هشدارهای افتایی
کسپرسکی گزارشی را منتشر کرده که در آن به بررسی حملاتی پرداخته شده که محققان این شرکت در تابستان سال گذشته آنها را شناسایی کردند. این شرکت معتقد است که حملات مذکور در ادامه حملاتی هستند که در سال 2018 در گزارش زیر مورد بررسی قرار گرفته بودند: به گزارش معاونت بررسی مرکز افتا به نقل از سایت securelist، در این مطلب خلاصه‌ای از گزارش اخیر کسپرسکی ارائه شده است. مشروح گزارش مذکور نیز در لینک زیر قابل دریافت و مطالعه است: ایمیل‌های فیشینگ مورد استفاده در این حملات در اکثر مواقع تداعی‌کننده ارتباطات سازمانی است. به خصوص آن‌که در آنها اسنادی به چشم می‌خورد که در ظاهر از سوی یک شرکت صنعتی بزرگ در مورد وجود موارد فنی در محصولات ارسال شده است.
 
در حملات قبلی، نشانی ایمیل ارسالی از سوی مهاجمان دارای نام دامنه‌ای مشابه با نشانی سایت رسمی سازمانی بود که در ایمیل وانمود می‌شد فرستنده ایمیل است. اما در حملات اخیر، مهاجمان از سرویس‌دهندگان عمومی ایمیل برای ارسال ایمیل‌های فیشینگ استفاده کرده‌اند و در عوض از تکنیک متفاوتی جهت فریب قربانی و متقاعد کردن او به باز کردن پیوست مخرب بهره گرفته‌اند. بدین‌ترتیب که در آنها القا می‌شود فرستنده، یک شریک تجاری یا نماینده زیرمجموعه‌ای از همان شرکت هدف حمله است و دریافت‌کننده می‌بایست سند پیوست را در مهلت درج شده در ایمیل (به دلایلی همچون پایان مناقصه، جرایم احتمالی یا لزوم بازبینی تنظیمات دستگا‌ه‌ها) ملاحظه کند.
باید تأکید کرد که ایمیل‌های فیشینگ به‌طور اختصاصی ویژه هر شرکت مورد حمله طراحی و سفارشی شده‌اند. برای مثال، در ایمیل و اسناد پیوست به نام شرکت هدف حمله اشاره شده است. در برخی نمونه‌های قدیمی‌تر نیز مهاجمان در ایمیل ارسالی نام کامل دریافت‌کننده را خطاب قرار می‌دادند.
 
کدهای مخرب پیوست شده در این ایمیل‌های فیشینگ در فایل‌های فشرده شده (Archive) و حفاظت شده توسط رمز عبوری که در متن ایمیل به آن اشاره شده به دست قربانی می‌رسد. در حالی که در ایمیل دلیل استفاده از رمز عبور ملاحظات محرمانگی عنوان شده اما در عمل هدف اصلی مهاجمان عبور از سد ابزارهای پویشگر نظیر ضدویروس‌ها در دسترسی یافتن به نمونه فایل‌ها بوده است.
آرشیو پیوست شده به ایمیل فیشینگ شامل چندین اسکریپت JS مبهم‌سازی شده است که علیرغم آنکه قابلیت و عملکرد یکسانی دارند اما به دلیل استفاده از تکنیک‌های مبهم‌سازی مختلف دارای ساختاری متفاوت از یکدیگر هستند. نام اسکریپت معمولا تداعیکننده نام سند است.
در صورت اجرای یکی از این اسکریپت‌ها توسط کاربر، دو فایل استخراج و باز می‌شود؛ یک برنامه مخرب و یک فایل PDF معتبر. برخی نمونه‌ها از این اسکریپت‌های JS کدهای مخرب را از یک سرور از راه دور (بجای استخراج آنها از اسکریپت) دریافت می‌کنند.
در حملات پیشین، برای اطمینان از آنکه کاربر به عدم وجود اسناد اشاره شده در متن ایمیل مشکوک نشود و در عین حال در حین نصب بدافزار حواس او متوجه موضوعی دیگر شود، یک سند PDF یا تصویر ناقص (تصویر زیر) بر روی دستگاه باز و یا نصب یک نرم‌افزار معتبر آغاز می‌شد.
 

در حملات بعدی، اما، مهاجمان از اسناد واقعی مرتبط با حوزه کاری سازمان بهره گرفتند. برای مثال در سند این‌طور تظاهر می‌شود که توسط یک شریک تجاری یا حتی خود سازمانی که مورد حمله قرار گرفته تهیه شده است. اسناد مورد استفاده در حملات مذکور شامل اسکن یادداشت‌ها، نامه به شرکت‌های تابعه و پیمانکاران و همچنین فرم‌های مستندسازی خرید بوده که ظاهرا پیش‌تر توسط مهاجمان سرقت شده بودند.
 

جالب آن‌که در برخی نمونه‌ها، مهاجمان اسنادی حاوی داد‌ه‌های پیکربندی تجهیزات و پروسه‌های صنعتی را برای این منظور بکار گرفتند.
برای مثال می‌توان به تصاویری از برنامه DIGSI اشاره کرد. از این برنامه برای پیکربندی سیستم‌های ساخت شرکت زیمنس استفاده می‌شود.
 
از DIGSI در پیکربندی تجهیزات حفاظتی در دستگاه‌های مراکزی نظیر پست‌های انتقال برق بهره گرفته می‌شود.
 
 

همچنین محققان به تصاویری از نوسان‌سنج ترانسفورماتورها در میان این اسناد دست یافته‌اند.
 

لازم به ذکر است که آخرین تصویر وضعیت نوسان دستگاه را در لحظه اختلال نمایش می‌دهد.
به‌نظر نمی‌رسد که هدف از استفاده از این تصاویر وادار کردن قربانی به تغییر تنظیمات دستگاه‌های سازمان بوده باشد. احتمالا مهاجمان از اسناد حاوی این تصاویر جهت سردرگم کردن کاربر در حینی که بدافزار در حال نصب است استفاده کرده‌اند. هر چند اطلاعات ارائه شده که مرتبط با تنظیمات استاندارد تجهیزات حفاظتی است می‌تواند موجب نگرانی هر فرد آشنا به این مفاهیم شود.
در ادامه، اسکریپت JS بدافزار را اجرا می‌کند که در نتیجه آن نسخه‌ای از ابزار دسترسی از راه دور TeamViewer که توسط مهاجمان سفارشی شده نصب می‌شود. همانند حملات پیشین مهاجمان از یک فایل کتابخانه DLL مخرب برای مخفی‌سازی رابط کاربری ابزار مذکور و در نهایت کنترل دستگاه آلوده بدون اطلاع کاربر استفاده می‌کنند.
در شرایط مختلف و بسته به نیاز، مهاجمان مجموعه‌ای دیگر از بدافزارها را دریافت می‌کنند. از جمله این بدافزارها می‌توان به جاسوس‌افزاری برای جمع‌آوری اطلاعات اصالت‌سنجی برنامه‌ها و سرویس‌های مختلف شامل برنامه‌های مدیریت ایمیل، مرورگرها، برنامه‌های SSH/FTP/Telnet، ثبت‌ کلیدهای فشرده شده و تصویربرداری از پنجره‌های باز اشاره کرد. در برخی نمونه‌ها، از ابزارMimikatz  جهت استخراج اطلاعات اصالت‌سنجی حساب‌های کاربری تحت Windows که به سیستم وارد شده‌اند استفاده می‌شود. استفاده از Mimikatz خطری جدی است و به‌صورت بالقوه می‌تواند مهاجمان را قادر کند تا بسیاری از سیستم‌ها را در شبکه سازمان به تسخیر خود در آورند.
در اکثر مواقع مهاجمان اجزای بدافزار را به‌عنوان اجزای Windows نشان می‌دهند تا از این طریق رد فعالیت‌های مخرب خود بر روی سیستم را مخفی نگاه دارند.
مهاجمان منابعی که توسط اسکریپت‌های JS مخرب دریافت می‌شوند را در سایت‌های در ظاهر متعلق به شرکت‌های روسی‌زبان ذخیره می‌کنند.
همچنین در حملات جدیدتر، دیگر خبری از سرور فرماندهی (C2) برای برقراری ارتباط با سیستم‌های آلوده در زیرساخت مهاجمان نیست. بجای آن از بستر یک نرم‌افزار مدیریت از راه دور (RMS) معتبر برای انتقال اطلاعات استفاده شده است.
دلیل اصلی استفاده از سرور فرماندهی در حملات پیشین نیاز به ارسال شناسه TeamViewer ماشین آلوده بود. سایر اطلاعات مورد احتیاج همچون رمز عبور اتصال به سیستم، از قبل پیکربندی شدن TeamViewer برای مهاجمان فراهم است. اکنون با این سازوکار جدید بستر RMS معتبر جایگزین سرور فرماندهی شده است.
این روش از آنجا ممکن شده که بستر RMS در TeamViewer دارای یک سرویس وب اختصاصی است که راهبر را از نصب شدن نرم‌افزار بر روی یک سیستم از راه دور آگاه می‌کند. برای اطلاع‌رسانی، سرور RMS ایمیلی حاوی نشانی ID ماشین را ایجاد می‌کند. تنها کافی است که کلاینت RMS نام محصول، شناسه بسته زبان (Language Pack) مورد استفاده بر روی سیستم، نام کاربری، نام کامپیوتر، نشانی ایمیلی که اطلاع‌رسانی باید به آن ارسال شود و شناسه ماشین در RMS را در قالب یک درخواستHTTP Post  به صفحه وب اختصاصی ارسال کند.
 

نکته قابل توجه اینکه، این سرویس وب به دلیل آنکه فاقد هر گونه روال اصالت‌سنجی است امکان مورد سوءاستفاده قرار گرفتن را فراهم کرده است. فایل DLL مخرب که پیش‌تر به آن اشاره شد حاوی کدی برای ارسال درخواست به سرور RMS است. اما در عوض ارسال شناسه دستگاه در سیستم RMS، شناسه دستگاه در TeamViewer را ارسال می‌کند. طول شناسه در TeamViewer متفاوت از طول شناسه در سیستم RMS است. با این حال، از آنجا که هیچ راستی‌آزمایی در خصوص محتوای فیلدهای ارسالی از طریق درخواست HTTP Post صورت نمی‌پذیرد امکان ارسال پیام اطلاع‌رسانی حاوی اطلاعات ماشینی که به تازگی آلوده شده فراهم می‌شود.
مورد سوءاستفاده قرار گرفتن این باگ به شرکت سازنده اعلام شده و به‌نظر می‌رسد فعلا راهکاری موقت – بجای ترمیم و اصلاح کامل آن – برای پالایش ورودی‌ها توسط آن شرکت لحاظ شده است.
همانطور که اشاره شد اکثر سیستم‌هایی که هدف این حملات قرار گرفته‌اند متعلق به شرکت‌های صنعتی در روسیه هستند که به‌نحوی در حوزه‌های مختلف اقتصاد نقش دارند. از جمله این صنایع می‌توان به موارد زیر اشاره کرد:
  •     تولید
  •     نفت و گاز
  •     فلزات
  •     مهندسی 
  •     انرژی
  •     ساخت‌وساز
  •     استخراج
  •     تدارکات
در نتیجه نباید حملات این مهاجمان را محدود به صنعتی خاص دانست. با این حال با توجه به این‌که اکثر اسناد استفاده شده در حملات مرتبط با بخش انرژی هستند می‌توان این‌طور نتیجه‌گیری کرد که مهاجمان علاقه ویژه‌ای به این حوزه دارند.
محققان کسپرسکی معتقدند که یک گروه روسی گرداننده این حملات بوده است. علاوه بر دلایلی که در گزارش پیشین این شرکت به آنها اشاره شده در گزارش اخیر نیز به استفاده از یک شناسه زبان روسی در فایل DLL مخرب استناد شده است.
بر اساس شواهد موجود هدف اصلی مهاجمان سرقت پول از حساب سازمان‌های قربانی بوده است. این بدان معناست که مهاجمان شناخت خوبی از روند کاری امور مالی – که می‌تواند کشور با کشور متفاوت باشد – دارند. ضمن اینکه زیرساخت لازم جهت برداشت مبالغ سرقت شده را دارا هستند.
اگر چه این گروه در جریان حملات خود از تاکتیک‌ها و فناوری‌های پیچیده‌ای استفاده نکرده اما به دقت هر حمله را مدیریت نموده و به‌طور حرفه‌ای از تکنیک‌های مهندسی اجتماعی و فناوری‌هایی که توسط مهاجمان دیگر نیز بکار گرفته شده بهره برده است.
به‌نظر می‌رسد که گروه مذکور متشکل از افراد متخصص در فرایند آلوده‌سازی و افرادی کارشناس در عملیات‌های مالی است.
از آنجا که مهاجمان دارای دسترسی کامل به سیستم آلوده از همان لحظه آلوده شدن آن هستند بروز تهدیدات دیگری نظیر نشت داده‌های حساس سازمان و از کار انداختن روند کار دور از ذهن نخواهد بود. همان‌طور که بررسی آخرین حملات نشان می‌دهد مهاجمان احتمالا پیش‌تر اسنادی را از سازمان‌های هدف سرقت کرده بودند.
رعایت موارد زیر نقشی اساسی در ایمن ماندن از گزند این تهدیدات دارد:
  •     آموزش کارکنان در استفاده امن از ایمیل‌ها و تشخیص پیام‌های فیشینگ
  •     محدود کردن دسترسی برنامه‌ها به سطح SeDebugPrivilege (تا حد ممکن)
  •     نصب نرم‌افزار ضدویروس با قابلیت مدیریت تنظیمات امنیتی آن به‌صورت متمرکز بر روی تمامی سیستم‌ها به همراه به‌روز نگاه داشتن بانک‌های داده و اجزای راهکارهای امنیتی
  •     استفاده از حساب‌های کاربری دارای سطح دسترسی Administrator تنها در زمان نیاز؛ پس از استفاده از این حساب‌های کاربری بر روی سیستم، نسبت به راه‌اندازی مجدد (Restart) آن سیستم اقدام شود
  •     اجرای سیاست سخت‌گیرانه در خصوص میزان پیچیدگی رمزهای عبور و تغییر دوره‌ای آنها
  •     حذف همه ابزارهای دسترسی از راه دور ثالث فاقد مجوز نصب، در صورت مشکوک به آلوده بودن دستگاه در کنار پویش آن توسط نرم‌افزار ضدویروس و تغییر رمز عبور تمامی حساب‌های کاربری که برای ثبت ورود (Logon) در آن سیستم مورد استفاده قرار گرفته‌اند
  •     رصد ارتباطات شبکه‌ای برای ردیابی وجود هر گونه ابزار دسترسی از راه دور نصب شده بدون اصالت‌سنجی صحیح با تمرکز ویژه بر روی ابزارهای موسوم به RMS از جمله TeamViewer
  •     پالایش و مسدودسازی ارتباطات به سرورها و نشانی‌های اشاره شده در بخش "نشانه‌های آلودگی"
  •     عدم استفاده از نگارش‌های منسوخ شده TeamViewer شامل نسخه 6 و قبل از آن. برای شناسایی نمونه‌های این نسخ قواعد YARA درج شده در بخش "نشانه‌های آلودگی" کاربرد خواهد داشت
باید توجه داشت از آنجا که در این حملات از نرم‌افزارهای مدیریت از راه دور مجاز استفاده می‌شود، این نرم‌افزارها به دلیل معتبر بودن توسط ضدویروس حذف نشده و صرفا فایل‌های مخرب هستند که ضدویروس به آنها واکنش نشان خواهد داد. لذا در صورتی که نرم‌افزار مدیریت از راه دور در همان مرحله پویش سیستم‌های سازمانی کشف شد باید از معتبر بودن دلیل نصب آن اطمینان حاصل شود.

نشانه‌های آلودگی (IoC):
درهم‌ساز
386a1594a0add346b8fbbebcf1547e77
203e341cf850d7a05e44fafc628aeaf1
3b79aacdc33593e8c8f560e4ab1c02c6
ea1440202beb02cbb49b5bef1ec013c0
1091941264757dc7e3da0a086f69e4bb
72f206e3a281248a3d5ca0b2c5208f5f
da4dff233ffbac362fee3ae08c4efa53
d768a65335e6ca715ab5ceb487f6862f
9219e22809a1dff78aac5fff7c80933c
86e14db0bcf5654a01c1b000d75b0324
نام فایل
Акт.js
Запрос 17782-09-1.js
Перечень документов.js
спецификация на оборудование xls.js
tv.dll
tv.ini
توضیح اینکه برخی ماژول های بدافزار که بر روی سیستم نصب می شوند دارای نام های تصادفی بر گرفته از الگوی زیر (2 یا 3 نویسه لاتین، در ادامه 2 نویسه عددی و پسوند exe) هستند که در مسیر %TEMP% ذخیره می شوند:
[a-z]{2,3}[0-9]{2}.exe

دامنه و نشانی IP
timkasprot.temp.swtest[.]ru (RemoteAdmin.Win32.RemoteManipulator.vpj)
77.222.56[.]169 (RemoteAdmin.Win32.RemoteManipulator.vpj)
z-wavehome[.]ru (RemoteAdmin.Win32.RemoteManipulator.vpj)
dncars[.]ru (RemoteAdmin.Win32.RemoteManipulator.vpj)
قواعد YARA
rule TeamViewer_ver6_and_lower {
meta:
    description = "Rule to detect TeamViewer ver 6.0 and lower"  
    hash = "4f926252e22afa85e5da7f83158db20f"
    hash = "8191265c6423773d0e60c88f6ecc0e38"
    version = "1.1"    
condition:
                uint16(0) == 0x5A4D and 
                pe.version_info["CompanyName"] contains "TeamViewer" and 
                (pe.version_info["ProductVersion"] contains "6.0" or
                pe.version_info["ProductVersion"] contains "5.1" or
                pe.version_info["ProductVersion"] contains "5.0" or
                pe.version_info["ProductVersion"] contains "4.1" or
                pe.version_info["ProductVersion"] contains "4.0" or
                pe.version_info["ProductVersion"] contains "3.6" or
                pe.version_info["ProductVersion"] contains "3.5" or
                pe.version_info["ProductVersion"] contains "3.4" or
                pe.version_info["ProductVersion"] contains "3.3" or
                pe.version_info["ProductVersion"] contains "3.2" or
                pe.version_info["ProductVersion"] contains "3.1" or
                pe.version_info["ProductVersion"] contains "3.0")
}
محضرخانه
Key:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\rundll32
Value:
rundll32.exe shell32.dll,ShellExec_RunDLL
“%AppData%\Roaming\TeamViewer\5\TeamViewer.exe”
Key:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\CCFTray
Value:
rundll32.exe shell32.dll,ShellExec_RunDLL “%temp%\TeamViewer.exe”

نشانی ایمیل
timkas@protonmail.com
smoollsrv@gmail.com
nataly@z-wavehome.ru
info@dncars.ru
منبع:
https://securelist.com/attacks-on-industrial-enterprises-using-rms-and-teamviewer-new-data/99206/
(با تشکر از شرکت مهندسی شبکه گستر برای همکاری در تهیه این گزارش)

 

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.