کمیته رکن چهارم – نتیجه بررسی و رصد نسخه جدیدی از تروجان Loda طی چند ماه گذشته توسط محققان امنیت سایبری شرکت سیسکو از ارتقای قابلیتهای این بدافزار حکایت دارد.
نخستین نسخه از Loda در سال ۲۰۱۶ شناسایی شد. این تروجان دسترسی از راه دور (Remote Access Trojan – به اختصار RAT) که به زبان AutoIt نوشته شده با قابلیتهایی از قبیل ضبط کلیدهای فشرده شده (Keylogger)، ثبت نماگرفت (Screenshot)، اجرا و بستن فرایندها و دریافت کدهای مخرب و بدافزارهای دیگر با برقراری ارتباط با سرور فرماندهی (C2) خود قادر به دسترسی یافتن، استخراج کردن و سرقت نمودن اطلاعات سیستم و کاربر است.
نتیجه بررسی و رصد نسخه جدیدی از این تروجان طی چند ماه گذشته توسط محققان شرکت Cisco از ارتقای قابلیتهای این بدافزار حکایت دارد.
آخرین نسخه این بدافزار ۱,۱.۱ است و در آن تلاش شده تا با تجدید ساختار روشهای موسوم به مبهمسازی (Obfuscation) بکار رفته در نسخ پیشین، قابلیتهای مخرب Loda از دید محصولات امنیتی و تحلیلگران بدافزار مخفی نگاه داشته شود. ضمن اینکه در آن سازوکارهای جدیدی در ماندگار ساختن خود بر روی سیستم پس از خاموش یا راهاندازی مجدد شدن دستگاه لحاظ شده است.
مشابه با نسخههای پیشین، در این نسخه نیز اکثر رشتههای مندرج و متغیرهای مورد استفاده در کد Loda رمزگذاری شده است.
بر خلاف نسخ پیشین که در آنها با استفاده از تابعی با احتمال خطا تلاش میشد تا نام ضدویروس بر روی دستگاه استخراج شود، در نسخه جدید با اجرای پرسمانهای (Query) مبتنی بر WMI، تروجان Loda قادر به شناسایی نرمافزار ضدویروس نصب شده بر روی دستگاه است.
از دیگر قابلیتهای جدید Loda توانایی آن در استخراج محتوای “filezilla\recentservers.xml\” است که حاوی اطلاعاتی همچون نشانیهای IP، نامهای کاربری و رمزهای عبور مورد استفاده بر روی سرورهای FileZilla است.
در جریان اجرای حملات اخیر ۴success[.]zapto[.]org و success۲۰[.]hopto[.]org در نقش سرور فرماندهی عمل میکردهاند.
دامنههای مذکور نقشی کلیدی در زنجیره آلودگی Loda داشته و فایلهایی نظیر اسناد Word را که در نهایت ناقل کدهای مخرب این تروجان هستند میزبانی میکنند.
حمله با روش آشنای ارسال ایمیل فیشینگ و با پیوست سندی با محتوای مخرب آغاز میشود. نام فایل پیوست یک نمونه بررسی شده توسط محققان، comprobante de confirmación de pago.docx گزارش شده که کد Office Open XML تزریق شده در آن به سندی دوم که فایلی با قالب Rich Text Format – به اختصار RTF – بر روی lcodigo[.]com است اشاره میکند.
برچسب نویسنده (Author Tag) در مشخصات فایل، obidah qudah است که در نزدیک به ۱۳۰۰ سند ارسال شده به سایت VirusTotal از سال ۲۰۱۷ به چشم میخورد.
برای مخفی کردن عملکر مخرب سند، یک بهرهجوی OLE در فایل RTF تزریق شده و از ترفندی بهمنظور جلوگیری از خوانده شدن شیء (Object) مورد استفاده در آن بهره گرفته شدهاست.
در صورت دریافت آن، سند دوم تلاش میکند تا از آسیبپذیری CVE-۲۰۱۷-۱۱۸۸۲ که ضعفی از نوع بروز اختلال در حافظه (Memory Corruption) در نرمافزارهای زیر است بهرهجویی شود:
Microsoft Office ۲۰۰۷ Service Pack ۳
Microsoft Office ۲۰۱۰ Service Pack ۲
Microsoft Office ۲۰۱۳ Service Pack ۱
Microsoft Office ۲۰۱۶
بهرهجویی از این آسیبپذیری امکان اجرای کد بهصورت از راه دور را فراهم میکند. در نمونههای دیگری از این تروجان که پیشتر توسط شرکت Cofense مورد بررسی قرار گرفته بود، در ایمیلهای دروغین و در ظاهر مرتبط با بیمه عمر، اشتراک و تغییرات در سیاستهای Amazon از آسیبپذیری یکسانی بهرهجویی شده بوده است.
در آخرین مرحله از زنجیره آلودگی، پس از اجرای بهرهجو، Loda در قالب یک فایل MSI بر روی دستگاه نصب میشود.
علیرغم سادگی روش انتشار این تروجان ، قابلیتهای آن به شدت مخرب است. توانایی آن در سرقت اطلاعات اصالتسنجی میتواند منجر به ضررهای مالی یا نشت اطلاعات شود. بهبودهای اعمال شده در آن ازجمله سازوکارهای ماندگاری این تروجان و قابلیت شناسایی محصولات ضدویروس از تکامل مستمر Loda توسط نویسندگان آن حکایت دارد.
منبع: مرکز مدیریت راهبردی افتا
