محققان امنیتی سیسکو تالوس هشدار دادند یک ابزار مدیریت از راه دور۱ (RAT) کشف شده که از وب‌گاه‌های معروف و شناخته‌شده برای ارتباطات دستور و کنترل و خارج کردن اطلاعات قربانی استفاده می‌کند.

این ابزار با نام ROKRAT توسط رایانامه با ضمیمه‌ی واژه‌پرداز Hangul توزیع می‌شود و کاربران در کره را هدف قرار داده است چرا که این واژه‌پرداز در این کشور به‌جای آفیس از محبوبیت زیادی برخوردار است. محققان امنیتی متوجه شدند برخی از این رایانامه‌های فیشینگ از طرف کارگزار میزبانی Yonsei ارسال شده است که یک دانشگاه خصوصی در سئول است. برای قانونی جلوه دادن این رایانامه‌ها، مهاجمان در قسمت آدرس فرستنده، از آدرس رایانامه‌ی انجمن جهانی کره استفاده کرده‌اند.

این سند واژه‌پردازِ مخرب، حاوی یک شیء رمزنگاری‌شده‌ی پست‌اسکریپت۲ است که از یک آسیب‌پذیری شناخته‌شده (با شناسه‌ی CVE-۲۰۱۳-۰۸۰۸) بهره‌برداری کرده و یک باینری را در قالب پرونده‌ی jpg. بارگیری می‌کند. محققان تالوس می‌گویند زمانی‌که این پرونده رمزگشایی و اجرا شد، بدافزار ROKRAT بر روی ماشین قربانی نصب می‌شود.

این ابزار با استفاده از وب‌گاه‌های معروف مانند توییتر، Yandex و مدیافایر به‌عنوان بستر دستور و کنترل، بسیار پیچیده شده و قانونی جلوه می‌کند. نه تنها مسدود کردن این وب‌گاه‌ها در یک شبکه‌ی سازمانی شدنی نیست چرا که این وب‌گاه‌ها پراستفاده هستند بلکه این وب‌گاه‌ها مبتنی بر HTTPS بوده و کشف الگو برای شناسایی آن‌ها بسیار سخت است.

پس از انجام تجزیه و تحلیل‌ها، محققان دریافتند که این RAT بر روی سامانه‌های ویندوز ایکس‌پی کار نمی‌کند و دارای قابلیتی است که اجرا در محیط جعبه شنی و وجود نرم‌افزارهای تحلیل بدافزار را بر روی سامانه‌ی آلوده بررسی می‌کند. اگر چنین ابزارهایی تشخیص داده شود، بدافزار به یک تابع جعلی سوئیچ کرده و ترافیک HTTP تولید می‌کند.

برای برقراری ارتباط با بسترهای دستور و کنترل، این RAT از ۱۲ رمزواره‌ی۳ هارکدشده استفاده می‌کند. (۷ رمزواره مربوط به واسط برنامه‌نویسی توییتر، ۴ رمزواره برای Yandex و یکی برای مدیافایر) این بدافزار قادر است از روی آخرین توییت ارسال شده در حساب‌های مخرب، دستورات را خوانده و همچنین توییت ارسال کند. بدافزار داده‌های به سرقت برده را نیز بر روی بستر اَبر Yandex و مدیافایر بارگذاری می‌کند.

محققان امنیتی می‌گویند این بدافزار دارای قابلیت کی‌لاگر بوده و در برخی نمونه‌ها، مشاهده شده که اسکرین‌شات از سامانه‌ی قربانی تهیه کرده است. محققان تالوس می‌گویند مهاجمان پشت این بدافزار دارای انگیزه‌ی بالایی هستند و از نوآوری‌های خوبی بهره برده‌اند. همچنین این بدافزار دارای ویژگی‌های عجیب و غریب دیگری نیز هست به‌طوری‌که اگر در یک محیط جعبه شنی قرار بگیرد، درخواست‌های قانونی را به سمت وب‌گاه‌های معروف مانند آمازون ارسال می‌کند.

۱. remote administration tool
۲. PostScript
۳. tokens

منبع: asis

درباره نماد امن

کانال اخبار فناوری اطلاعات نماد امن

“نماد امن” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

یک بدافزار جدید، برای ارتباطات دستور و کنترل خود از وب‌گاه‌های معروف استفاده می‌کند

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *