يکشنبه ۲ دی ۱۴۰۳ , 22 Dec 2024
جالب است ۰
کمپین سایبری جدیدی به نام GoldenJackal (شغال طلایی) سیستم‌های دیپلماتیک خاورمیانه و جنوب آسیا را هدف می‌گیرد.
منبع : مرکز ماهر
کمپین سایبری جدیدی به نام Golden Jackal (شغال طلایی) سیستم‌های دیپلماتیک خاورمیانه و جنوب آسیا را هدف می‌گیرد.
 
به گزارش افتانا، دولت‌ها و نهاد‌های دیپلماتیک در خاورمیانه و جنوب آسیا هدف یک تهدید جدید و پیشرفته به نام GoldenJackal هستند. دامنه هدف‌گیری این کمپین، قربانیان را با بدافزار‌های طراحی شده، آلوده می‌کند. این بدافزار داده‌ها را سرقت میکند، از طریق درایو‌های قابل جابجایی در سراسر سیستم‌ها پخش می‌شود و نظارت بر دستگاه قربانی را انجام می‌دهد. گروه GoldenJackal مظنون به این است که حداقل چهار سال فعال بوده، اگرچه اطلاعات کمی در مورد این گروه وجود دارد.
 
کسپرسکی بیان کرده است که قادر به تعیین منشا یا وابستگی آن به عوامل تهدید شناخته شده نیست، اما شیوه عمل این مهاجم، انگیزه جاسوسی را نشان می‌دهد. ویژگی اصلی این گروه به‌خاطر مجموعه بدافزارهای دات‌نتی آن‌ها، از جمله JackalControl ،JackalWorm  ، JackalSteal  ، JackalPerInfo   و JackalScreenWatcher است.
 
بدافزار JackalSteal: پیاده سازی برای یافتن فایل‌های مورد علاقه، از‌جمله مواردی که در درایو‌های USB قابل جابجایی قرار دارند و انتقال آنها به سرور راه دور استفاده می‌شود.
 
بدافزار JackalWorm: کرمی است که برای آلوده کردن سیستم‌ها با استفاده از درایو‌های USB قابل جابجایی و نصب تروجان JackalControl طراحی شده است.
 
بدافزار JackalPerInfo: بد‌افزاری که دارای ویژگی‌هایی برای جمع آوری فراداده‌های سیستم، محتویات فولدر، برنامه‌های نصب شده و فرآیند‌های در حال اجرا و اعتبارنامه‌های ذخیره شده در پایگاه‌های داده مرورگر وب است.
 
بدافزار JackalScreenWatcher: ابزاری برای گرفتن عکس از صفحه بر اساس بازه زمانی از پیش تعیین شده و ارسال آنها به یک سرور تحت کنترل مهاجم است.
 
این مجموعه بدافزارها برای اهدافی مانند کنترل ماشین هدف، پخش از طریق درایورهای قابل حمل، استخراج فایلهای خاص از سیستم هدف، سرقت اعتبارنامه‌ها، جمع‌آوری اطلاعات از سیستم هدف، جمع‌آوری اطلاعات از فعالیت‌های وب قربانی، گرفتن عکس از دسکتاپ در نظر گرفته شده است.
 
در طول بررسی این گروه، محققان متوجه شدند که اغلب روش آلوده سازی قربانیان، از طریق نصب کننده های جعلی skype و فایل‌های ورد بوده است. نصب‌کننده جعلی اسکایپ یک فایل اجرایی .NET با نام skype32.exe و در حدود ۴۰۰ مگابایت است. این فایل یک نرم‌افزار افشاگر (Trojan) به نام JackalControl و یک نصب‌کننده اصلی اسکایپ برای تجارت استفاده می‌شد را شامل می‌شود. آلودگی از طریق فایلهای Word با استفاده از اکسپلویت Follina  و از طریق تکنیک remote template injection  یک صفحه مخرب HTML صورت می‎گرفت. شکل زیر یه نمونه از فایل مخرب ورد را نشان می‌دهد.
 
فایل مخرب ورد GoldenJackal
 
نام این سند «Gallery of Officers Who Have Received National And Foreign Awards.docx» بود و به‌عنوان یک اطلاعات معتبر ظاهر می‌شد. نکته‌ای دارد که اولین توصیفی از آسیب‌پذیری Follina در تاریخ 29 مه 2022 منتشر شد و این سند به نظر می‌رسد در تاریخ 1 ژوئن، دو روز پس از انتشار، تغییر داده شده و برای نخستین بار در تاریخ 2 ژوئن شناسایی شد. این سند به گونه‌ای پیکربندی شده بود که از یک وب‌سایت معتبر و هک شده بارگذاری می‌شد.
 
صفحه دانلود شده، نسخه اصلاح شده PoC است که در مخزن گیت‌هاب قابل دسترس است. مهاجم مقدار متغیر IT_BrowseForFile را به مقدار زیر تغییر داده است:
 
تغییر متغیر IT_BrowseForFile
 
اگر این کد رمزگشایی شود، به کد زیر می‌رسد:
 
حمله سایبری Golden Jackal
 
فعالیت GoldenJackal به استفاده از وب‌سایت‌های وردپرس مورد هک شده به عنوان روشی برای میزبانی منطق مرتبط با C2 مشخص می‌شود. مهاجمان یک فایل PHP مخرب را بارگذاری می‌کنند که به عنوان یک رله برای ارسال درخواست‌های وب به سرور C2 اصلی استفاده می‌شود. شواهدی از آسیب‌پذیری‌های استفاده شده برای مورد هک کردن این وب‌سایت‌ها نیست. با این حال، مشاهده شده است که که بسیاری از وبسایت‌ها از نسخه‌های قدیمی از وردپرس استفاده می‌کردند و برخی از آن‌ها نیز قبلاً توسط هکرها یا فعالیت‌های جرمی تحت تاثیر قرار گرفته بودند. به همین دلیل، ارزیابی شود که آسیب‌پذیری‌های استفاده شده برای نفوذ به این وبسایت‌ها، آسیب‌پذیری‌های شناخته شده است. صفحه وب از طریق اینترنت پاسخی جعلی با عنوان «Not Found» ارسال می‌کند. کد وضعیت پاسخ «HTTP 200» است، اما محتوای بدنه HTTP یک صفحه «Not found» را نشان می‌دهد.
 
محققان اعلام کردند که این گروه را نمی‌توانند به بازیگر شناخته شده‌ای نسبت دهند، اما در طول تحقیق متوجه برخی از شباهت‌ها بین GoldenJackal و Turla شده‌اند. به طور خاص، شباهتی را در الگوریتم تولید شناسه یکتا برای قربانی‌ها که تا حدودی با الگوریتم استفاده شده توسط Kazuar همپوشانی دارد، مشاهده کرده است. در Kazuar، مقدار هش MD5 از یک رشته پیش‌تعیین شده به دست می‌آید و سپس با یک Seed چهار بایتی یکتا از دستگاه XOR می‌شود. این Seed با دریافت شماره سریال حجمی که سیستم عامل در آن نصب شده است، به دست می‌آید.

همچنین JackalControl  از طریق کد زیر BOT_ID  نهایی را تشکیل و بدست می‌آورد:
 
 
علاوه بر این، استفاده از ابزارهای توسعه‌یافته در .NET و از وب‌سایت‌های وردپرسی دستکاری شده به عنوان نقاط کنترل مرکزی (C2)، تاکتیک‌های متداولی در تنظیم پیشرفته Turla است. هر چند، ارتباط بین GoldenJackal و Turla را با اطمینان کم ارزیابی شده است، زیرا هیچ‌کدام از این ویژگی‌ها به صورت منحصر به فرد برای هر دو گروه تهدیدی نیست. استفاده از وب‌سایت‌های ورپرسی دستکاری شده تنها یک تاکتیک منحصر به فرد برای Turla نیست. این تکنیک نیز در فعالیت‌های گروه‌های دیگری مانند BlackShadow، یک APT فعال در خاورمیانه که از نرم‌افزارهای .NET استفاده می‌کند، مشاهده شده است. اشتراک کدها مربوط به یک تابع واحد در یک برنامه .NET است که با استفاده از یک دیکامپایلر به راحتی قابل کپی است. احتمالاً GoldenJackal از آن الگوریتم به عنوان یک پرچم نادرست استفاده کرده است. فرضیه دیگر این است که توسعه‌دهندگان پشت JackalControl تحت تأثیر Turla قرار گرفته و تصمیم به تکثیر الگوریتم تولید UID کرده‌اند. اهداف مشترک هم می‌توان اینگونه در نظر گرفت که قربانی ها از سطح بالایی برخودارند و مورد علاقه گروه‌های مختلف هستند.
کد مطلب : 20934
https://aftana.ir/vdchkwni.23nvxdftt2.html
ارسال نظر
نام شما
آدرس ايميل شما
کد امنيتی