بازگشت بدافزار Astaroth با ترفندهای مخفیانهتر
به گزارش کارگروه امنیت سایبربان، به نقل از پایگاه اینترنتی ZDNet، در سال گذشته تیم ATP Windows Defender افزایش شدیدی در استفاده از ابزار WMIC در ویندوز را شناسایی کرد. تحقیقات مایکروسافت یک عملیات گسترده ارسال هرزنامه حاوی یک لینک به وبسایت میزبان یک فایل میانبر LNK را کشف کرد که دریافتکننده این ایمیل در صورت اجرای فایل آن، باعث اجرای ابزار WMIC و چندین ابزار دیگر ویندوز میشود. این امر نهایتاً منجر به دانلود و اجرای بدون فایل (fileless) بدافزار در حافظه میشود.
تیم تحقیقاتی Microsoft Defender ATP اکنون متوجه شده است که گروه Astaroth بهطور کامل از استفاده از ابزار WMIC و تکنیکهای مرتبط پرهیز میکند تا راهکارهای شناسایی موجود را دور بزند.
عملیات گروه Astaroth همچنان نیز با ارسال هرزنامههای حاوی لینک به فایل LNK آغاز میشود، اما در عملیات جدید، این گروه از جریان داده جایگزین یا Alternate Data Streams (ADS) برای مخفی کردن payloadهای مخرب استفاده میکند. برای بارگیری payload مخرب، مهاجمین از فرایند قانونی ExtExport.exe سوءاستفاده کردند که یک بردار حمله بسیار غیرمعمول است. استفاده از ADS باعث میشود تا جریان داده در File Explorer ویندوز مخفی باقی بماند، درنتیجه مهاجم میتواند گذرواژههای ایمیل و مرورگرها و همچنین غیرفعال کردن نرمافزارهای امنیتی را بهطور مخفیانه انجام دهد.
ابزار قانونی دیگری که این گروه از آن سوءاستفاده میکند، ابزار BITSAdmin است. BITSAdmin یک ابزار خط فرمان برای ایجاد فعالیتهای بارگیری یا بارگذاری و نظارت بر پیشرفت آنها است. در این حالت، از آن برای بارگیری payloadهای رمزگذاری شده از یک سرور فرمان و کنترل استفاده میشود.
فرایند کلی آلودگی توسط این بدافزار در تصویر زیر قابلمشاهده است: