کمیته رکن چهارم – پژوهشگران شرکت امنیتی فایرآی در آن زمان اعلام کردند، قابلیتهای این بدافزار در نوع خود جالب توجه است. به دلیل اینکه سعی میکند اطلاعاتی در ارتباط با ماشینی که آنرا آلوده کرده جمعآوری کرده و در ادامه این اطلاعات را برای یک سرور راه دور ارسال کند. پس از انجام اینکار یک درب پشتی را روی ماشین قربانی نصب میکند.
به گزارش کمیته رکن چهارم،بدافزار فوق که MM Core نام دارد، اولین بار در آوریل سال ۲۰۱۳ میلادی شناسایی شد. پژوهشگران شرکت امنیتی فایرآی در آن زمان اعلام کردند، قابلیتهای این بدافزار در نوع خود جالب توجه است. به دلیل اینکه سعی میکند اطلاعاتی در ارتباط با ماشینی که آنرا آلوده کرده جمعآوری کرده و در ادامه این اطلاعات را برای یک سرور راه دور ارسال کند. پس از انجام اینکار یک درب پشتی را روی ماشین قربانی نصب میکند. اولین نسخه از این بدافزار به نام BaneChant عمدتا شرکتها و سازمانهایی که در شرق آسیا و آسیای مرکزی قرار داشتند را هدف قرار داده بود. بدافزار فوق از شگرد هوشمندانهای برای فریب سامانههای امنیتی استفاده میکرد. این بدافزار زمانی که روی سیستم قربانی قرار میگرفت پیش از آنکه فعالیت خود را آغاز کند، صبر میکرد تا قربانی چند کلیک با ماوس انجام دهد. به این شکل بدافزار این توانایی را داشت تا از مکانیزم سندباکس موسوم به جعبه شنی فرار کند.
این بدافزار برای آنکه مانع از آن شود تا سرور کنترل و فرماندهی در فهرست سیاه نرمافزارهای امنیتی قرار گیرد از سرویسهایی که برای کوتاهسازی آدرسهای اینترنتی در دسترس کاربران قرار دارند استفاده میکرد. همچنین به جای آنکه کدهای مخرب را در قالب یک فایل روی هارددیسک کاربران قرار دهد، کدها را درون حافظه اصلی قرار میداد تا به این شکل پژوهشگران امنیتی این شانس را نداشته باشند تا اطلاعات زیادی در ارتباط با این بدافزار به دست آورند.
نگارش جدید تنها سه ماه پس از شناسایی منتشر شد
در ژوئن همان سال، پژوهشگران موفق شدند نگارش جدیدی از بدافزار MM Core را شناسایی کنند. این بدافزار که همراه با برچسب LNK-2.1 شناسایی شده بود StrangeLove نام گرفت. نسخه جدید همان فعالیتهای قبلی را انجام میداد با این تفاوت که دانلودکننده به شکل دیگری کار میکرد. این نسخه نیز شرق آسیا و آسیای میانه را به عنوان اهداف خود انتخاب کرده بود.
اما پژوهشگران به تازگی دو نسخه جدید از این بدافزار به نامهای BigBoss و SillyGoose را شناسایی کردهاند. نسخه BigBoss کار خود را از سال ۲۰۱۵ میلادی آغاز کرده و sillyGoose از سپتامبر ۲۰۱۶ (شهریورماه) کار خود را آغاز کرده است. نسخههای جدید کاربرانی که در آفریقا و ایالات متحده ساکن هستند را به عنوان اهداف خود انتخاب کردهاند. این دو بدافزار سایتهای خبری، دولتی، صنایع نفت/گاز و مخابرات را به عنوان اهداف خود برگزیده است. این دو نسخه دقیقا همان درب پشتی که دو نگارش قبلی روی ماشینهای قربانیها نصب میکردند را با نام متفاوت قرار میدهند.
این دو بدافزار از آسیبپذیری نرمافزار ورد با شناسه CVE-2015-1641 سوء استفاده کرده و فرآیند دانلود را کامل میکنند. جالب آنکه تعدادی از مولفههای دانلود از یک گواهینامه دیجیتالی معتبر که از سوی یک شرکت روسی به نام Bor Port ارائه شده استفاده میکنند. پژوهشگران امنیتی اعلام کردهاند، هکرها به احتمال زیاد این گواهینامهها را به سرقت بردهاند. هکرها برای آنکه مانع از آن شوند که بدافزارها از سوی پژوهشگران امنیتی شناسایی شود از سرویس محافظت از حریم خصوصی WHOIS استفاده کردهاند تا امکان شناسایی سرورهای کنترل و فرماندهی امکانپذیر نباشد. تحلیلها نشان میدهند که پلتفرم، فناوری و کدهایی که همه این بدافزارها از آنها برای آلودهسازی ماشینها استفاده میکنند به پروژهای به نام Gratem تعلق دارد. Gratem یک دانلود کننده قدرتمند است که از سال ۲۰۱۴ در اختیار کاربران قرار گرفته است. پژوهشگران امنیتی اعلام داشتهاند: «به نظر میرسد MM Core بخشی از یک سناریو تهدید وسیع است که هنوز تمامی پازلهای مربوط به آن شناسایی نشدهاند.»
منبع:رسانه خبری امنیت اطلاعات
