حمله سایبری پیچیده با هدف انتشار بدافزارهای خطرناک

به گزارش زوم تک به نقل از هکر نیوز ، حمله سایبری بدافزاری چند مرحله ای با استفاده از JSE و PowerShell برای استقرار Agent Tesla و XLoader مشاهده شده است.

محققان امنیتی از شناسایی یک حمله چند مرحله ای خبر داده اند که در آن بدافزارهای Agent Tesla، Remcos RAT و XLoader از طریق ایمیل های فیشینگ توزیع می شوند. این حملات پیچیده با هدف دور زدن سیستم های امنیتی و اطمینان از اجرای موفقیت آمیز بدافزار طراحی شده اند.

جزئیات حمله سایبری: از ایمیل فیشینگ تا استقرار بدافزار

آغاز این حملات با یک ایمیل فریبنده است که به عنوان درخواست سفارش ارسال می شود و یک فایل آرشیو 7-zip مخرب را به همراه دارد. این فایل آرشیو حاوی یک فایل JavaScript رمزگذاری شده (JSE) است. ایمیل فیشینگ که در دسامبر 2024 مشاهده شده است، به دروغ ادعا می کند که پرداختی انجام شده و از گیرنده می خواهد تا یک فایل پیوست شده را بررسی کند. اجرای فایل JavaScript منجر به زنجیره آلودگی می شود و این فایل به عنوان یک دانلود کننده برای یک اسکریپت PowerShell از یک سرور خارجی عمل می کند.

اسکریپت PowerShell نیز حاوی یک بارگذاری Base64-encoded است که متعاقباً رمزگشایی شده، در فهرست موقت ویندوز نوشته شده و اجرا می شود. در این مرحله، حمله به یک قطره چکان مرحله بعدی منجر می شود که با استفاده از .NET یا AutoIt کامپایل شده است.

استفاده از روش های مختلف برای استقرار بدافزار

در صورت استفاده از یک فایل اجرایی .NET، بارگذاری رمزگذاری شده جاسازی شده – یک نوع Agent Tesla که احتمالاً Snake Keylogger یا XLoader است – رمزگشایی شده و به فرآیند در حال اجرای “RegAsm.exe” تزریق می شود. این تکنیک در کمپین های قبلی Agent Tesla نیز مشاهده شده است.

از طرف دیگر، فایل اجرایی کامپایل شده با AutoIt یک لایه اضافی را برای پیچیده تر کردن تلاش های تجزیه و تحلیل معرفی می کند. اسکریپت AutoIt موجود در فایل اجرایی شامل یک بارگذاری رمزگذاری شده است که مسئول بارگیری شلکد نهایی است و باعث می شود فایل .NET به فرآیند “RegSvcs.exe” تزریق شده و در نهایت منجر به استقرار Agent Tesla شود.

تلاش مهاجمان برای افزایش پایداری و دور زدن شناسایی

به گفته محققان، استفاده از چندین مسیر اجرا نشان می دهد که مهاجم تلاش می کند تا انعطاف پذیری حملات خود را افزایش داده و از شناسایی جلوگیری کند. تمرکز مهاجم بر یک زنجیره حمله چند لایه ای است تا استفاده از تکنیک های پیچیده برای مبهم سازی.

حمله سایبری IronHusky با نسخه جدید MysterySnail RAT

در خبری دیگر، شرکت کسپرسکی جزئیات یک کمپین را منتشر کرده است که سازمان های دولتی در مغولستان و روسیه را با نسخه جدیدی از بدافزار MysterySnail RAT هدف قرار می دهد. این فعالیت به یک عامل تهدید کننده چینی زبان با نام IronHusky نسبت داده شده است.

IronHusky که حداقل از سال 2017 فعال بوده است، پیش از این در اکتبر 2021 توسط یک شرکت امنیت سایبری روسی در ارتباط با بهره برداری از آسیب پذیری روز صفر CVE-2021-40449، یک نقص ارتقاء امتیاز Win32k، برای تحویل MysterySnail مستند شده بود.

آلودگی ها از یک اسکریپت مخرب Microsoft Management Console (MMC) ناشی می شود که یک سند Word از آژانس ملی زمین مغولستان (“نامه تامین مالی مشترک_alamgac”) را تقلید می کند. این اسکریپت برای بازیابی یک فایل ZIP با یک سند فریبنده، یک باینری قانونی (“CiscoCollabHost.exe”) و یک DLL مخرب (“CiscoSparkLauncher.dll”) طراحی شده است.

هنوز مشخص نیست که چگونه اسکریپت MMC به اهداف مورد نظر توزیع می شود، اگرچه ماهیت سند فریبنده نشان می دهد که ممکن است از طریق یک کمپین فیشینگ بوده باشد.

همانطور که در بسیاری از حملات مشاهده شده است، از “CiscoCollabHost.exe” برای بارگیری جانبی DLL استفاده می شود. این DLL یک درب پشتی واسطه ای است که قادر به برقراری ارتباط با زیرساخت های تحت کنترل مهاجم با استفاده از پروژه متن باز Piping-Server است.

قابلیت های بدافزار MysterySnail RAT

این درب پشتی از قابلیت اجرای خط فرمان، بارگیری/بارگذاری فایل ها، فهرست بندی محتوای دایرکتوری، حذف فایل ها، ایجاد فرآیندهای جدید و خاتمه دادن به خود پشتیبانی می کند. از این دستورات برای بارگیری جانبی MysterySnail RAT استفاده می شود.

آخرین نسخه این بدافزار قادر به پذیرش نزدیک به 40 دستور است که به آن اجازه می دهد تا عملیات مدیریت فایل را انجام دهد، دستورات را از طریق cmd.exe اجرا کند، فرآیندها را ایجاد و خاتمه دهد، سرویس ها را مدیریت کند و از طریق ماژول های DLL اختصاصی به منابع شبکه متصل شود.

کسپرسکی اعلام کرد که پس از اقدامات پیشگیرانه شرکت های آسیب دیده برای مسدود کردن نفوذها، مهاجمان یک “نسخه تغییر یافته و سبک تر” از MysterySnail با نام رمز MysteryMonoSnail را مستقر کرده اند.

این شرکت خاطرنشان کرد: “این نسخه به اندازه نسخه MysterySnail RAT قابلیت های زیادی ندارد. این نسخه برای داشتن تنها 13 دستور اساسی برنامه ریزی شده است که برای فهرست کردن محتویات دایرکتوری، نوشتن داده ها در فایل ها و راه اندازی فرآیندها و شل های راه دور استفاده می شود.”