مرکز امنیت و‌ رخدادهای‌ سایبری | APK

حمله سایبری به سازمان‌های دولتی خاورمیانه

کمتر از یک هفته پس از این که مایکروسافت در 23 آبان اقدام به انتشار یک Patch برای CVE-2017-11882 نمود، متخصصان امنیت سایبری دریافتند که مهاجمی با استفاده از یک کد مخرب و آسیب‌پذیری‌های مایکروسافت آفیس اقدام به حمله سایبری به یک سازمان دولتی در خاورمیانه نموده اند. با توجه به ارزیابی که شرکت امنیتی FireEye انجام داده است این اقدام توسط یک گروه سایبری تحت عنوان APT34 صورت گرفته است که به منظور رسیدن به اهداف خود از یک PowerShell Backdoor استفاده می‌نماید.

به اعتقاد این شرکت، گروه APT34 که از سال 2014 در حال فعالیت است، درگیر یک عملیات بلند مدت سایبری بوده و به صورت عمده بر روی عملیات شناسایی آسیب ­پذیری­ ها متمرکز است. این گروه که عملیات خود را در خاورمیانه متمرکز نموده است اهداف گسترده‌ای در صنایع متفاوت از جمله مالی، حکومتی، انرژی، شیمیایی و ارتباطات مخابراتی دارد.

این گروه از ترکیبی از ابزارهای عمومی و غیرعمومی استفاده کرده و معمولا با عملیات Spear Phishing از حساب‌های دستکاری شده استفاده می‌نماید که این اقدام گاهی با روش­های مهندسی اجتماعی نیز همراه است. FireEye در اردیبهشت­ ماه 95 یک Blog حاوی جزئیاتی از بانک‌های هدف در منطقه خاورمیانه منتشر نمود که برای پخش کردن بدافزار POWBAT از پیوست‌های Macro-Enabled استفاده می‌کرد، که به ادعای شرکت امنیتی سایبری FireEye به گروه APT34 نسبت داده شده است. در تیرماه 96 مشاهده شد که این گروه با استفاده از یک Backdoor مبتنی بر PowerShell با نام POWRUNER و همچنین با استفاده از ابزار دانلود با قابلیت الگوریتم تولید دامنه با نام BONDUPDATER و بر اساس Stringهای درون بدافزار، در حال هدف قرار دادن سازمانی در خاورمیانه می‌باشد. این Backdoor از طریق یک فایل rtf. مخرب که در آسیب­پذیری CVE-2017-0199 ارائه شده است، استفاده می­ کند.

این گروه در آخرین فعالیت خود به منظور پیاده‌سازی POWRUNER و BONDUPDATER از آسیب‌پذیری CVE-2017-11882 مایکروسافت آفیس استفاده کرده است.

گرچه ممکن است گروه APT34 چندان با گزارش­ های عمومی مربوط به گروه “OilRig” همخوانی نداشته باشد زیرا همانطور که هر سازمان به نوبه‌ی خود برای ردیابی مهاجمان از مجموعه داده‌های متفاوتی استفاده می‌نماید، به همین صورت هم محتمل است که دسته‌بندی‌های این سازمان امنیتی از فعالیت‌های این گروه کاملا با یکدیگر سازگار نباشد.

آسیب ­پذیری Stack Memory Corruption مایکروسافت آفیس

آسیب‌پذیری CVE-2017-11882 چندین نسخه از مایکروسافت آفیس را تحت تاثیر قرار می‌داد و هنگامی که مورد Exploit واقع شد به کاربر Remote اجازه می‌داد تا کد دلخواه خود را در متن کاربر به عنوان نتیجه‌ی رسیدگی نادرست اطلاعات در حافظه به اجرا درآورد. نسخه­­ی Patch این آسیب‌پذیری در 23 آبان 96 توسط مایکروسافت منتشر و نسخه‌ی کامل Proof-Of-Concept یا به اختصار PoC نیز یک هفته بعد منتشر گردید.

این آسیب‌پذیری در نسخه‌ی قدیمی (Equation Editor (EQNEDT32.EXE یکی از اجزای مایکروسافت آفیس که به منظور قرار دادن و ارزیابی نمودن فرمول‌های ریاضی مورد استفاده قرار می‌گیرد، نیز موجود بود. Equation Editor در اسناد آفیس جاسازی شده و از تکنولوژی OLE استفاده می‌نماید و به عنوان فرایندی جداگانه و نه به عنوان فرایندی وابسته به برنامه‌های آفیس ایجاد شده است. در صورتی که یک فرمول ساخته شده به Equation Editor منتقل شود، در هنگام کپی داده‌ها، طول آن‌ها توسط این برنامه مورد بررسی قرار نمی‌گیرد در نتیجه Stack Memory Corruption ایجاد خواهد شد. از آنجا که EQNEDT32.exe با استفاده از یک کامپایلر قدیمی‌تر کامپایل می‌شود و از تکنیک Address Space Layout Randomization یا به اختصار ASLR پشتیبانی نمی‌نماید، تکنیکی که به منظور جلوگیری از سواستفاده از آسیب‌پذیری‌های Memory Corruption پیکربندی­ شده است به خوبی عمل نکرده و در نتیجه مهاجم می‌تواند به آسانی مسیر اجرای برنامه را تغییر دهد.

الگوریتم اجرای فایل مخرب

این اسکریپت مخرب با استفاده از یک سری مراحل با موفقیت اجرا شده و در نهایت اتصالی به سرور کامند و کنترل (C2) برقرار می‌سازد. نقطه آغازین این جریان از یک Document مخرب نشان داده شده در شکل زیر می‌باشد.

حمله سایبری به سازمان‌های دولتی خاورمیانه

پس از اجرای موفق مراحل ذکر شده در بخش بالا، سرویس Task Scheduler در ویندوز هر ثانیه فایل GoogleUpdateschecker.vbs را راه‌اندازی می‌کند که در نتیجه این فایل، اسکریپت‌های dUpdateCheckers.ps1 و hUpdateCheckers.ps1 را اجرا می‌نماید. این اسکریپت‌های PowerShell بارهای نهایی فرایند می‌باشند که شامل یک دانلودکننده با قابلیت الگوریتم تولید دامنه یا به اختصار DGA و اجزای Backdoor است، که برای دریافت دستورات و انجام فعالیت‌های مخرب دیگر، به سرور C2 متصل می‌شوند.

اشتراک امنیت

دسته ها