تکامل تهدیدات فناوری اطلاعات در سه ماهه اول ۲۰۲۴

مدل‌های اخیر آیفون دارای امنیت مبتنی بر سخت ‌افزار هستند که مانع از کنترل کامل دستگاه توسط مهاجمان می‌شوند. مهاجمان حتی اگر بتوانند حافظه کرنل را بخوانند و بنویسند ( همانطور که در حمله عملیات Triangulation با بهره‌برداری از آسیب‌پذیری CVE-2023-32434 انجام شد)، موفق نخواهند شد تا کنترل کامل دستگاه را بدست آورند.

مهاجمان با استفاده از ویژگی سخت افزاری SoC[5] توانستند این حفاظت امنیتی مبتنی بر سخت افزار را دور بزنند. آنها این کار را با نوشتن داده ها، آدرس مقصد و هش داده ها در رجیسترهای سخت افزاری ناشناخته تراشه (چیپ) که توسط سیستم عامل استفاده نمی‌شوند، به انجام رساندند!

کسپرسکی احتمال می‌دهد که این ویژگی سخت افزاری ناشناخته برای اهداف دیباگ یا آزمایش در نظر گرفته شده و یا به اشتباه ایجاد شده است. از آنجایی که این ویژگی توسط سیستم عامل استفاده نمی‌شود، ما هنوز نمی‌دانیم مهاجمان چگونه استفاده از آن را فرا گرفته‌اند!!!

روشی برای شناسایی بدافزارهای بالقوه iOS

محققان کسپرسکی طی چند سال گذشته، آلودگی‌های بدافزار Pegasus را در چندین دستگاه iOS تجزیه و تحلیل کرده‌اند. متدهای رایج برای تجزیه و تحلیل زنجیره نفوذ و آلودگی های مختص iOS، مستلزم بررسی یک نسخه بک آپ کاملا رمزگذاری شده iOS و یا تجزیه و تحلیل ترافیک شبکه دستگاه آسیب دیده می‌باشد. با این حال، هر دو روش زمان بر هستند و نیاز به تخصص بالایی دارند. این امر، کارشناسان را بر آن داشت تا به دنبال راهی سریعتر و ساده‌تر برای شناسایی نفوذهای احتمالی آیفون باشند.

کارشناسان در طول تجزیه و تحلیل خود، متوجه شدند که نفوذها، ردپایی را در یک لاگ غیرمنتظره سیستم به نام shutdown.log بر جای گذاشته‌اند. shutdown.log، یک فایل لاگ سیستم مبتنی بر متن است که در هر دستگاه iOS موجود می‌باشد.

هر رویداد راه ‌اندازی مجدد به همراه ویژگی‌های محیطی متعدد در این فایل ثبت می‌شود. این لاگ‌ها می‌توانند ورودی‌هایی داشته باشند که به چندین سال قبل باز می‌گردند و حاوی اطلاعات زیادی برای ما هستند.

فایل shutdown.log در بایگانی sysdiagnose (sysdiag) ذخیره می‌شود و می‌توان آن را به عنوان مجموعه‌ای از لاگ های سیستم و پایگاه‌های داده در نظر گرفت که برای اهداف دیباگ و عیب‌یابی تولید می‌شوند.

روش تولید sysdiag می‌تواند در نسخه های مختلف iOS متفاوت باشد. با این وجود، این بایگانی معمولاً در بخش تنظیمات عمومی (General Settings) سیستم عامل، به ویژه در بخش « Privacy and Analytics (حریم خصوصی و تجزیه و تحلیل)» قرار دارد (مکان این فایل ممکن است بین نسخه‌های iOS متفاوت باشد).

ایجاد آرشیو معمولاً فقط چند دقیقه طول می‌کشد. نتیجه، یک فایل TAR.GZ. با حجم حدود 200-400 مگابایت است که می‌تواند به دستگاه آنالیز منتقل شود. پس از باز شدن فایل آرشیو، shutdown.log در پوشه \system_logs.logarchive\Extra قرار می‌گیرد.

این تجزیه و تحلیل استخراج sysdiag یک روش نفوذ ظریف و خلاقانه با حداقل منابع برای شناسایی نفوذهای احتمالی آیفون با استفاده از آبجکت های مبتنی بر سیستم است. تحلیل کامل را می‌توانید از اینجا بخوانید.

تروجان DinodasRAT لینوکس

در اوایل اکتبر 2023، پس از اینکه ESET مقاله‌ای در خصوص حملاتی تحت عنوان Operation Jacana که کاربران ویندوز را مورد هدف قرار داده بود، منتشر کرد، نسخه لینوکسی جدیدی از تروجانDinodasRAT  (معروف به XDealer) کشف گردید.

کد بدافزار و IoCهای شبکه با نمونه‌های ویندوز مورد بررسی قرار گرفته توسط ESET که در حمله علیه نهادهای دولتی کشور گویان استفاده شده بودند، همپوشانی دارند.

DinodasRAT یک بکدور چند پلتفرمی است که به زبان C++  نوشته شده است و طیف وسیعی از قابلیت ها را ارائه می دهد. این RAT به مهاجم اجازه می‌دهد تا داده‌های حساس را از رایانه مورد نظر، جمع‌آوری کند. این بکدور کاملاً کاربردی است و به اپراتور کنترل کاملی بر دستگاه آلوده می‌دهد و امکان استخراج داده ها و جاسوسی سایبری را فراهم می‌آورد.

ایمپلنت لینوکسی DinodasRAT عمدتاً توزیع‌های مبتنی بر Red Hat و اوبونتو را مورد هدف قرار می‌دهد. کسپرسکی در داده‌های تله‌متری و پایش مستمر این تهدید از اکتبر 2023، مشاهده کرده‌ است که بیشترین کشورها و مناطق تحت تأثیر چین، تایوان، ترکیه و ازبکستان می‌باشند.

سایر بدافزارها

بکدور جدید macOS که کیف پول‌های ارز دیجیتال را می‌رباید

کسپرسکی در دسامبر ۲۰۲۳، برخی برنامه های کرک شده را کشف کرد که به یک پروکسی تروجان آلوده شده بودند. کارشناسان این شرکت همچنین یک خانواده بدافزار جدید macOS را مشاهده نمودند که از نرم ‌افزار کرک شده برای سرقت کیف پول‌های ارز دیجیتال (کریپتو) استفاده می‌کرد.

برنامه‌های کرک شده، یکی از ساده‌ترین راه‌ها برای ورود بدافزار به رایانه‌ و افزایش سطح دسترسی است. این برنامه‌ها تنها می‌بایست گذرواژه را بدست آورند که معمولاً در هنگام نصب نرم‌ افزار، درخواست می‌گردد و هیچگونه شک و تردیدی ایجاد نمی‌کند.

با این حال، برخی موارد مانند قرار دادن اسکریپت پایتون در یک رکورد TXT دامنه بر روی سرور DNS، مبتکرانه بودند. این اسکریپت بعداً به agent های راه‌اندازی افزوده شد تا بارگیری پیلود مرحله بعدی را در یک حلقه بی‌نهایت دانلود و اجرا کند. از این رو، اپراتورهای بدافزار می‌توانند به‌روزرسانی‌های جدید را در صورت نیاز، به دستگاه آلوده ارائه دهند.

پیلود نهایی، یک بکدور می‌باشد که می‌تواند اسکریپت‌هایی را با سطح دسترسی administrator  اجرا کند و برنامه‌های کیف پول ارز دیجیتال Exodus و بیت‌کوین را با نسخه‌های آلوده جایگزین نماید که عبارات بازیابی مخفی را در طول فرآیند باز کردن کیف پول به سرقت خواهند برد. تحلیل جامع کسپرسکی را از اینجا بخوانید.

تروجان بانکی چند مرحله‌ای Coyote

توسعه دهندگان تروجان های بانکی دائما به دنبال راه‌های جدید برای توزیع ایمپلنت های خود هستند. کارشناسان کسپرسکی در تحقیقات اخیر خود، با بدافزار جدیدی به نام Coyote (کایوت) مواجه شدند که مشتریان بیش از 60 موسسه بانکی، عمدتاً واقع در برزیل را مورد هدف قرار می‌دهد.

آنچه توجه کارشناسان را به خود جلب کرد، زنجیره نفوذ پیچیده‌ای بود که از چندین فناوری پیشرفته استفاده می‌کند و آن را از سایر تروجان های بانکی متمایز می‌سازد. Coyote به جای استفاده از دلفی یا نصب کننده MSI برای توزیع، از ابزار نسبتا جدیدی به منظور نصب و به روزرسانی برنامه‌های دسکتاپ ویندوز به نام Squirrel استفاده می‌کند.

هنگامی که Squirrel اجرا می‌شود، یک برنامه NodeJS را اجرا می‌کند که با Electron کامپایل شده است. این برنامه، کد جاوا اسکریپت مبهم را اجرا می‌کند تا تمام فایل‌های اجرایی موجود در یک فولدر لوکال به نام temp را در فولدر captures واقع در فولدر Videos کپی کرده و سپس یک برنامه امضا شده را از آن دایرکتوری اجرا نماید.

یکی از عناصر جالب زنجیره نفوذ، استفاده از Nim، یک زبان برنامه نویسی نسبتا جدید، برای بارگذاری پیلود نهایی است. هدف لودر، باز کردن یک فایل اجرایی دات نت و اجرای آن در حافظه با استفاده از CLR است. این بدان معناست که هدف لودر، بارگذاری فایل اجرایی و اجرای آن در فرآیند خود می‌باشد که یادآور نحوه کار Donut است. تروجان Coyote پس از پشت سر گذاشتن تمام این مراحل، اجرا می‌شود.