خلاصه تحلیلی Vulnerbyte

یک کمپین مخفی و چندمرحله‌ای با نام JS#SMUGGLER شناسایی شده که از سایت‌های آلوده برای تزریق جاوااسکریپت، اجرای HTA با PowerShell رمزگذاری‌شده و در نهایت استقرار NetSupport RAT استفاده می‌کند. ساختار حمله شامل ردگیری کاربران، شاخه‌سازی بر اساس نوع دستگاه، اجرای فایل‌ـ‌لس، و پاک‌سازی ردپا از سیستم است.
این کمپین از نظر معماری، یک فریم‌ورک حرفه‌ای و فعال نگه‌داشته‌شده را نشان می‌دهد و سازمان‌ها را مجبور می‌کند کنترل‌های سخت‌گیرانه‌تری روی PowerShell، mshta.exe، و اسکریپت‌های مرورگر اعمال کنند. همچنین کمپین دیگری با نام CHAMELEON#NET همزمان مشاهده شده که با زنجیره فیشینگ پیشرفته، Formbook RAT را به‌صورت کامل در حافظه لود می‌کند.

JS#SMUGGLER: کمپین مبتنی بر سایت‌های آلوده برای توزیع NetSupport RAT

محققان امنیت سایبری یک کمپین جدید به نام JS#SMUGGLER را شناسایی کرده‌اند که از وب‌سایت‌های به‌خطر افتاده به‌عنوان مسیر توزیع استفاده می‌کند و در نهایت NetSupport RAT را روی ماشین قربانی نصب می‌کند؛ یک ابزار کنترل از راه دور با قابلیت‌های کامل شامل دسترسی دسکتاپ، اجرای فرمان، سرقت داده، مدیریت فایل و استفاده از سیستم قربانی به‌عنوان پراکسی.

طبق تحلیل Securonix، زنجیره حمله سه مؤلفه اصلی دارد:

• لودر جاوااسکریپت مبهم‌شده که در سایت تزریق شده

• فایل HTA که PowerShell رمزگذاری‌شده را با mshta.exe اجرا می‌کند

• Payload PowerShell که RAT نهایی را دانلود و اجرا می‌کند

این کمپین در حال حاضر به گروه خاصی نسبت داده نشده، اما هدف آن بیشتر کاربران سازمانی است و توزیع از طریق سایت‌های آلوده نشان می‌دهد که مهاجمان به دنبال دامنه وسیع قربانی هستند.

مکانیزم‌های پنهان‌کاری و شاخه‌سازی دستگاه

در وب‌سایت‌های آلوده، یک iframe مخفی باعث بارگذاری لودر جاوااسکریپت «phone.js» از سروری خارجی می‌شود. این لودر:

• دستگاه را پروفایل می‌کند

• در کلاینت موبایل، iframe تمام‌صفحه نشان می‌دهد

• در کلاینت دسکتاپ، اسکریپت مرحله دوم را بارگذاری می‌کند

• تنها در اولین بازدید فعال می‌شود تا احتمال شناسایی کاهش یابد

این رفتار، یک زنجیره حمله adaptive ایجاد می‌کند که احتمال موفقیت را افزایش می‌دهد.

HTA + PowerShell: اجرای فایل‌ـ‌لس و پاکسازی کامل

اسکریپت مرحله اول یک URL زمان‌اجرا برای دانلود HTA می‌سازد.
فایل HTA:

• پنجره را مخفی و مینیمایز می‌کند

• PowerShell stager را روی دیسک می‌نویسد

• آن را رمزگشایی و مستقیماً در حافظه اجرا می‌کند

• سپس فایل را حذف و خودش را terminate می‌کند

این سطح از پنهان‌سازی، نشانه یک فریم‌ورک پیشرفته و فعال است.

هدف نهایی این مرحله، دانلود و اجرای NetSupport RAT است که کنترل کامل سیستم را به مهاجم می‌دهد.

CHAMELEON#NET: کمپین موازی برای توزیع Formbook

Securonix همچنین کمپینی با نام CHAMELEON#NET را گزارش کرده که از ایمیل‌های فیشینگ برای توزیع Formbook استفاده می‌کند.

زنجیره حمله شامل:

• ایمیل فیشینگ + لینک به پورتال وبمیل تقلبی

• دانلود آرشیو .BZ2

• اجرای JavaScript dropper با obfuscation سنگین

• لودر VB.NET با reflection و Cipher سفارشی

• اجرای Formbook RAT به‌صورت کامل در حافظه (fileless)

• ماندگاری در Startup یا Registry

این کمپین یک نمونه دیگر از تلفیق مهندسی اجتماعی + اجرای فایل‌ـ‌لس برای دور زدن EDRهاست.

منابع: