و احتمال استفاده از بوتکیت UEFI
شواهد موجود نشان میدهد که آرتیفکتهای مرتبط با این بدافزار احتمالاً بین سالهای 2023 تا 2024 در حملاتی علیه سازمانهای دولتی در کشورهای هندوراس، تایوان، تایلند و پاکستان مورد استفاده قرار گرفتهاند. همچنین محققان اعلام کردهاند که نسخه WIN_PLUS نخستین بار در جولای 2024 روی یک دستگاه قربانی واقع در پاکستان شناسایی شده است.
علاوه بر این، بررسیها حاکی از وجود نشانههای محدودی است که احتمال استفاده از یک بوتکیت UEFI را مطرح میکند. این بوتکیت احتمالاً از آسیبپذیری CVE-2023-24932 با امتیاز CVSS برابر با 6.7 سوءاستفاده کرده است. این آسیبپذیری در Windows Boot Manager که امکان دور زدن قابلیتهای امنیتی را فراهم میکند، پیشتر بهدلیل ارتباط با بوتکیت مشهور BlackLotus مورد توجه گسترده جامعه امنیت سایبری قرار گرفته بود. مایکروسافت در می 2023 با انتشار یک بهروزرسانی امنیتی، این ضعف امنیتی را پچ کرد.
اهمیت شناسایی نسخه ویندوزی بکدور SprySOCKS
تحلیلگران شرکت ESET معتقدند شناسایی نسخه ویندوزی این بکدور نشاندهنده گسترش قابلتوجه توانمندیهای چندپلتفرمی گروه FishMonger است و افزایش دامنه عملیاتی این عامل تهدید در محیطهای مختلف را نشان میدهد.
بررسیها نشان میدهد معماری نسخه ویندوزی همچنان بخش عمدهای از ساختار نسخه لینوکسی را حفظ کرده است، از جمله:
- پروتکل C2
- مکانیزمهای رمزنگاری
- منطق کلی مدیریت و اجرای دستورات
با این حال، در نسخه جدید از مکانیزمهای بومی ویندوز استفاده شده و با بهکارگیری درایورهای سطح کرنل، سطح پنهانسازی بدافزار به شکل محسوسی افزایش یافته است.
