بررسی حملات با انگیزه مالی علیه سازمانهای فعال در حوزههای بیمه، آموزش، فناوری اطلاعات (IT) و سرویسهای حرفهای منجر به شناسایی بکدور Mistic شده است. بر اساس یافتههای پژوهشگران، بکدور Mistic به احتمال زیاد با گروه KongTuke مرتبط است. این گروه از سال 2024 بهعنوان یکی از واسطههای دسترسی اولیه (Initial Access Broker) شناخته میشود و دسترسی به شبکههای سازمانی را در اختیار گروههای باجافزاری از جمله Qilin، Interlock، Rhysida، Akira، 8Base و Black Basta قرار میدهد.
استفاده از بکدور Mistic در عملیاتهای نفوذ
پژوهشگران شرکت Symantec اعلام کردهاند که بکدور Mistic از ماه آوریل در چندین عملیات نفوذ شناسایی شده است. در یکی از رخدادهای بررسیشده، این بدافزار اندکی پس از استقرار ModeloRAT روی سیستم قربانی مشاهده شد. ModeloRAT نیز یک بکدور منتسب به گروه KongTuke است که از طریق حملات مهندسی اجتماعی (Social Engineering) در بستر مایکروسافت تیمز (Microsoft Teams) توزیع میشود.
به باور پژوهشگران، این بدافزار یک بکدور با قابلیت پنهانکاری بالا است که بهتازگی توسعه یافته و با هدف حفظ پایداری (Persistence) بلندمدت در شبکههای آلوده طراحی شده است.
زنجیره آلودگی
بررسیهای Symantec نشان میدهد زنجیره آلودگی این حملات با اجرای فایل قانونی MpExtMs.exe آغاز میشود. مهاجمان از این فایل برای اجرای تکنیک بارگذاری جانبی DLL (DLL Side-Loading)استفاده میکنند تا فایل مخرب version.dll را بارگذاری کنند. این فایل نقش لودر را بر عهده دارد و سپس کامپوننت اصلی بکدور Mistic با نام EndpointDlp.dll را اجرا میکند.
به گفته پژوهشگران، نام فایل EndpointDlp.dll بهگونهای انتخاب شده است که شباهت زیادی به فایلهای ابزارهای امنیت Endpoint مایکروسافت داشته باشد. این موضوع به بدافزار کمک میکند خود را در قالب نرمافزارهای مورد اعتماد سیستم پنهان کند و احتمال شناسایی آن را کاهش دهد.
در ادامه، یک فایل DLL مبتنی بر.NET نیز بارگذاری میشود که با نمایش یک صفحه ورود جعلی، اطلاعات احراز هویت قربانی را سرقت میکند.
قابلیتهای عملیاتی بکدور Mistic
بکدور Mistic پس از اجرا، با زیرساخت فرماندهی و کنترل (C2) ارتباط برقرار میکند و امکان دریافت دستورات اپراتور را دارد. بر اساس گزارش Symantec، مهمترین قابلیتهای این بدافزار عبارتند از:
- آپلود و دانلود فایلها
- ایجاد، حذف، جابهجایی و تغییر نام فایلها و پوشهها
- تنظیم فاصله زمانی بررسی دستورات دریافتی از سرور C2
- اجرای مستقیم کدهای دریافتی از سرور C2 در حافظه
- خاتمه دادن به اجرای خود و حذف فایلها از سیستم میزبان
تحلیلهای Symantec نشان میدهد این بدافزار بهگونهای توسعه یافته است که شناسایی آن دشوار باشد و مهاجمان بتوانند برای مدت طولانی، بدون جلب توجه، دسترسی خود را در شبکههای آلوده حفظ کنند.
به گفته پژوهشگران، این بکدور پیلودها را مستقیماً در حافظه اجرا میکند، بدون آنکه هیچ فایلی روی دیسک نوشته شود. همچنین به یک کلید نابودی (Kill Switch) مجهز است که در صورت نیاز، امکان حذف کامل بدافزار از سیستم را فراهم میکند. به باور پژوهشگران، این قابلیتها نشان میدهد توسعهدهندگان آن به دنبال ایجاد دسترسی بلندمدت و پنهان برای اپراتورهای حمله بودهاند. اگرچه Symantec جزئیاتی درباره مرحله اولیه آلودگی منتشر نکرده است، اما سوابق فعالیت KongTuke نشان میدهد این گروه از اوایل سال 2025 برای توزیع بدافزار ModeloRAT از تکنیک کلیکفیکس (ClickFix) و گونههای آن، یعنی فایلفیکس (FileFix) و کرشفیکس (CrashFix)، استفاده میکند.
نقش فایلهای BOF در توسعه عملکرد بدافزار
شرکت امنیت ابری Zscaler در گزارش فنی خود اعلام کرد بکدور Mistic که با نام MTLBackdoor ردیابی میشود، در ماه می بهعنوان پیلود نهایی یک زنجیره آلودگی چندمرحلهای مبتنی بر کلیکفیکس مشاهده شده است.
به گفته پژوهشگران Zscaler، یکی از مهمترین قابلیتهای این بدافزار، امکان بارگذاری فایلهای Beacon Object File یا BOF برای گسترش قابلیتهای عملیاتی آن است.
BOFها برنامههای کوچکی هستند که با زبان C نوشته میشوند و میتوانند مستقیماً در حافظه یک پردازه C2 اجرا شوند. از آنجا که این برنامهها مستقیماً در حافظه اجرا میشوند و هیچ فایلی روی دیسک ایجاد نمیکنند، ردپای بسیار محدودی از خود بر جای میگذارند و بهسختی توسط راهکارهای امنیتی شناسایی میشوند. این فناوری بهطور گسترده در ابزارهای Red Team مانند Cobalt Strike و در مرحله پس از اکسپلویت (Post-exploitation) مورد استفاده قرار میگیرد.
روند استفاده از ابزارهای اختصاصی در حملات باجافزاری
تحلیل Symantec نشان میدهد بکدور Mistic نمونه دیگری از روند روبهرشد استفاده از ابزارهای اختصاصی در حملات باجافزاری است. با این حال، شواهد موجود نشان میدهد این بکدور احتمالاً توسط یک واسطه دسترسی اولیه که ارتباط نزدیکی با اکوسیستم باجافزار دارد، توسعه یافته است.
علاوه بر این، KongTuke برای اجرای حملات خود از مجموعهای متنوع از ابزارها از جمله موارد زیر استفاده میکند:
- WinPython و محیط اجرای js برای اجرای کدهای مخرب
- exe برای دریافت پیلودهای مبهمسازیشده (Obfuscated)
- افزونه جعلی مرورگر NexShield
- پیلود رمزگذاریشده GateKeeper .NET
- لودرهای بدافزار MintsLoader و D3F@ck Loader برای استقرار پیلودهای تکمیلی
به گفته پژوهشگران، این بدافزار علاوه بر پنهانسازی فعالیتهای خود، قابلیت توسعه و افزودن عملکردهای جدید را نیز دارد.