انتشار Backdoorهای مبتنی بر Powershell از طریق اسناد آفیس

پژوهشگران یک Backdoor جدید مبتنی بر PowerShell را مشاهده کرده‌اند که مشابه ابزار هکِ مخرب MuddyWater از طریق فایل‌های مایکروسافت آفیس، آلودگی ایجاد کرده و داده‌های حساس قربانی را دزدیده و آن را از طریق سرور C&C با مهاجم به اشتراک می‌گذارد.

MuddyWater یک گروه مجرم سایبری شناخته شده است؛ این گروه از سال 2017 فعال بوده و حملات متفاوتی را روی نهاد‌های دولتی و خصوصی انجام داده است. این گروه همچنین در ماه مارس سال 2018 حملات یکسانی را در کشورهایی چون ترکیه، پاکستان و تاجیکستان انجام داده است.

Backdoor مبتنی بر PowerShell که به تازگی کشف شده است حاوی فعالیت‌های مشابه بسیاری با فعالیت‌های Muddywater در گذشته است و از طریق اسناد Word به نام Raport.doc یا Gizli Raport.doc  پخش می‌گردد. این اسناد مخرب از ترکیه در سایت Virustotal آپلود شده‌اند و Backdoorی را منتشر می‌کنند که مانند POWERSTATS، شناخته شده است و متعلق به MuddyWater بود و در PowerShell نوشته شده است.

همچنین در شیوه‌ی جدیدی از حمله، مهاجمان از API متعلق به ارائه‌دهنده‌ی Cloud File Hosting برای ارتباطات Command & Control استفاده می‌کنند و داده‌های دزدیده شده را به اشتراک می‌گذارند و یا دسترسی سیستم را برای مهاجمان فراهم می‌نمایند.

فرایند آلوده‌سازی Backdoor مبتنی بر PowerShell

پیوست مخربی که از طریق ایمیل ارسال می‌گردد، شبیه به یک سند Phishing است، همراه با لوگویی از سازمان‌های دولت ترکیه که به مهاجمین کمک می‌کنند کاربران را فریب داده و باعث شوند که آن‌ها باور کنند اسناد قانونی هستند. روند کار به این ترتیب است که در ابتدا به کاربران اطلاع‌رسانی می‌کند که نسخه‌اش قدیمی است و قابلیت بروزرسانی به نسخه‌ی جدیدتری از سند را برای ماکرو ایجاد می‌نماید، و فرایند آلودگی از همین‌جا آغاز می‌گردد.

  سند ساختگی آفیس سعی می‌کند کاربر را وادار کند که ماکروهای مخربی را فعال نماید. این ماکروها از base52 استفاده می‌کنند که به ندرت توسط عاملان خطرآفرین پیچیده، برای رمزگذاری Backdoor آن‌ها مورد استفاده قرار می‌گیرند. سپس، وقتی که کاربران ماکروها را فعال کردند، فایل‌های a .dll و a .reg وارد دایرکتوری %temp% می‌گردد.

“C:\Windows\System32\cmd.exe” /k %windir%\System32\reg.exe IMPORT %temp%\B.reg

پس از اینکه پژوهشگران کد PowerShell را تجزیه‌و‌تحلیل کردند، به این نتیجه رسیدند که شدیدا مبهم‌سازی شده و حاوی کد‌های رمزگذاری‌شده با نام‌های متفاوتی بود که با استفاده از دشنام‌های انگلیسی ساخته شده بودند. در واقع ابتدا، Backdoor اطلاعات حساس متفاوت را از جمله نام سیستم عامل، نام دامین، نام کاربر، آدرس IP و موارد بیشتر جمع‌آوری می‌کند که بسیار شبیه به فرایند گذشته‌ی Muddywater است.

براساس پژوهش شرکت Trend Micro، تفاوت بین این Backdoor و Backdoor قبلی Muddywater این است که در این Backdoor، ارتباطات C&C با قراردادن فایل‌ها در ارائه‌دهنده‌ی Cloud انجام می‌شود. وقتی بیشتر تجزیه و تحلیل انجام داده شد، مشخص گشت که روش‌های ارتباطی از فایل‌هایی با نام (hard disk serial number) و با توجه به کاربرد فایل با افزونه‌های متفاوت، استفاده می‌نمایند.

به نظر می‌رسد که این فعالیت Backdoor عموما سازمان‌هایی در دولت ترکیه را هدف قرار می‌دهد که به بخش‌های مالی و انرژی مربوط هستند؛ همچنین اگر متعلق به گروه مهاجم Muddywater باشد، احتمال بهبود کارکردش در آینده وجود دارد.