محمدرضا بهنام رئوف – سایت سکیوریتی افرز با انتشار گزارشی نوشت، گروه APT (Advanced Persistent Threat) که ادعا میشود مرتبط با ایران است، یک سازمان مرتبط با امارات را از طریق بکدور (درب پشتی) جدید هدف قرار داد.
محققان موسسه Fortinet FortiGuard Labs حملهای را مشاهده کردند که یک نهاد دولتی در امارات را با یک بکدور جدید مبتنی بر PowerShell به نام PowerExchange هدف قرار داد. کارشناسان حدس میزنند این بکدور احتمالا با یک گروه APT مرتبط با ایران، مرتبط است.
بکدور (Backdoor) یک نوع نرمافزار مخرب است که قادر است برای دستیابی غیرمجاز به سیستم رایانهای، محدودیتهای امنیتی را دور بزند.
بکدور یک کد است که به مهاجمان اجازه میدهد بدون اینکه تشخیص داده شوند از یک سیستم، وارد و خارج شوند. به تعبیر دیگر، بکدور روشی است که کاربران مجاز و غیرمجاز به وسیله آن، به اقدامات امنیتی عادی و سطح کاربری بالا در سیستم رایانهای، شبکه یا برنامه نرمافزاری دست مییابند. پس از ورود، مجرمان سایبری میتوانند از یک درب پشتی برای سرقت اطلاعات شخصی و مالی، نصب بدافزارهای اضافی و… استفاده کنند.
این بکدور جدید از ایمیلها برای ارتباطات C2 استفاده میکند؛ جایی که C2 سرور Microsoft Exchange قربانی است. تحقیقات انجامشده توسط شرکت فورتینت (Fortinet)، وجودimplant های دیگری را در سرورهای مختلف از جمله پوسته وب جدید به نام ExchangeLeech در سرورهای مایکروسافت اکسچنج نشان داد.
زنجیره آلودگی با پیامهای فیشینگ نیزهای با استفاده از یک فایل فشرده به نام Brochure.zip در پیوست آغاز شد. آرشیو، حاوی یک فایل اجرایی مخرب داتنت (Brochure.exe) بود که یک فایل اجرایی با نماد Adobe PDF است. پس از اجرای این فایل، در حین دانلود و بارگذاری نهایی، باکس پیغام خطا نمایش داده میشود. این بدافزار برای اتصال به Exchange Server قربانی به Exchange Web Services (EWS) API متکی است و از صندوق پستی mailbox روی سرور، برای ارسال و دریافت دستور رمزگذاریشده استفاده میکند.
اسکریپت PowerShell یک بکدور سفارشی است. نام آن از ماهیت کانال C2 گرفته شده است، زیرا از API سرویسهای وب تبادل (EWS) برای اتصال به سرور Exchange قربانی استفاده میکند و از صندوقهای پستی روی سرور برای ارسال و دریافت دستور از اپراتور خود بهره میگیرد. سرور Exchange نیز از طریق اینترنت قابل دسترسی است و ارتباطات C2 را در سرورهای خارجی از دستگاههای موجود در سازمانها ذخیره میکند. همچنین به عنوان نمایندهای برای مهاجم عمل میکند تا خودش را نشان ندهد.
بکدور به سرور Exchange متصل میشود و نام کامپیوتر را با کدگذاری base64 به صندوق پستی میفرستد تا نشان دهد در حال اجراست. صندوق پستی mailboxو اعتبارنامه اتصال در کد implant کدگذاری شده است. اپراتور به نوبه خود میتواند صندوق پستی اضافی را به بکدور بفرستد تا در جلسه جاری یا شناسه نامه برای دریافت دستور استفاده کند.
انتساب این بکدور به گروه APT مرتبط با ایران یعنی APT34، بر اساس شباهتهای بین PowerExchange و بکدور TriFive است که علیه سازمانهای دولتی در کویت توسط هکرهای تحت حمایت دولتی مستقر شده است. کارشناسان تاکید کردند APT34 شناخته شده که در کمپینهای خود ارتباط از طریق سرورهای Exchange اینترنت را آزمایش کرده است؛ یعنی Karkoff بکدورPowerExchange ، یک ابزار ساده و موثر است.
هنگام نوشتن این وبلاگ، مشخص نبود عامل تهدید از کجا اعتبار دامنه را برای اتصال به سرور Exchange به دست آورده است.
با وجود اینکه هدف قرار دادن سرورهای Exchange، توسط عوامل تهدید در چند سال گذشته افزایش یافته،ExchangeLeech برخلاف سایرwebshells معمولا مورد استفاده قرار نمیگیرد. استفاده از سرور Exchange قربانی برای کانال C2، به بکدور اجازه میدهد با ترافیک مناسب ترکیب شود. در نتیجه، به گفته محققان، عامل تهدید به راحتی میتواند تقریبا از همه تشخیصها و اصلاحات مبتنی بر شبکه، در داخل و خارج از زیرساخت سازمان هدف، جلوگیری کند.
گفتنی است گروههای APT به گروههایی گفته میشود که توسط دولتها، تاسیس و حمایت میشوند تا به سبب آنها بتوانند حملات سایبری و منافع موردنیاز را کسب کنند. هدف این گروهها مانند دیگر گروههای تهاجمی، سرقت اطلاعات، آسیبرسانی و ایجاد اختلال به زیرساخت موردنظر است.