کمیته رکن چهارم – کارشناسان کسپرسکی نسخه تازهای از بدافزار HZ Rat backdoor کشف کردهاند که با سوءاستفاده از پیامرسانهای DingTalk و WeChat در سیستمعامل macOS از کاربران جاسوسی میکند.
محققان امنیتی آکادمی کسپرسکی نسخه تازهای از بدافزار HZ Rat backdoor کشف کردهاند که کاربران پیامرسانهای DingTalk و WeChat در سیستمعامل macOS را هدف قرار میدهد و اقدام به جاسوسی از آنها میکند. سازوکار این نمونه جدید بسیار مشابه نسخه ویندوز این بدافزار است که به وسیله کدهای مخرب PowerShell سیستم قربانی را آلوده میکرد.
دو روش برای راه یافتن بدافزار به سیستم کاربر وجود دارد. در روش نخست، کد مخرب به صورت مستقیم از سرور مهاجم دریافت میشود. لازم به ذکر است که برخی نسخههای این در پشتی از آدرسهای IP محلی برای برقراری ارتباط با یک سرور فرمان و کنترل (C2) استفاده میکردند که میتواند نشاندهنده هدفمند بودن حمله و قصد مهاجمان برای بهرهبرداری از backdoor به منظور حرکت جانبی روی شبکه قربانی باشد. در روش دوم، بدافزار، خود را به عنوان یک نصبکننده نرمافزاری دیگر همانند OpenVPN، PuTTYgen یا EasyConnect جا میزند. هنوز نقطه توزیع اصلی بدافزار یافت نشده است ولی یک بسته نصبی برای یکی از نمونههای آن به نام OpenVPNConnect.pkg در دسترس عموم قرار گرفته است. این نمونه توسط هیچ یک از ابزارهای مطرح، مخرب شناسایی نشده است و همانند یک نصبکننده نرمافزار عمل میکند با این تفاوت که در زیرشاخه MacOS و در کنار نرمافزار اصلی، دو فایل exe و init نیز وجود دارند. با اجرای نرمافزار بر روی سیستم قربانی، ابتدا، فایل exe اجرا میشود. فایل exe حاوی کدهایی است که نخست فایل init و سپس نرمافزار OpenVPN را اجرا میکند. این ترتیب اجرا در فایل Info.plist مشخص شده است.
در واقع، فایل init همان backdoor است که به زبان C++ نوشته شده است. پس از اجرا شدن، فایل init، با IPهای مشخصشده در خود backdoor اتصالی به سرور C2 برقرار میکند. در بسیاری از موارد پورت ۸۰۸۱ برای اتصال مورد استفاده قرار گرفته است. همچنین برخی نمونهها از آدرسهای IP خصوصی برای برقراری این اتصال بهره میبردند. این نمونهها، به احتمال بالا، به منظور کنترل دستگاه قربانی با استفاده از رایانهای از پیش آلودهشده در شبکه محلی ایشان به عنوان سرور پروکسی برای راهنمایی اتصال به سوی سرور C2 به کار برده می-شدهاند. این امر به منظور پنهان کردن بدافزار در شبکه صورت میگیرد، زیرا تنها دستگاه دارای پروکسی با سرور C2 ارتباط برقرار میکند.
تمامی ارتباطات با سرور C2 با استفاده از XOR و کلید ۰X42 رمزگذاری شدهاند. برای آغاز session، backdoor یک عدد تصادفی با برچسب cookie را به سرور ارسال میکند. دستورات اجرایی از سرور C2 به دست آمده که اطلاعاتی مانند وضعیت System Integrity Protection و اطلاعات سیستم و دستگاه، ازجمله آدرس IP محلی، اطلاعات دستگاههای بلوتوثی، اطلاعات شبکههای Wi-Fi در دسترس، آداپتورهای شبکه بیسیم موجود و شبکهای که دستگاه به آن متصل است، مشخصات سختافزاری، اطلاعات مربوط به ذخیرهسازی دادهها، لیست برنامهها، اطلاعات کاربر در WeChat، اطلاعات کاربر و سازمان از DingTalk و کاربری و وبسایت به صورت مقادیر جفتی از Google Password Manager را از سیستم قربانی استخراج میکنند.
این دادهها به صورت متن ساده (plain text) در فایل userinfo.data ذخیره میشوند. مهاجمان به اطلاعات دقیقتری از برنامه DingTalk علاقهمندند ازجمله نام سازمان و بخشی که کاربر در آن کار میکند، نام کاربری، آدرس ایمیل شرکت و شماره تلفن. کد مخرب تلاش میکند این اطلاعات را از فایل orgEmployeeModel دریافت کند. اگر این فایل یافت نشود، بدافزار در فایل sAlimailLoginEmail به دنبال شماره تلفن و آدرس ایمیل کاربر میگردد. اگر این اقدام نیز شکست بخورد، تلاش میکند آدرس ایمیل کاربر را در یکی از فایلهای کش DingTalk به نام .holmes.mappings بیابد. این اطلاعات نیز به صورت متن ساده نگهداری میشوند.
در زمان تحلیل، ۴ سرور کنترل فعال بوده و دستورات مخرب بازمیگرداند. برخی از آدرسهای IP شناساییشده پیشتر در حملات به دستگاههای ویندوز دیده شده بودند. به جز تنها دو سرور که در ایالت متحده آمریکا و هلند قرار داشتند، تمامی سرورهای C2 در چین یافت شدند. بسته نصبی مخرب قبلا از دامنه زیر متعلق به شرکت بازیسازی MiHoYo، بارگیری شده است. چگونگی راهیابی این فایل به این دامنه هنوز به طور قطع مشخص نشده است و احتمال دارد این کمپانی قبلا هک شده باشد.
hxxp://vpn.mihoyo[.]com/uploads/OpenVPNConnect.zip.
تمامی نسخههای سیستمعامل macOS در مقابل این بدافزار آسیبپذیر هستند. باید macOS و تمامی اپلیکیشنهای نصبشده بهروز باشند تا آسیبپذیریهای شناختهشده برطرف شوند و به کاربران توصیه میشود از برنامههای WeChat و DingTalk بپرهیزند.
منبع: افتانا