شناسایی یک سرویس انتشار فایل مخرب در وب تاریک
به گزارش کارگروه امنیت سایبربان؛ محققان شرکت امنیت سایبری گروپ آیبی (Group-IB) روسیه بهار سال 2021 آثار یک کمپین مخرب بدافزاری به نام هنسیتور (Hancitor) شناسایی کردند که الگوی انتشار آن برای محققان قابلتوجه بوده است. این الگو بعدها توسط محققان واحد 42 (Unit 42) و مکآفی (McAfee) بهعنوان یک تکنیک جدید معرفی شد که از اسناد حاوی لینکها و پیوستهای آلوده در برابر اسکنرهای وب محافظت میکند. اما دادههای بهدستآمده توسط تحلیلگران گروپ آیبی به این نکته اشاره دارد که شمای مشابه برای انتشار برنامههای مخربی همچون Campo Loader ،IcedID ،QBot ،SocGholish و Buer Loader نیز مورداستفاده قرارگرفته است.
کارشناسان گروپ آیبی دستکم 3 هزار کاربر شناسایی کردند که هدف کمپینهای مخرب پراکنده با استفاده از شمای مشابه قرارگرفتهاند. تجزیهوتحلیل فهرست اهداف امکان داد دو مورد از فعالترین کمپینها شناسایی شوند که اولی روی اشخاص حقیقی در بلژیک و دومی روی شرکتها، کورپوراسیونها، دانشگاهها و سازمانهای دولتی ایالاتمتحده آمریکا متمرکز بوده است.
متخصصان گروپ آیبی با تجزیهوتحلیل کمپینهای انتشار انواع مختلف بدافزار به این نتیجه رسیدند که این کمپینها در قالب یک راهحل بدافزار بهعنوان سرویس (MaaS) راهاندازی شدهاند. این فرضیه پسازاینکه تحلیلگران گروپ آیبی پیشنهاد فروش سرویس پرومتئوس تیدیاس ((Traffic Direction System) Prometheus TDS) مختص انتشار فایلهای مخرب و هدایت کاربران به سایتهای فیشینگ و مخرب را در یکی از فرومهای زیرزمینی یافتند، تأیید شد.
پرومتئوس تیدیاس سرویسی است که خدمات انتشار فایلهای مخرب و هدایت کاربران به سایتهای فیشینگ و مخرب را ارائه میکند. این سرویس یک پنل ادمین پرومتئوس تیدیاس ارائه میکند که در آن مهاجم پارامترهای لازم برای کمپین را پیکر بندی میکند، فایلهای مخرب را بارگیری کرده و محدودیتهای موقعیت جغرافیایی کاربران، نسخههای مرورگر و سیستمعامل را پیکربندی میکند.
پرومتئوس تیدیاس برای جلوگیری از تعامل مستقیم قربانیان کمپینهای مخرب با پنل ادمین، از سایتهای آلوده شخص ثالث که بهعنوان پیوند واسط میان پنل ادمین مهاجم و کاربر عمل میکنند استفاده میکند. در این میان، فهرست سایتهای آلوده توسط اپراتورهای کمپینهای مخرب بهصورت دستی از راه واردکردن فهرست وب شل تکمیل میشود. روی سایتهای هک شده فایل ویژه PHP به نام پرومتئوس بکدور (Prometheus.Backdoor) بارگذاری میشود که دادههای مربوط به بازدیدکننده را جمعآوری کرده و به پنل ادمین ارسال میکند. پس از تجزیهوتحلیل دادههای جمعآوریشده، پنل ادمین یا پیلود مخرب به کاربر ارائه میدهد یا آن را به آدرس URL موردنظر هدایت میکند.
زمانی که همه چیز پیکربندی شده است، مهاجمان میتوانند اقدام به ارسال هرزنامهها که متن آنها حاوی لینکهای سایتهای هک شده است، نمایند. هنگامی که کاربران چنین لینکهایی را دنبال می کنند، از یک سایت هک شده سردرمی آورند، جایی که در آن در پشتی پرومتئوس دادههای مرورگر قربانی را تجزیه و تحلیل میکند و سپس یا کاربر را به یک صفحه وب خالی یا به صفحهای که در آن یک فایل مخرب قرار دارد هدایت میکند که به تنظمیات کمپین مخرب بستگی دارد.
کارشناسان گروپ آیبی بیش از سه هزار آدرس ایمیل شناسایی کردهاند که در مرحله اول کمپینهای ارسال ایمیلهای مخرب با استفاده از پرومتئوس تیدیاس مورد استفاده قرارگرفتهاند. دو مورد از فعالترین کمپینها که درنتیجه تجزیهوتحلیل دادههای بهدستآمده شناسایی شدند، روی اشخاص حقیقی در بلژیک (بیش از 2000 آدرس ایمیل) و سازمانهای دولتی، شرکتها و کورپوراسیونهای بخشهای مختلف (مالی، خردهفروشی، انرژی و معدن، امنیت سایبری، بهداشت، فناوری اطلاعات و بیمه) در ایالاتمتحده آمریکا (بیش از 260 آدرس ایمیل) متمرکز شده بودند.
انتشار برنامه مخرب از طریق سرویس پرومتئوس تیدیاس در چندین مرحله زیر صورت میگیرد:
مرحله 1
کاربر ایمیلی دریافت میکند که حاوی یکی از موارد زیر است:
- فایل HTML که کاربر را به سایت هک شده که در آن پرومتئوس بکدور نصب شده، هدایت میکند.
- لینک وب شِلی که کاربران را به URL مشخصی هدایت میکند، به یکی از آدرسهایی که توسط پرومتئوس تیدیاس استفاده میشود.
- لینک صفحه گوگل داکس که حاوی آدرس URL است. این آدرس به لینک مخرب هدایت میکند.
مرحله 2
کاربر پیوستی را باز کرده یا لینکی را دنبال میکند و به آدرس پرومتئوس بکدور هدایت میشود. پرومتئوس بکدور دادههای مربوط به بازدیدکننده را جمعآوری میکند.
مرحله 3
دادههای جمعآوریشده به پنل ادمین پرومتئوس تیدیاس ارسال میشود. پنل به بک دور دستور میدهد که یک فایل مخرب را برای بازدیدکننده ارسال کند یا آن را به آدرس URL مشخصی هدایت نماید.