کمیته رکن چهارم – پژوهشگران امنیتی از شناسایی یک بکدور جدید با نام Mistic خبر دادهاند که در حملات با انگیزه مالی علیه سازمانهای فعال در حوزههای بیمه، آموزش، فناوری اطلاعات و خدمات حرفهای مورد استفاده قرار گرفته است.
به گزارش کمیته رکن چهارم، شرکت Symantec اعلام کرده است که این بدافزار به احتمال زیاد با گروه KongTuke یا Woodgnat مرتبط است؛ گروهی که بهعنوان دلال دسترسی اولیه شناخته میشود و در نفوذ به شبکههای سازمانی و فروش دسترسیهای بهدستآمده به سایر مجرمان سایبری فعالیت دارد.
بررسیها نشان میدهد استفاده از Mistic حداقل از فروردین و اردیبهشت ۱۴۰۵ آغاز شده است. در یکی از حملات مشاهدهشده، این بدافزار پس از استقرار ModeloRAT فعال شده؛ بدافزاری که پیشتر نیز به گروه KongTuke نسبت داده شده بود.
در زنجیره آلودگی، مهاجمان از فایل قانونی MpExtMs.exe برای بارگذاری جانبی فایل مخرب version.dll استفاده میکنند. این فایل در ادامه بارگذار اصلی Mistic را با نام EndpointDlp.dll اجرا میکند. نام این فایل بهگونهای انتخاب شده که شباهت زیادی به ابزارهای امنیتی مایکروسافت داشته باشد و توجه کمتری را جلب کند.
بر اساس گزارش منتشرشده، Mistic پس از اجرا با سرور فرماندهی و کنترل ارتباط برقرار کرده و امکان بارگذاری و دانلود فایل، حذف یا جابهجایی دادهها، ایجاد پوشه، اجرای کد در حافظه و حتی حذف کامل خود از سیستم را در اختیار مهاجمان قرار میدهد.
پژوهشگران اعلام کردهاند این بدافزار بهطور ویژه برای پنهانکاری طراحی شده و قادر است بدون ذخیره فایل روی دیسک، کدهای مخرب را مستقیماً در حافظه اجرا کند. همچنین وجود مکانیزم حذف خودکار باعث میشود ردپای فعالیت مهاجمان روی سیستم به حداقل برسد.
همزمان شرکت Zscaler نیز نمونهای مشابه با نام MTLBackdoor را شناسایی کرده که از طریق حملات ClickFix توزیع میشود. این بدافزار قابلیت اجرای Beacon Object File یا BOF را دارد؛ قابلیتی که امکان اجرای ابزارهای اضافی در حافظه و بدون ایجاد فایل روی دیسک را فراهم میکند.
منبع: BleepingComputer
