گروه پشت حملات بدافزار Sanny تغییرات قابل‌ توجهی در نحوه‌ی توزیع بار داده‌ی خود اعمال کرده است. بر اساس تحقیقات جدید انجلام‌شده توسط فایرآی، این مهاجمان روش‌های توزیع خود را که طی آن‌ها از طریق اسناد ضمیمه‌ای که به عنوان بخشی از پویش‌های هرزنامه و فیشینگ ارسال می‌شدند بدافزار خود را در سامانه‌های قربانی نصب می‌کردند، ارتقاء داده‌اند.

در یک گزارش فایرآی، که می‌گوید این تغییرات برای اولین بار در اوایل ماه جاری مشاهده شد، آمده است: «در حال حاضر این حمله در چند مرحله انجام می‌شود، و هر کدام از این مراحل از کارگزارهای مهاجم بارگیری می‌شوند. روش‌های دور زدن خط فرمان، قابلیت آلوده کردن سامانه‌هایی که سامانه عامل ویندوز ۱۰ اجرا می‌کنند، و همچنین استفاده از روش‌های دور زدن کنترل حساب کاربری جدید اخیرا اضافه شده است.»

مهاجمان که به نظر می‌رسد در کره مستقر هستند، از سال ۲۰۱۲ میلادی قربانیان سیاسی انگلیسی و روسی‌-زبان را در سراسر جهان هدف قرار می‌دهند. بر اساس گزارش فایرآی، که توسط پژوهش‌گران Sudeep Singh و Yijie Sui نوشته شده است، این حملات از پرونده‌های ورد به زبان‌های انگلیسی و سیریلیک استفاده می‌کنند. این پرونده‌ی مخرب دارای یک ماکروی تعبیه‌شده است که وقتی فعال می‌شود، یک زنجیره‌ی آلودگی را راه‌اندازی می‌کند که در نهایت بار داده‌ی بدافزار Sanny را توزیع می‌کند.

Singh می‌گوید: «این پویش با این‌که حجم کمی دارد اما بسیار هدفمند است. روش توزیع بدافزاری که پیش از این توسط این پویش برای توزیع بدافزار Sanny استفاده می‌شد، چند مرحله‌ای نبود. در نسخه‌های پیشین تمام مولفه‌ها به طور مستقیم روی دیسک نصب می‌شدند و به وسیله‌ی اسناد مبتنی‌بر ماکرو اجرا می‌شدند.»

نام اسناد مخرب شامل « РГНФ ۲۰۱۸-۲۰۱۹.doc» و «Copy of communication from Security Council Committee (۱۷۱۸).doc (رونوشتی از ارتباطات کمیته‌ی شورای امنیت)» است. در حالی‌که اسناد مبتنی‌بر الفبای سیریلیک درباره‌ی جغرافیای سیاسی منطقه‌ی اوراسیا و ارتباط این منطقه با چین و همچنین امنیت روسیه است، اسناد مبتنی‌بر زبان انگلیسی در بر گیرنده‌ی تحریم‌های مربوط به عملیات‌های بشر دوستانه در کره شمالی هستند.

تجزیه و تحلیل ماکروها نشان داد که یک کادر متن (تکست‌ باکس) که در سند ورد پیدا شده است، زمانی که فعال شود، یک فرمان مخرب پنهان را اجرا می‌کند. پژوهش‌گران نوشتند: «این خصوصیت کادر متن ابتدا توسط ماکرو برای اجرای این فرمان روی سامانه‌ی هدف مورد استفاده قرار گرفت و سپس برای حذف نشانه‌های خط فرمان بازنویسی شد.»

مرحله‌ی اول شامل موارد زیر است: «این ماکرو از قابلیت قانونی certutil.exe مایکروسافت ویندوز برای بارگیری یک پرونده‌ی BAT رمزنگاری‌شده از آدرس اینترنتی «http://more.۱apps[.]com/۱.txt» استفاده می‌کند. این ماکرو سپس این پرونده‌ی رمزنگاری‌شده را رمزگشایی می‌کند و آن را با نام ۱.batدر مسیر % temp% نصب می‌کند.»

به گفته‌ی فایرآی، مرحله‌ی دوم به این صورت است: «پرونده‌ی BAT پرونده‌ی CAB که بر معماری سامانه عامل پایه مبتنی‌ است را بارگیری می‌کند. بقیه‌ی فعالیت‌های مخرب توسط پرونده‌ی CAB بارگیری‌شده انجام می‌شوند.»

یک پرونده‌ی CAB مخفف نام پرونده‌ی Windows Cabinet است. پرونده‌های CAB داده‌های مختلف مرتبط با نصب‌ ویندوز از جمله راه‌اندازهای دستگاه‌ یا پرونده‌های سامانه را ذخیره می‌کند. در رابطه با بدافزار Sanny، پرونده‌ی CAB شامل چندین عملکرد مخرب است، از جمله ipnet.dlle بدافزار (Sanny) و «ipnet.ini» (یک پروند‌ه‌ی پیکربندی که توسط این بدافزار مورد استفاده قرار می‌گیرد) را توزیع می‌کند.

یک مولفه‌ی CAB دیگر شامل کتابخانه‌ی «update.dll» است که برای دور زدن یک کنترل حساب کاربر ویندوز ۱۰ استفاده می‌شود. فایرآی توضیح می‌دهد: «این جزء از پرونده‌ی CAB برای دور زدن UAC در ویندوز ۱۰ استفاده می‌شود، اگر سامانه عامل اجرایی ویندوز ۱۰ باشد، این پرونده به جای استفاده‌‌ی مستقیم از پرونده‌ی install.bat، از update.dll to برای شروع اجرای کد استفاده می‌کند.»

پژوهش‌گران می‌گویند: «پرونده‌ی BAT همچنین حضور محصولات ضد بدافزاری را در سامانه‌ی هدف بررسی می‌کند. اگر چنین نرم‌افزاری در سامانه پیدا شود، پرونده‌ی CAB به گونه‌ای تغییر می‌کند که بتواند راه‌کار تشخیص را دور بزند.»

Singh گفت که قابلیتی که برای تحت تاثیر قرار دادن ویندوز ۱۰ به کار گرفته می‌شود جدید است و در حملات اخیر به این بدافزار اضافه شده است: «این قابلیت یک بررسی خاصی برای شناسایی سامانه عامل ویندوز ۱۰ انجام می‌دهد و بر اساس آن کدی را اجرا می‌کند.»

Singh گفت: «گذشته از روش توزیع، بار داده‌ی نهایی (ipnet.dll/Sanny) نسبت به نسخه‌های پیشین تغییر نکرده است.»

در نهایت، این بدافزار تمام داده‌های حساب‌های Outlook مایکروسافت و داده‌های مرورگر که شامل نام‌های کاربری و گذرواژه‌های ذخیره‌شده است را به سرقت می‌برد. بدافزار Sanny از پروتکل انتقال پرونده‌ی FTP برای خارج کردن داده‌ها از سامانه‌ی هدف و انتقال آن‌ها به کارگزار دستور و کنترل مهاجم استفاده می‌کند.

فایرآی نوشت: «بدافزار Sanny از یک سازوکار جالب برای فشرده‌سازی محتوای داده‌های جمع‌آوری‌شده از سامانه‌ی قربانی و رمزنگاری آن‌ها قبل از عملیات انتقال استفاده می‌کند. به جای استفاده از یک ابزار بایگانی، این بدافزار از یک شی Shell.Application COM استفاده می‌کند و تابع CopyHere رابط IShellDispatch را برای انجام فشرده‌سازی فراخوانی می‌کند.»

پژوهش‌گران نوشتند: «این فعالیت به ما نشان می‌دهد که عاملان تهدیدی که از بدافزار Sanny استفاده می‌کنند، با استفاده روش‌های دور زدن UAC و فریب نقاط انتهایی در حال تکمیل روش‌های توزیع بدافزار خود هستند. نویسندگان این بدافزار با استفاده از یک حمله‌ی چند مرحله‌ای با یک معماری ماژول‌بندی شده، مشکلات مهندسی اجتماعی را افزایش می‌دهند و به طور بالقوه راه‌حل‌های امنیتی را دور می‌زنند.»

نظر شما!!