شرکت کسپرسکی از کمپینی خبر داده که سازمانهای دولتی در مغولستان و روسیه را با نسخه جدیدی از بدافزار MysterySnail RAT هدف قرار داده است. این فعالیت به گروه تهدید چینیزبان IronHusky نسبت داده شده که از سال ۲۰۱۷ فعال است.
این گروه پیشتر در اکتبر ۲۰۲۱ توسط کسپرسکی به دلیل سوءاستفاده از آسیبپذیری روزصفر CVE-2021-40449، یک نقص ارتقای دسترسی در درایور Win32k ویندوز، برای توزیع MysterySnail شناسایی شده بود.
زنجیره حمله
نفوذ از طریق یک اسکریپت مخرب کنسول مدیریت مایکروسافت (MMC مخفف Microsoft Management Console) آغاز میشود که خود را بهعنوان سندی از آژانس ملی زمین مغولستان به نام “co-financing letter_alamgac” جا میزند.
نحوه توزیع اسکریپت MMC به اهداف مشخص نیست، اما نوع سند فریبنده نشان میدهد احتمالا از طریق یک کمپین فیشینگ ارسال شده است. با تحلیل اسکریپت مخرب، مشخص شد که برای انجام اقدامات زیر طراحی شده است:
- دریافت یک آرشیو ZIP حاوی محموله مخرب مرحله دوم و یک فایل DOCX فریبنده از سرویس ذخیرهسازی عمومی file[.]io
- باز کردن آرشیو دانلودشده و قرار دادن فایل DOCX قانونی در پوشه:
%AppData%\Cisco\Plugins\X86\bin\etc\Update
- اجرای فایل exe که از آرشیو ZIP استخراج شده
- تنظیم ماندگاری برای فایل exe با افزودن یک ورودی به کلید Run در رجیستری
- باز کردن سند فریبنده دانلودشده برای قربانی
در بررسی فایل CiscoCollabHost.exe، مشخص شد که یک فایل اجرایی معتبر است. با این حال، آرشیو توزیعشده توسط مهاجمان شامل یک کتابخانه مخرب به نام CiscoSparkLauncher.dll نیز هست که برای بارگذاری جانبی DLL توسط فرآیند معتبر طراحی شده است.
این DLL یک بکدور ناشناخته و واسطهای است که برای برقراری ارتباط با سرور کنترل و فرمان (C2) از پروژه متنباز piping-server سوءاستفاده میکند. نکته قابلتوجه این است که اطلاعات مربوط به توابع API ویندوز استفادهشده توسط این بکدور، نه در فایل DLL مخرب، بلکه در یک فایل خارجی در مسیر log\MYFC.log ذخیره شده است. این فایل با رمزنگاری XOR تکبایتی محافظت شده و در زمان اجرا بارگذاری میشود.
به احتمال زیاد، مهاجمان این فایل را بهعنوان یک اقدام ضدتحلیل به بکدور اضافه کردهاند؛ زیرا بدون دسترسی به این فایل، شناسایی توابع API فراخوانیشده ممکن نیست و فرآیند مهندسی معکوس بکدور به حدس و گمان تبدیل میشود. بکدور با ارتباط با سرور قانونی https://ppng.io که از پروژه piping-server پشتیبانی میکند، قادر به دریافت دستورات از مهاجمان و ارسال نتایج اجرای آنها است.
این بکدور قابلیتهایی مانند اجرای شلهای دستوری، دانلود و آپلود فایل، فهرست کردن محتوای پوشهها، حذف فایلها، ایجاد فرآیندهای جدید و خاتمه خود را دارد.
اسم دستور | توضیحات |
RCOMM | اجرای شلهای دستوری |
FSEND | دانلود فایل از سرور فرمان و کنترل |
FRECV | آپلود فایل به سرور فرمان و کنترل |
FSHOW | فهرست کردن محتوای پوشهها |
FDELE | حذف فایلها |
FEXEC | ایجاد فرآیندهای جدید |
REXIT | خاتمه |
RSLEE | اجرای فرایند sleep |
RESET | ریست شمارنده زمان انتظار برای اتصال به سرور کنترل و فرمان |
مهاجمان از دستورات پیادهسازیشده در این بکدور برای استقرار فایلهای sophosfilesubmitter.exe (یک فایل اجرایی معتبر) و fltlib.dll (یک کتابخانه مخرب برای بارگذاری جانبی) روی سیستم قربانی استفاده کردند. در دادههای تلهمتری securelist، این فایلها ردپاهایی از بدافزار MysterySnail RAT را نشان دادند، بدافزاری که در سال ۲۰۲۱ شناسایی شده بود.
نسخه جدید MysterySnail
نسخه جدید این بدافزار که در این گزارش به آن پرداخته شد، قادر به پذیرش حدود ۴۰ دستور است که امکان مدیریت فایلها، اجرای دستورات از طریق cmd.exe، ایجاد و توقف فرآیندها، مدیریت سرویسها و اتصال به منابع شبکه از طریق ماژولهای DLL اختصاصی را فراهم میکند.
کسپرسکی گزارش داد که پس از اقدامات پیشگیرانه شرکتهای هدف برای مسدودسازی نفوذها، مهاجمان نسخهای سبکتر و بازطراحیشده به نام MysteryMonoSnail را مستقر کردند. این نسخه، برخلاف MysterySnail RAT، تنها ۱۳ دستور پایه دارد که برای فهرست کردن محتوای پوشهها، نوشتن داده در فایلها و اجرای فرآیندها و پوستههای راه دور استفاده میشود.
