همه چیز درباره موش صحرایی گروه TA505

کمیته رکن چهارم – شرکت پروف‌پوینت از شناسایی بدافزار جدیدی با عنوان tRAT خبر داده که حداقل در دو کارزار هرزنامه‌ای کاربران را هدف قرار داده است.

به‌نظر می‌رسد tRAT که نوعی اسب تروای کنترل از راه دور (Remote Access Trojan – به اختصار RAT) محسوب می‌شود فعلا مراحل آزمایشی خود را طی می‌کند و تمام قابلیت‌های مورد نظر مهاجمان در آن گنجانده نشده است. اما به دلیل استفاده گروه هک TA505 از این بدافزار، توجه محققان پروف‌پوینت را به خود جلب کرده است.

بر اساس گزارش پروف‌پوینت این بدافزار از طریق دو کارزار هرزنامه‌ای در ماه‌های سپتامبر و اکتبر سال میلادی جاری انتشار یافته است.

پیوست هرزنامه‌ها در کارزار نخست فایل‌های Word حاوی ماکروی مخرب گزارش شده است. وظیفه ماکرو، دریافت و اجرای tRAT است.

به‌صورت پیش‌فرض در برنامه‌های مجموعه نرم‌افزاری Office در زمان باز کردن فایل‌های حاوی ماکرو پیامی ظاهر شده و از کاربر خواسته می‌شود تا برای استفاده از کدهای به‌کار رفته در فایل، بر روی دگمه Enable Content کلیک کند.

بدین‌منظور مهاجمان تلاش کرده بودند تا در فایل باز شده این طور وانمود کنند که سند توسط ضدویروس Norton حفاظت شده و برای مشاهده محتوای آن باید بر روی Enable Content کلیک شود.

پروف‌پوینت کارزار دوم را به‌مراتب پیچیده‌تر دانسته و اجراکننده آن را به گروه TA505 نسبت داده است.

در کارزار مذکور علاوه بر Word از فایل‌های Microsoft Publisher نیز بهره گرفته شده و هرزنامه‌ها با عناوین و فرستندگان مختلف ارسال شده است. نمونه‌ای از این هرزنامه‌ها و پیوست آنها در تصاویر زیر قابل مشاهده است.

کاربران موسسات بانکی از جمله اهداف کارزار دوم معرفی شده‌اند.

پس از فعال شدن ماکرو، کد مخرب tRAT دریافت شده و اجراکننده آن با نام fhost.exe در پوشه زیر کپی می‌شود:

• C:\Users\<user>\AppData\Roaming\Adobe\Flash Player\Services\Frame Host

میانبری از آن نیز با نام bfhost.lnk در پوشه Startup ایجاد می‌گردد تا از این طریق با هر بار راه‌اندازی شدن سیستم، بدافزار به‌صورت خودکار اجرا شود.

ارتباط با سرور فرماندهی از طریق درگاه ۸۰ برقرار می‌شود. داده‌ها پیش از ارسال، رمزگذاری شده و در قالب شانزده‌شانزدهی فرستاده می‌شوند.

به گفته پروف‌پوینت، تنها فرمانی که در نسخه فعلی tRAT از آن پشتیبانی می‌شود دستوری با عنوان MODULE است که امکان ارسال کدهای مخرب بیشتر به دستگاه را برای مهاجمان فراهم می‌کند.

پروف‌پوینت ناقص بودن این بدافزار را نشانه‌ای از آزمایشی بودن نسخه مورد بررسی قرار گرفته توسط محققان این شرکت می‌داند.

TA505 یک گروه هکر حرفه‌ای است که از سال ۲۰۱۴ فعال بوده و انتشار گسترده باج‌افزار Locky را در کارنامه دارد.

استفاده آزمایشی از بدافزارها توسط این گروه و عدم استفاده مجدد از آنها موضوعی غیرعادی نیست. همان‌طور که در نمونه‌هایی همچون BackNet،وCobalt Strike،و Marap،و Dreamsmasher و BART این اقدام آنها تجربه شده است. با این حال محققان پروف‌پوینت معتقدند که واکنش TA505 نسبت به بررسی tRAT مثبت بوده و همانند باج‌افزار Locky و FlawedAmmy بر اساس نیازهای خود آن را سفارشی خواهند کرد. ضمن این‌که عملکرد TA505 در سال میلادی جاری را نشانه‌ای از تمرکز بیشتر این گروه بر روی حملاتی با ماندگاری بالاتر و اهدافی درازمدت‌تر همچون فراهم نمودن کنترل از راه دور دستگاه‌ها می‌دانند.

توضیح این‌که نمونه بررسی شده در گزارش پروف‌پوینت با نام‌های زیر قابل شناسایی می‌باشد:

Bitdefender:
  – Trojan.Agent.DFSO
  – Trojan.GenericKD.31281156

McAfee:
  – RDN/Generic.tfr

مشروح گزارش این شرکت نیز در لینک زیر قابل دریافت و مطالعه است:

• https://www.proofpoint.com/us/threat-insight/post/trat-new-modular-rat-appears-multiple-email-campaigns

منبع : شبکه گستر