حمله بدافزاری علیه نهادهای دولتی خاورمیانه

یک گروه بدافزاری در حال انجام حملات مداوم سایبری با استفاده از ابزارها و تکنیک‌های شناخته شده علیه نهادهای دولتی در منطقه خاورمیانه است.

کد خبر: ۱۱۶۳۳۰۶

به گزارش جام‌جم و به نقل از مرکز مدیریت راهبردی امنیت فضای تولید و تبادل اطلاعات ریاست‌جمهوری، گروه OilRig همچنان در حال انجام حملات مداوم با استفاده از ابزارها و تکنیک‌های شناخته شده علیه نهادهای دولتی در منطقه خاورمیانه است.

در این حملات از ایمیل‌های فیشینگ استفاده شده و قربانی با روش‌های مهندسی اجتماعی، وادار به اجرای یک پیوست مخرب می‌شود. در پیوست‌ها نیز از تروجان OopsIE که در فوریه ۲۰۱۸ شناسایی شده، استفاده شده است. در حملات گروه OilRig، قابلیت‌های OopsIE مشابه نسخه‌های قبلی این تروجان است، اما برخی قابلیت‌های مقابله با تحلیل و شناسایی ماشین مجازی در آن به‌کار گرفته شده است تا سیستم‌های دفاعی خودکار دور زده شوند.

پژوهشگران Palo Alto Networks، در جولای ۲۰۱۸ موجی از حملات گروه OilRig را گزارش کردند که با کمک ابزاری به نام QUADAGENT، یک آژانس دولتی مستقر در خاورمیانه را مورد هدف قرار گرفته بود. در این حملات ایمیل‌های فیشینگی از آدرس‌های به سرقت رفته از سازمان مورد هدف مشاهده شد که به جای QUADAGENT، تروجان OopsIE به‌عنوان بدنه در آنها منتقل شده است. موضوع ایمیل‌ها با زبان عربی نوشته شده که حاصل ترجمه آن عبارت «آموزش مدیریت مداوم کسب‌وکار» است. با توجه به بررسی‌های انجام شده، گروه‌های مورد هدف شامل افرادی هستند که اسناد و مقالاتی را به‌صورت عمومی در موضوع مدیریت مداوم کسب‌وکار منتشر کرده‌اند. تروجان OopsIE حملات خود را با اجرای چند عملگر ضدتحلیل و سندباکس آغاز می‌کند.

تروجان عملگرهای بررسی فن پردازنده، بررسی دما، بررسی نشانه‌گر موس، بررسی دیسک سخت، بررسی مادربورد، بررسی Sandboxie DLL، بررسی VBox DLL، بررسی VMware DLL، بررسی منطقه زمانی (که اطمینان حاصل شود منطقه زمانی قربانی در مناطق خاورمیانه (UTC+۲)، عربی (UTC+۳)، ایران (UTC+۳,۵) و غیره باشد و بررسی تعامل انسان را اجرا می‌کند. در صورتی که بررسی‌ها مطابق پارامترهای تعیین شده در بدافزار نباشد، تروجان بدون انجام فعالیتی خارج می‌شود. تروجان OopsIE منتقل شده در این حملات دارای قابلیت‌های مشابه نسخه قبلی این بدافزار است.

تشابه اصلی استفاده از فعالیت‌های زمان‌بندی شده برای اجرای دستورات به صورت پایدار در سیستم است. همچنین فرآیند کلی ارتباط با سرور C&C نیز مشابه نسخه قبلی است. علاوه‌بر این، مشابه نسخه قبلی، تروجان استفاده شده در این حمله نیز از اشیای مرورگر اینترنت اکسپلورر برای دریافت دستورها استفاده می‌کند.

با این حال، چند تفاوت نیز بین این نسخه و نسخه قبلی مشاهده می‌شود. در نگاه اول، در این نسخه تعداد زیادی از رشته‌ها مبهم‌سازی شده‌اند. مورد دیگر، تکنیک‌های مقابله با محیط‌های تحلیل است.

برخی تفاوت‌های جزئی نیز در کد نسخه جدید مشاهده شده است. یک تفاوت بارز در مقایسه با نسخه قبلی، نحوه نمایش آدرس سرور C&C است که در این نسخه آدرس سرورها یا پارامترهای موجود در آنها معکوس شده‌اند، به این صورت که chk به khc، what به tahw و resp به pser تبدیل شده است.