مرکز امنیت و‌ رخدادهای‌ سایبری | APK

آلوده کردن سیستم‌ها با بدافزار ExileRAT موجود در فایل‌های پاورپوینت

آلوده کردن سیستم‌ها با بدافزار ExileRAT موجود در فایل‌های پاورپوینت

محققان یک گروه مخرب جدید که بدافزار قدرتمند ExileRAT را که از طریق اسناد پاورپوینت با استفاده از زیرساخت ­های سرور منسوخ C2 پخش می­ کند، شناسایی کرده‌اند. مهاجمان نرم‌افزارهای مخرب را از طریق پیوست ایمیل ارسال شده از سوی ایمیل نمایندگی اداره کل مرکزی ثبت (Central Tibetan Administration  (CTA که یک سازمان دولتی ثبتی است، پخش می­کنند.

به نظر می‌رسد هدف این گروه از بدافزارها، جاسوسی از جمعیت عمومی به دلایل سیاسی ­باشد و به احتمال زیاد برای رسیدن به نفع مالی نیست. فرمت PPSX که یک فرمت Slideshow غیر قابل ویرایش Microsoft PowerPoint می­ باشد و یک فهرست ایمیل CTA برای این حمله مورد استفاده قرار گرفته‌اند. تجزیه و تحلیل بیشتر نشان داد که این گروه از بدافزار همان Payload و زیرساخت ­های LuckyCat، که یک بدافزار برای سیستم‌های اندروید و ویندوز می ­باشد، را دارد.

جدا از این، میزبانی سرور C2 کشف شده برای چندین گروه با استفاده از Payload مشابه و تحویل دهنده­ی فایل PPSX به مهاجم اجازه می­دهد تا Payloadهای مختلف را در سیستم قربانی اجرا کند. زیرساخت استفاده شده­ برای فهرست ایمیل‌ها نیز، زیرساخت­ های کمپانی هندی DearMail می­باشد که مدیریت کمپین ایمیل مبتنی بر Cloud را ارائه می­دهد. مهاجمان از سربرگ ایمیل و تغییر استاندارد پاسخ سوءاستفاده کرده که به آن­ها اجازه می­ دهد مستقیما از آدرس ایمیل قربانیان به آدرس ایمیل مهاجم پاسخ دریافت کنند.

فرایند آلوده شدن به بدافزار ExileRat

مهاجمان از آسیب‌پذیری که مربوط به فعال­سازی کد­های Remote مبتنی بر Microsoft Office که در GitHub قابل دسترس عموم است استفاده می­ کنند. کد آسیب‌پذیری در فایل slide1.xml.rels قرار دارد و محققان با تجزیه و تحلیل پویا در Threat Grid، یافتند که فایل PPSX همچنین تلاش ­می­کند با مراجعه به مکان IP، جستجوی مکان جغرافیایی IP نیز انجام دهد.

آلوده کردن سیستم‌ها با بدافزار ExileRAT موجود در فایل‌های پاورپوینت

بعدا درخواست HTTP را به سرور C2 آغاز می­کند و یک اسکریپت JavaScript که مسئول بارگیری Payload “Syshost.exe” است را دریافت و سیستم را آلوده می­ کند.

ExileRAT یک بدافزار مبتنی بر تروجان از راه دور است که قادر به گرفتن اطلاعات سیستم شامل نام کامپیوتر، نام کاربری، لیست درایوها، آداپتور شبکه و نام Process، گرفتن و فرستادن فایل ­ها و اجرا و یا پایان دادن به Processها است. براساس تحقیق Cisco Talos، به استثنای آلوده‌شدن‌هایی که با ExileRAT بوده، محققان چندین دایرکتوری باز را شناسایی کرده که حاوی فایل‌های دیگر exe و dll یعنی AcroRd32.exe و ccL100U.dll بودند. همچنین محققان Talos گفته اند: «در IP سرورهای C2 در Syshost.exe که اخیرا به دامنه mondaynews[.]tk متصل شده است. این دامنه­­ی C2 یک RAT اندروید است که در 3 ژانویه ایجاد شده و یک نسخه آندروید جدیدتر از RAT LuckyCat است و در سال 2012 در برابر فعالان منطقه‌ی تبت استفاده شده بود.»

اشتراک امنیت

دسته ها