هشدارهای افتایی
گروه Lazarus با گسترده‌تر کردن دامنه فعالیت‌های خود به ساخت بدافزاری با قابلیت اجرا بر روی دستگاه‌های با سیستم عامل Linux اقدام کرده است.
به گزارش معاونت بررسی مرکز افتا، به نقل از پایگاه اینترنتی ZDNet، گروه Lazarus به دست داشتن در فعالیت‌های مخرب سایبری از جمله ساخت و انتشار باج‌افزار WannaCry، سرقت ده‌ها میلیون دلاری از بانک‌ها و حمله به بسیاری از مؤسسات مالی متهم است.
همچمین برخی گزارش‌ها از آن حکایت دارند که مهاجمان Lazarus به جمع مشتریان Trickbot پیوسته‌اند. گردانندگان بدافزار معروف Trickbot، امکان دسترسی به دستگاه‌های آلوده به این بدافزار را به همراه مجموعه‌ای از ابزارهای هک برای نفوذگران و تبهکاران سایبری فراهم می‌کنند.
در کنار خرید ابزارهای نفوذ توسعه‌یافته توسط سایر گروه‌ها و بهره گرفتن از آن‌ها، Lazarus قادر به ساخت بدافزارهای اختصاصی خود است.
یکی از این بدافزارها، تروجانی از نوع Remote Access Trojan – به اختصار RAT – است که در گزارش NetLab 360 از آن با عنوان Dacls یاد شده است.
در گزارش مذکور به قابلیت‌های این بدافزار و ارتباطات آن با گروه Lazarus پرداخته شده است. نکته قابل توجه در خصوص این بدافزار پشتیبانی آن از هر دو سیسم عامل Windows و Linux است. در حالی که نسخه تحت سیستم عامل Windows بدافزار Dacls به‌طور پویا از طریق یک نشانی URL به‌صورت از راه دور فراخوانی می‌شود، نسخه تحت Linux آن مستقیماً بر روی دستگاه کامپایل می‌شود.
به گفته NetLab 360، Dacls اولین – و تنهاترین – بدافزار Lazarus است که قابلیت اجرا بر روی Linux را دارد. این نسخه از Dacls  شامل 6 ماژول برای اجرای امور زیر است:
•    اجرای فرامین
•    مدیریت فایل
•    مدیریت پروسه
•    بررسی دسترسی به شبکه
•    ارتباط با سرور فرمان و کنترل (C2)
•    پویش شبکه
Dacls توانایی اجرای اموری همچون موارد زیر را نیز دارد:
•    سرقت، حذف و اجرای فایل‌ها
•    پویش پوشه‌ها
•    دریافت کدهای بیشتر
•    از کار انداختن پروسه‌ها
•    ایجاد پروسه در حالت موسوم به Daemon
•    ارسال داده‌هایی نظیر نتایج پویش و خروجی اجرای فرامین
در عین حال که Dacls بسته به سیستم عاملی که بر روی آن اجرا می‌شود عملکرد متفاوتی را از خود بروز می‌دهد، اما در هر دو سیستم عامل Windows و Linux با سرورهای فرمان و کنترل مشترکی ارتباط برقرار می‌کند.
Dacls یک بدافزار مبتنی بر ماژول است و از رمزگذاری‌های TLS و RC4 به‌منظور ایمن‌سازی ارتباطات برقرار شده با سرورهای فرمان و کنترل و از رمزگذاری AES برای حفاظت از فایل‌های تنظیمات خود استفاده می‌کند.
محققان معتقدند که CVE-2019-3396 که یک آسیب‌پذیری دسترسی از راه دور در ماکروی Widget Connector نسخه 6.6.12 و نسخه‌های قبل از آن در سرویس‌دهنده Atlassian Confluence است در انتشار Dacls نقش داشته است.
زمانی که نسخه تحت Linux آن بر روی ماشین آسیب‌پذیر اجرا می‌شود، بدافزار در صورت وجود به‌روزرسانی اقدام به ارتقای خود کرده و پس از رمزگشایی فایل تنظیمات با سرورهای فرمان و کنترل خود ارتباط برقرار می‌کند.
از آنجا که روش انتشار این بدافزار، بهره‌جویی از یک آسیب‌پذیری شناخته‌شده گزارش شده است، نصب بودن اصلاحیه مربوطه می‌تواند نقشی کلیدی در ایمن ماندن سازمان از گزند Dacls داشته باشد.
از دیگر نمونه‌های جالب از بدافزارهای ویژه سیستم عامل Linux می‌توان به Skidmap اشاره کرد که در ماه سپتامبر شناسایی شد. کد مخرب آن از روت‌کیت‌ها برای جاسازی خود در هسته سیستم عامل بهره گرفته و بدون اطلاع قربانی اقدام به استخراج ارز رمز با استفاده از منابع دستگاه می‌کند.

نشانه‌های آلودگی (IoC):
هش:
•    6de65fc57a4428ad7e262e980a7f6cc7
•    80c0efb9e129f7f9b05a783df6959812
•    982bf527b9fe16205fea606d1beed7fa
•    8910bdaaa6d3d40e9f60523d3a34f914
•    a99b7ef095f44cf35453465c64f0c70c
•    bea49839390e4f1eb3cb38d0fcaf897e
•    cef99063e85af8b065de0ffa9d26cb03
•    e883bf5fd22eb6237eb84d80bbcf2ac9
IP و نشانی اینترنتی:
•    23.81.246.179
•    23.254.119.12
•    23.227.196.116
•    37.72.175.179
•    23.227.199.53
•    107.172.197.175
•    172.93.201.219
•    64.188.19.117
•    74.121.190.121
•    192.210.213.178
•    209.90.234.34
•    198.180.198.6
•    http://www.areac-agr[.]com/cms/wp-content/uploads/2015/12/check.vm
•    http://www.areac-agr[.]com/cms/wp-content/uploads/2015/12/hdata.dat
•    http://www.areac-agr[.]com/cms/wp-content/uploads/2015/12/ldata.dat
•    http://www.areac-agr[.]com/cms/wp-content/uploads/2015/12/mdata.dat
•    http://www.areac-agr[.]com/cms/wp-content/uploads/2015/12/r.vm
•    http://www.areac-agr[.]com/cms/wp-content/uploads/2015/12/rdata.dat
•    http://www.areac-agr[.]com/cms/wp-content/uploads/2015/12/sdata.dat

منابع:

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.