کمیته رکن چهارم – شرکت پالوآلتو یک حمله جدید را کشف کرده است که به وسیله گروه Wekby APT انجام شده و از یک بدافزار که درخواستهای DNS را برای اتصالات C2 استفادهمیکند، بهرهمیبرد.
کارشناسان امنیتی این گروه را که به نامهای Wekby ،Deynamite ،Panda معروف است، به انجام نفوذهای امنیتی در سامانههای بهداشت اجتماعی در سال ۲۰۱۴ مرتبط دانستهاند. مهاجمان از آسیبپذیری Heartbleed در OpenSSL برای سرقت اطلاعات ۴.۵ میلیون بیمار بهرهبرداری کردهاند.
در جولای ۲۰۱۵، گروه Wekby APT با بهرهبرداری از آسیبپذیری فلش پلیر CVE-۲۰۱۵-۵۱۱۹ در کیت بهرهبردار خود شناسایی شدند، این کد بهرهبردار در نتیجه حمله علیه تیم Hacking فاش شد.
در آخرین موج حملاتی که به وسیله کارشناسان پالوآلتو کشف شدهاست، گروه Wekby APT به سازمانی مستقر در آمریکا با استفاده از زنجیره بدافزاری به نام posloader حملهکردهاند. بدافزار posloader یکی از انواع HTTPBrowser RAT است که بهوسیله HTTP از نشانی زیر ارسال میشود:
عوامل این تهدید یک استقرار دهنده بدافزار را ارسال میکنند که کلیدهای رجیستری را برای تدوام و رمزگشایی و اجرای بار داده posloader اضافهمیکند این کلیدها مبهم هستند و از تکنیکهای برنامهنویسی بازگشتگرا (ROP) برای ساخت آن استفاده شدهاست.
«این دستور خاص، کلید رجیستری HKCU\Software\Microsoft\Windows\CurrentVersion\Run\lsm را با یک مقدار %appdata%\lsm.exe جایگزین میکند. پس از اینکه کلید تنظیم شد، بدافزار شروع به رمزگشایی دو مورد داده با یک کلید تکبایتی XOR از ۰x۵۴ میکند. نتیجه کار در مسیر پرونده %appdata%\lsm.exe نوشتهمیشود. پس از اینکه این پرونده نوشته شد، بدافزار پرونده نوشته شده جدید lsm.exe را اجرا میکند که بار داده مخرب Pisloader را در بر دارد.»
اما کشف جدید توسط محققان شرکت پالوآلتو این است که Pisloader از درخواستهای DNS برای ارتباطات کارگزار C&C استفاده میکند به این شکل کد مخرب قادر است که فعالیت خود را به شکل پنهان ادامه دهد.
سوءاستفاده از درخواستهای DNS تاکنون نیز به وسیله محققان بدافزار مشاهده شدهبود در ماه مارس ۲۰۱۶ کارشناسان شرکت FireEye زنجیرهای از بدافزارهای POS را کشف کردند که به نام Multigrain نامیده شد و دادههای مربوط به کارتهای اعتباری را از سامانههای پایانه فروش سرقت کرده و روی DNS خارج میکرد.
Pisloader در طی یک دوره درخواستهای DNS را که درون بدافزار تعبیه شده است به مرکز C&C خود ارسال میکند.
نمونه Pisloader یک بیکن را بهصورت دورهای ارسالمیکند که شامل یکی رشته چهار بایتی با حروف بزرگ است و بهعنوان بار داده مخرب ارسال میشود. نمونهای از آن را میتوان در زیر مشاهدهکرد:
«کد مخرب انتظار جنبههای مختلف پاسخهای DNS را برای انجام تنظیمات خاص دارد یا اینکه posloader پاسخ DNS را نادیده میگیرد».
کارگزار C&C با یک رکورد TXT پاسخ میدهد که میتواند شامل دستورات مختلفی برای بدافزار باشد. این کشف که به وسیله کارشناسان شرکت پالو آلتو صورت گرفتهاست نشان میدهد که گروه Wekby هنوز فعال است و بهصورت پویا با استفاده از بدافزارهای پیچیده درگیر حملات جاسوسی سایبری سطح بالا است.
مرجع : وبگاه اخبار امنیتی فنآوری اطلاعات و ارتباطات
