توزیع بدافزار از طریق شبکه اجتماعی Linkedln

بر اساس اخبار منتشر شده، یک گروه هکری منتسب به کره شمالی، در حال هدف قرار دادن محققان امنیتی و سازمان‌های فعال در حزه رسانه در کشورهای اروپایی و آمریکا می‌باشد؛ این حملات از طریق ارائه پیشهادات شغلی جعلی که در نهایت منجر به توزیع سه گونه جدید بدافزار خواهد شد، صورت می‌پذیرد.

در این حملات، مهاجمان از مهندسی اجتماعی برای متقاعد نمودن افراد هدف برای برقراری ارتباط از طریق شبکه اجتماعی واتس‌آپ استفاده می‌کنند که در آن یک Payload مربوط به بدافزار به نام PlankWalk که در واقع یک Backdoor مبتنی بر زبان برنامه‌نویسی C++ است توزیع خواهد شد که این Payload به مهاجمان در ایجاد یک دسترسی پایدار در شبکه هدف، کمک می‌کند. این سلسله حملات از ماه ژوئن سال گذشته میلادی توسط تیم‌های امنیت سایبری در حال رصد و پایش بوده‌اند و به گفته محققان، با حملاتی که تحت عنوان Dream Job Operation شناخته می‌شوند و پیش‌تر توسط گروه هکری به نام Lazarus Group انجام شده‌اند، دارای تشابهاتی است. البته حسب اطلاعات ارائه شده از سوی محققان، تفاوت‌هایی از نظر ابزارهای به کار گرفته شده، TTPها و ..... وجود دارد و به همین دلیل نیز محققان این سلسله حملات جدید را به گروه دیگری به نام UNC2970 نسبت داده‌اند.

علاوه بر این در حملات جدید، هکرها از بذافزار‌های جدیدی به نام  Touchmove, Touchshift, Sideshow بهره‌برداری نموده‌اند که تاکنون به هیچ گروه هکری نسبت داده نشده‌اند. به گفته محققان، این گروه هکری پیش‌تر شرکت‌های حوزه فناوری، رسانه و صنایع دفاعی را هدف قرار داده است لیکن در سلسله حملات جدید، دامنه اهداف گروه مزبور و توانایی‌های آن، گسترده‌تر شده است. این حملات با تلاش هکرها برای برقراری ارتباط با فرد قربانی از طریق پلتفرم Linkedin آغاز می‌شوند که در این گام، تیم هکری خود را به عنوان یک شرکت استخدام کننده جا می‌زند. در نهایت تیم مزبور ادامه فرآیند را در شبکه اجتماعی واتس‌آپ و به بهانه طی کردن فرآیند استخدام، انجام می‌دهد که در همین راستا، یک فایل Word آلوده به ماکروهای مخرب، در اختیار فرد قربانی قرار می‌گیرد. گفتنی است ماکروهای موجود در فایل ورد، فرآیند Remote-template Injection را انجام می‌دهند تا از این طریق، نسخه آلوده به تروجان نرم‌افزار TightVNC را از یک سایت آلوده مبتنی بر وردپرس که به عنوان سرور C2 مهاجمان عمل می‌کند، دریافت نماید. به محض اجرای نسخه آلوده نرم‌افزار یاد شده، نرم‌افزار از Reflective DLL Injection برای بارگذاری یک DLL رمزنگاری شده (یک پلاگین آلوده به تروجان نرم‌افزار Notepad++) در حافظه سیستم استفاده می‌کند. فایل بارگذاری شده در واقع یک دانلودکننده بدافزار به‌نام LidShot است که فرآیند جمع‌آوری اطلاعات سیستم را انجام می‌دهد و Payload نهائی را بر روی دستگاه هدف توزیع می‌کند. در ادامه، این گروه هکری از یک دراپر بدافزار به نام TouchShift که خود را در قالب یک فایل باینری قانونی ویندوز ( netplwix.dll یا mscoree.dll ) جا می‌زند، استفاده می‌کنند. در ادامه این دراپر یک ابزار تهیه اسکرین‌شات به نام TouchShift، یک کی‌‎لاگر به نام Touchkey، یک Tunneller به نام HookShot و یک Loader جدید به نام TouchMove  و نیز یک Backdoor به نام  SideShow از تعداد 49 دستور پشتیبانی می‌کند که این دستورات، مهاجم را قادر به اجرای کد دلخواه بر روی دستگاه هدف، اعمال تغییرات در رجیستری، دستکاری تنظیمات فایروال، اضافه کردن وظایف زمان‌بندی شده و اجرای Payloadهای دیگر می‌سازد. در برخی از موارد که سازمان از VPN استفاده نکرده بود، مهاجمان از راهکار Intune مایکروسافت برای توزیع بدافزار CloudBurst از طریق اسکریپت‌های پاورشل، استفاده نموده بودند. این ابزار خود را در قاب یک فایل قانونی ویندوز به نام mscoree.dll جا می‌زند و نقش آن، جمع‌آوری اطلاعات سیستم می‌باشد. گزارش دومی که در همین رابطه منتشر شده است، حاکی از تمرکز تیم هکری بر تاکتیک BYOVD می‌باشد که در جدیدترین حملات گروه UNC2970 مورد استفاده قرار گرفته است. حسب بررسی‌های به عمل آمده بر روی سیستم‌های مورد نفوذ قرار گرفته، محققان موفّق به کشف درایو‌های مشکوک در یک فایل DLL قدیمی به نام _SB_SMBUS_SDK.dll شدند و در ادامه نیز محققان کشف نمودند که این فایل‌ها توسط فایل دیگری به نام Share.DAT ایجاد شده بودند که در واقع یک دراپر درون حافظه‌ای است که تحت عنوان LightShift شناخته می‌شود.

این دراپر یک Payload مبهم‌سازی شده به نام LightShow را بارگذاری می‌نماید که از درایور آسیب‌پذیر برای انجام فرآیندهای دل‌بخواه خواندن و نوشتن در حافظه کرنل استفاده می‌کند. گفته شده درایور مورد استفاده در این حملات، متعلق به شرکت ایسوس بوده است (Driver7.sys) که البته در زمان انجام بررسی‌ها، آسیب‌پذیر تشخیص داده نشده بود بنابراین هکرها در حال بهره‌برداری از یک آسیب‌پذیری روز صفر بوده‌اند. به گفته محققان امنیتی، گزارش مربوط به این آسیب‌پذیری در ماه اکتبر سال 2022 میلادی به شرکت ایسوس ارائه شده و شناسه CVE-2022-42455 به آن اختصاص یافته است و یک هفته بعد، شرک مزبور با ارائه یک وصله امنیتی، آن را مرتفع ساخته است.