کمیته رکن چهارم – از ابتدای سال، شرکتهای امنیتی عملیات باجافزاری گستردهای را مشاهده کردهاند که در حال پخش باجافزار Shade است.
بین ماههای ژانویه و فوریه، بسیاری از شرکتهای امنیتی، عملیات جدید، گسترده و غیرقانونی را شناسایی کردهاند که در حال پخش گونهی Shade/Treshold، یکی از خطرناکترین تهدیدات سناریوهای جرائم اینترنتی و شناختهشده از آلودگی بزرگ در روسیه در سال ۲۰۱۵، است که فعالیت آن توسط چندین CSIRT و CERT در سراسر جهان تحت نظر است. همانطور که در گزارش اخیر Eset آمده، میزان آلودگی Shade در اکتبر ۲۰۱۸ افزایش یافته است، سپس در نیمه دوم دسامبر ۲۰۱۸، روندی ثابت داشته، هنگام کریسمس با کاهش روبرو بوده و پسازآن در اواسط ماه ژانویه ۲۰۱۹ دو برابر شده است.
در آخرین امواج حمله، مهاجمان سعی داشتند خود را به جای شرکتهای نفت و گاز روسیه، به خصوص PAO NGK Slavneft جا بزنند، تا به بخشهایی از این صنعت ضربه بزنند.
روش توزیع آلودگی در نمونه مورد بررسی، ارسال ایمیل، یک روش معمول و مؤثر، بوده است. ایمیل فیشینگ حاوی یک فایل zip با نام slavneft.zakaz.zip است. این فایل، شامل یک فایل جاوا اسکریپت روسی است. این فایل بهعنوان دانلود کننده در زنجیره آلودگی عمل میکند، با استفاده از یک سری آدرسهای سختافزاری سرور، برای جلوگیری از شناسایی توسط ضدویروسها بهشدت به مبهم سازی و رمزگذاری متکی است. در این کد جاوا اسکریپت، اگر اولین درخواست HTTP انجام نشود، دومی نیز ارسال نمیشود، اما متغیر qF با سایرURL های مخرب مقداردهی میشود. احتمالاً کد جاوا اسکریپت هنوز درحالتوسعه و بهبود است، بنابراین مهاجم برای بازیابی نمونه از دیگر منابع، میتواند خطوط کد جدیدی وارد مجموعه قبلی کند.
تمام منابع بارگذاری شده توسط دانلود کننده جاوا اسکریپت به وبسایتهای آسیبدیده اشاره میکند که بیشتر آنها در حال اجرای سیستمهای مدیریت محتوای وردپرس و جوملا هستند. درعینحال، Treshold قادر به استفاده از یک ماژول کرم برای جستجو و یافتن همگانی صفحات ورود به سیستم چندین برنامه کاربردی شناخته شده مانند وردپرس و جوملا است.
بدافزار هنگامی که در وبسایتها قرار میگیرد، یک نسخه از کد اجرایی را بارگذاری میکند. با استفاده از این روش، بدافزار نسخههای متعدد پشتیبان ایجاد میکند تا انعطافپذیری خود در نقاط تحت کنترل را افزایش دهد.
بدافزار Shade در زمان تجزیهوتحلیل، میزان تشخیص بالایی را از خود نشان نداده است و تنها یک سوم ضد بدافزارها آن را شناسایی کردند. Shade تمامی فایلهای کاربر را با استفاده از طرح رمزنگاری AES رمزگذاری میکند. سپس پسوند «.crypted۰۰۰۰۰۷» را به آنها اضافه کرده و پیغام باجخواهی را در هر پوشه سیستم، به دو زبان انگلیسی و روسی ایجاد میکند. Shade با استفاده از کتابخانههای TOR تعبیهشده به سرور C2 خود متصل شده و ماژولهای اضافی مانند CMSBrute یا استخراجگر ZCash را دریافت میکند.
