متهم شدن هکرهای چینی به حمله علیه شرکت‌های دولتی روسیه

به گزارش کارگروه حملات سایبری سایبربان؛ کارشناسان شرکت امنیت سایبری کسپرسکی (Kaspersky) معتقدند که مجموعه حملات سایبری هدفمند که در پایان ژوئیه 2024 آغاز شد و ده‌ها سیستم مورد استفاده در سازمان‌های دولتی روسیه و شرکت‌های فناوری اطلاعات را هدف قرار داد، به هکرهای چینی گروه‌های «APT31» و «APT 27» مرتبط است.

کسپرسکی که این فعالیت را کشف کرد، این کمپین را «EastWind» نامید و گزارش داد که از نسخه به روز شده درپشتی «CloudSorcerer» استفاده می‌کند که در یک کمپین جاسوسی سایبری مشابه از ماه می امسال مشاهده شده و نهادهای دولتی روسیه را نیز هدف قرار داد.

لازم به ذکر است که فعالیت CloudSorcerer محدود به روسیه نیست، زیرا پروف‌پرینت (Proofpoint) حمله‌ای را با هدف قرار دادن یک اتاق فکر مستقر در ایالات متحده در می 2024 ثبت کرد.

جعبه ابزار EastWind

آلودگی اولیه به ایمیل‌های فیشینگ متکی است که حاوی پیوست‌های آرشیو «RAR» به نام هدف هستند که از بارگذاری جانبی «DLL» برای رها کردن یک درپشتی روی سیستم از «Dropbox» در حین باز کردن یک سند برای فریب استفاده می‌کنند.

درپشتی می‌تواند در سیستم فایل پیمایش، دستورات را اجرا، داده‌ها را استخراج و بارهای اضافی را روی دستگاه در معرض خطر معرفی کند.

مشاهدات کسپرسکی نشان داد که مهاجمان از درب پشتی برای معرفی تروجانی به نام «GrewApacha» استفاده کرده‌اند که با APT31 مرتبط است.

جدیدترین نوع GrewApacha در مقایسه با آخرین نسخه تجزیه و تحلیل شده از سال 2023، بهبودهایی دارد، از جمله استفاده از 2 سرور فرماندهی به جای یک سرور، ذخیره آدرس آنها در یک رشته کدگذاری شده با «base64» در پروفایل‌های گیت‌هاب (GitHub) از جایی که بدافزار آن را می‌خواند.

یکی دیگر از بدافزارهای بارگذاری شده توسط درب پشتی، یک نسخه به روز شده CloudSorcerer است که با «VMProtect» برای طفره رفتن بسته‌بندی شده است.

CloudSorcerer از مکانیسم حفاظتی رمزگذاری استفاده می‌کند که برای جلوگیری از اجرای آن در سیستم‌های غیر هدفمند با استفاده از فرآیند تولید کلید منحصربه‌فرد مرتبط با ماشین قربانی طراحی شده است.

پس از اجرا، یک ابزار (GetKey.exe) یک عدد 4 بایتی منحصر به فرد از وضعیت فعلی سیستم تولید و آن را با استفاده از تابع «CryptProtectData» ویندوز رمزگذاری می‌کند تا یک متن رمزی منحصر به فرد و محدود به سیستم استخراج کند.

اگر اجرای بدافزار روی هر دستگاه دیگری انجام شود، کلید تولید شده متفاوت خواهد بود، بنابراین رمزگشایی بار محموله CloudSorcerer ناموفق خواهد بود.

نسخه جدید CloudSorcerer همچنین از صفحات نمایه عمومی برای دریافت آدرس فرماندهی و کنترل اولیه خود استفاده می‌کند، اما اکنون از گیت‌هاب به استفاده از « Quora» و شبکه رسانه اجتماعی روسی «LiveJournal» بدین منظور تغییر کرده است.

سومین ایمپلنت مشاهده شده در حملات EastWind که از طریق CloudSorcered معرفی شد، «PlugY» است که قبلاً در پشتی ناشناخته بود.

PlugY دارای تطبیق پذیری بالا در ارتباطات فرماندهی و کنترل و توانایی اجرای دستورات برای عملیات‌های فایل، اجرای فرمان پوسته، تصویربرداری از صفحه، ثبت کلیدها و نظارت بر کلیپ بورد است.

تحلیل کسپرسکی نشان می‌دهد که کد مورد استفاده در PlugY قبلاً در حملات گروه تهدید APT27 دیده شده است.

همچنین، کتابخانه‌ای که برای ارتباطات فرماندهی و کنترل از طریق پروتکل UDP استفاده می‌شود، تنها در DRBControl و PlugX یافت می‌شود که ابزارهای بدافزاری هستند که به طور گسترده توسط عوامل تهدید چینی استفاده می‌شود.

کسپرسکی اظهار کرد از آنجایی که درهای پشتی مورد استفاده در حملات EastWind به طور قابل توجهی متفاوت هستند، شناسایی همه آنها در یک ماشین در معرض خطر چالش‌برانگیز است. برخی از مواردی که باید به آنها توجه کرد عبارتند از :

• فایل‌های DLL بزرگ‌تر از 5 مگابایت در دایرکتوری 'C:\Users\Public'
• فایل‌های بدون امضای 'msedgeupdate.dll' در سیستم فایل
• یک فرآیند در حال اجرا به نام 'msiexec.exe' برای هر کاربر وارد شده

شرکت امنیت سایبری روسی به این نتیجه رسید که APT27 و APT31 احتمالاً در EastWind با هم کار می‌کنند.

این مورد تعامل پیچیده بین کشورهای متحد با روابط دیپلماتیک قوی و اهداف استراتژیک مشترک و در عین حال عملیات‌های جاسوسی سایبری فعال علیه یکدیگر را برجسته می‌کند.

همکاری در زمینه‌های اقتصادی، امنیتی و نظامی سازمان‌های اطلاعاتی را که در سایه فعالیت می‌کنند از راه‌اندازی عملیات‌های جاسوسی پیچیده و با هدف جمع‌آوری اطلاعات ارزشمند مستثنی نمی‌کند.