خانه » ردپای بکدور Mistic در عملیات‌های واسطه دسترسی اولیه باج‌افزار KongTuke مشاهده شد

ردپای بکدور Mistic در عملیات‌های واسطه دسترسی اولیه باج‌افزار KongTuke مشاهده شد

توسط Vulnerbyte_News
24 بازدید
بکدور Mistic

بررسی حملات با انگیزه مالی علیه سازمان‌های فعال در حوزه‌های بیمه، آموزش، فناوری اطلاعات (IT) و سرویس‌های حرفه‌ای منجر به شناسایی بکدور Mistic شده است. بر اساس یافته‌های پژوهشگران، بکدور Mistic به احتمال زیاد با گروه KongTuke مرتبط است. این گروه از سال 2024 به‌عنوان یکی از واسطه‌های دسترسی اولیه (Initial Access Broker) شناخته می‌شود و دسترسی به شبکه‌های سازمانی را در اختیار گروه‌های باج‌افزاری از جمله Qilin، Interlock، Rhysida، Akira، 8Base و Black Basta قرار می‌دهد.

استفاده از بکدور Mistic در عملیات‌های نفوذ

پژوهشگران شرکت Symantec اعلام کرده‌اند که بکدور Mistic از ماه آوریل در چندین عملیات نفوذ شناسایی شده است. در یکی از رخدادهای بررسی‌شده، این بدافزار اندکی پس از استقرار ModeloRAT روی سیستم قربانی مشاهده شد. ModeloRAT نیز یک بکدور منتسب به گروه KongTuke است که از طریق حملات مهندسی اجتماعی (Social Engineering) در بستر مایکروسافت تیمز (Microsoft Teams) توزیع می‌شود.

به باور پژوهشگران، این بدافزار یک بکدور با قابلیت پنهان‌کاری بالا است که به‌تازگی توسعه یافته و با هدف حفظ پایداری (Persistence) بلندمدت در شبکه‌های آلوده طراحی شده است.

زنجیره آلودگی

بررسی‌های Symantec نشان می‌دهد زنجیره آلودگی این حملات با اجرای فایل قانونی MpExtMs.exe آغاز می‌شود. مهاجمان از این فایل برای اجرای تکنیک بارگذاری جانبی DLL  (DLL Side-Loading)استفاده می‌کنند تا فایل مخرب version.dll را بارگذاری کنند. این فایل نقش لودر را بر عهده دارد و سپس کامپوننت اصلی بکدور Mistic با نام EndpointDlp.dll را اجرا می‌کند.

به گفته پژوهشگران، نام فایل EndpointDlp.dll به‌گونه‌ای انتخاب شده است که شباهت زیادی به فایل‌های ابزارهای امنیت Endpoint مایکروسافت داشته باشد. این موضوع به بدافزار کمک می‌کند خود را در قالب نرم‌افزارهای مورد اعتماد سیستم پنهان کند و احتمال شناسایی آن را کاهش دهد.

در ادامه، یک فایل DLL مبتنی بر.NET  نیز بارگذاری می‌شود که با نمایش یک صفحه ورود جعلی، اطلاعات احراز هویت قربانی را سرقت می‌کند.

قابلیت‌های عملیاتی بکدور Mistic

بکدور Mistic پس از اجرا، با زیرساخت فرماندهی و کنترل (C2) ارتباط برقرار می‌کند و امکان دریافت دستورات اپراتور را دارد. بر اساس گزارش Symantec، مهم‌ترین قابلیت‌های این بدافزار عبارتند از:

  • آپلود و دانلود فایل‌ها
  • ایجاد، حذف، جابه‌جایی و تغییر نام فایل‌ها و پوشه‌ها
  • تنظیم فاصله زمانی بررسی دستورات دریافتی از سرور C2
  • اجرای مستقیم کدهای دریافتی از سرور C2 در حافظه
  • خاتمه دادن به اجرای خود و حذف فایل‌ها از سیستم میزبان

تحلیل‌های Symantec نشان می‌دهد این بدافزار به‌گونه‌ای توسعه یافته است که شناسایی آن دشوار باشد و مهاجمان بتوانند برای مدت طولانی، بدون جلب توجه، دسترسی خود را در شبکه‌های آلوده حفظ کنند.

به گفته پژوهشگران، این بکدور پیلودها را مستقیماً در حافظه اجرا می‌کند، بدون آنکه هیچ فایلی روی دیسک نوشته شود. همچنین به یک کلید نابودی (Kill Switch) مجهز است که در صورت نیاز، امکان حذف کامل بدافزار از سیستم را فراهم می‌کند. به باور پژوهشگران، این قابلیت‌ها نشان می‌دهد توسعه‌دهندگان آن به دنبال ایجاد دسترسی بلندمدت و پنهان برای اپراتورهای حمله بوده‌اند. اگرچه Symantec جزئیاتی درباره مرحله اولیه آلودگی منتشر نکرده است، اما سوابق فعالیت KongTuke نشان می‌دهد این گروه از اوایل سال 2025 برای توزیع بدافزار ModeloRAT از تکنیک کلیک‌فیکس (ClickFix) و گونه‌های آن، یعنی فایل‌فیکس (FileFix) و کرش‌فیکس (CrashFix)، استفاده می‌کند.

نقش فایل‌های BOF در توسعه عملکرد بدافزار

شرکت امنیت ابری Zscaler در گزارش فنی خود اعلام کرد بکدور Mistic که با نام MTLBackdoor ردیابی می‌شود، در ماه می به‌عنوان پیلود نهایی یک زنجیره آلودگی چندمرحله‌ای مبتنی بر کلیک‌فیکس مشاهده شده است.

به گفته پژوهشگران Zscaler، یکی از مهم‌ترین قابلیت‌های این بدافزار، امکان بارگذاری فایل‌های Beacon Object File یا BOF برای گسترش قابلیت‌های عملیاتی آن است.

BOFها برنامه‌های کوچکی هستند که با زبان C نوشته می‌شوند و می‌توانند مستقیماً در حافظه یک پردازه C2 اجرا شوند. از آنجا که این برنامه‌ها مستقیماً در حافظه اجرا می‌شوند و هیچ فایلی روی دیسک ایجاد نمی‌کنند، ردپای بسیار محدودی از خود بر جای می‌گذارند و به‌سختی توسط راهکارهای امنیتی شناسایی می‌شوند. این فناوری به‌طور گسترده در ابزارهای Red Team مانند Cobalt Strike و در مرحله پس از اکسپلویت (Post-exploitation) مورد استفاده قرار می‌گیرد.

روند استفاده از ابزارهای اختصاصی در حملات باج‌افزاری

تحلیل Symantec نشان می‌دهد بکدور Mistic نمونه دیگری از روند رو‌به‌رشد استفاده از ابزارهای اختصاصی در حملات باج‌افزاری است. با این حال، شواهد موجود نشان می‌دهد این بکدور احتمالاً توسط یک واسطه دسترسی اولیه که ارتباط نزدیکی با اکوسیستم باج‌افزار دارد، توسعه یافته است.

علاوه بر این، KongTuke برای اجرای حملات خود از مجموعه‌ای متنوع از ابزارها از جمله موارد زیر استفاده می‌کند:

  • WinPython و محیط اجرای js برای اجرای کدهای مخرب
  • exe برای دریافت پیلودهای مبهم‌سازی‌شده (Obfuscated)
  • افزونه جعلی مرورگر NexShield
  • پیلود رمزگذاری‌شده GateKeeper .NET
  • لودرهای بدافزار MintsLoader و D3F@ck Loader برای استقرار پیلودهای تکمیلی

به گفته پژوهشگران، این بدافزار علاوه بر پنهان‌سازی فعالیت‌های خود، قابلیت توسعه و افزودن عملکردهای جدید را نیز دارد.

منابع

همچنین ممکن است دوست داشته باشید

پیام بگذارید