هشدارهای افتایی
Rocke که گروه هکری با انگیزه‌های مالی است نسخه آسیب‌پذیر Apache ActiveMQ، Oracle WebLogic و Redis را هدف یک بدافزار استخراج‌کننده ارز رمز (Cryptojacking) با نام Pro-Ocean قرار داده است.
به گزارش مرکز مدیریت راهبردی افتا به نقل از سایت bleepingcomputer، استخراج‌کننده ارز رمز Pro-Ocean به‌نوعی نسخه تکامل یافته تهدیدی است که پیش‌تر این گروه از آن استفاده کرده است. از جمله امکانات جدید لحاظ شده در Pro-Ocean می‌توان به قابلیت‌های خودانتشاری، از طریق اجرای غیرهدفمند بهره‌جوها (Exploit) اشاره کرد.
پیش‌تر نیز هکرهای Rocke بسترهای ابری را با سوءاستفاده از آسیب‌پذیری‌های امنیتی Oracle WebLogic – (ضعف امنیتی CVE-2017-10271)، Apache ActiveMQ (ضعف امنیتی CVE-2016-3088) و Redis هدف حملات خود قرار داده بودند. با این تفاوت که در آن زمان اجرای بهره‌جو، نه به‌صورت خودکار که به‌طور دستی انجام می‌گرفت.
بر اساس گزارشی که شرکت Palo Alto Networks آن را منتشر کرده Pro-Ocean مجهز به قابلیت‌های بهبود یافته و جدیدی در عملکرد روت‌کیتی (Rootkit) و کرمی (Worm) است که باعث مخفی ماندن فعالیت مخرب آن و آلوده شدن سرورها از طریق بهره‌جویی از آسیب‌پذیری‌های امنیتی می‌شود.

 
Pro-Ocean برای مخفی ماندن از دید محصولات امنیتی، از LD_PRELOAD که قابلیتی توکار در Linux است به‌منظور وادار کردن کدهای دو دویی (Binary) در اولویت‌بندی فراخوانی کتابخانه‌های اختصاصی استفاده می‌کند. با این حال این تکنیک در نمونه‌های زیادی از بدافزارهای دیگر نیز مشاهده شده است.
این مهاجمان با بکارگیری کدهایی که در اینترنت قابل دسترس هستند، توانایی روت‌کیتی آن را برای مخفی‌سازی فعالیت مخرب بدافزار افزایش داده‌اند.
برای مثال، می‌توان به تابع open در کتابخانه libc اشاره کرد که وظیفه آن باز کردن یک فایل و استخراج بخش Descriptor آن است. این کد مخرب تعیین می‌کند که آیا فایل لازم است که پیش از فراخوانی مخفی شود یا نه.
 

اگر تعیین شود که فایل نیاز است که مخفی باشد تابع مخرب، خطای "No such file or directory" را باز می‌گرداند تا این‌طور القا شود که چنین فایلی بر روی دستگاه وجود ندارد.
همچنین گردانندگان Pro-Ocean از بهره‌جویی دستی به یک فرایند خودکار – البته غیرهوشمند – برای بهره‌جویی روی آورده‌اند. یک اسکریپت Python با استخراج نشانی IP عمومی دستگاه با استفاده از ident.me در ادامه تلاش می‌کند تا تمامی ماشین‌های در زیرشبکه 16-بیتی را آلوده کند.
صرف‌نظر از نرم‌افزارهای اجرا شده بر روی دستگاه مقصد، تمامی بهره‌جوها بر روی آن امتحان می‌شوند تا شاید یکی از آن‌ها مؤثر واقع شود.
 

در صورتی که یکی از بهره‌جوها جواب داد، اسکریپت Python کد مخربی را که وظیفه آن دریافت اسکریپت نصب Pro-Ocean از یک سرور HTTP است، اجرا خواهد کرد.
اسکریپت نصب که به زبان Bash نوشته و مبهم‌سازی (Obfuscation) شده است نقشی مهم در عملیات استخراج ارز رمز ایفا می‌کند.این اسکریپت علاوه بر نصب Pro-Ocean، از اجرای بدافزارها و استخراج‌کنندگان هم‌قطار خود بر روی دستگاه قربانی جلوگیری می‌کند.
علاوه بر آن با غیرفعالسازی دیواره آتش و حذف محصولات امنیتی، کنترل کامل و بی‌دردسر دستگاه را برای Pro-Ocean فراهم می‌کند.
 

این مهاجمان تلاش می‌کنند تا بیشترین بیگاری را از دستگاه برای استخراج ارز رمز بکشند. بدین‌منظور Pro-Ocean مجهز به ماژولی است که میزان استفاده از پردازشگر توسط پروسه‌های معتبر را تحت نظارت داشته و هر کدام که بیشتر از 30% استفاده کنند، متوقف می‌کند.
همچنین این ماژول با رصد فعالیت بدافزار بر روی ماشین، به‌محض متوقف شدن، اقدام به اجرای مجدد آن کرده و اطمینان حاصل می‌‌کند که تا حد امکان، فرایند استخراج ارز رمز دچار افت نشود.
بر اساس تحلیل صورت گرفته، محققان معتقدند که اهداف Pro-Ocean سرویس‌های ابری Alibaba و Tencent هستند.
نخستین بار در سال 2018، Cisco Talos از گروه Rocke نام برد. اگر چه در ابتدا حملات سایبری آن ساده و پیش‌پا افتاده بود اما با گذشت زمان بر میزان مخرب بودن آن‌ها افزوده شد. هر چند هنوز هم Pro-Ocean تا تبدیل شدن به یک بدافزار پیچیده فاصله دارد، اما اقدامات اخیر مهاجمان آن، نظیر بهبود قابلیت خودانتشاری و تجهیز آن به تاکتیک‌های مخفی‌سازی می‌تواند نشانه‌ای از استمرار تکامل تهدیدات گروه Rocke باشد.
مشروح گزارش Palo Alto Networks در لینک زیر قابل دریافت و مطالعه است:
نشانه‌های آلودگی (IoC):
نشانی‌های URL
hxxp://shop.168bee[.]com/*
hxxps://shop.168bee[.]com/*

استخر استخراج
hxxp://pool.minexmr[.]com

درهم‌ساز (SHA-256)

منبع:
(با سپاس از شرکت مهندسی شبکه‌گستر برای همکاری در تهیه این گزارش) 


 

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.