ضبط مکالمات اسکایپ و فعالیت‌های قربانیان و نیز سرقت اسناد محرمانه توسط در پشتی T۹۰۰۰

یک تروجان در پشتی با قابلیت‌های نرم‌افزارهای جاسوسی در حملاتی هدفمند علیه سازمان‌های مستقر در ایالات متحده‌ی آمریکا استفاده می‌شود. از آنجایی که این تروجان نسخه‌ی بهبودیافته‌ی در پشتی T۵۰۰۰‌ است، بنابراین T۹۰۰۰ نام‌گذاری شده است.
باورها بر این است که مهاجمان استفاده‌کننده از آن، منشأ چینی دارند، چرا که T۵۰۰۰ در گذشته با گروه تهدید پیشرفته‌ی Admin@۳۳۸ ارتباط نزدیکی داشته‌اند، گروهی که در چند سال اخیر دولت‌های آسیا-اقیانوسیه و اندیشمندان آمریکایی و فعالان حقوق بشر را مورد حمله قرار داده است.
T۹۰۰۰‌ از طریق رایانامه‌‌های فیشینگ حاوی یک پیوند RTF منتشر می‌شود. این پرونده‌ از دو آسیب‌پذیری CVE-۲۰۱۲-۱۸۵۶ و CVE-۲۰۱۵-۱۶۴۱ که طیف وسیعی از نرم‌افزارها از جمله بسته‌ی آفیس مایکروسافت وجود دارند، سوءاستفاده می‌کند.
بعد از بهره‌برداری از این آسیب‌پذیری‌ها، مهاجمان وارد مجموعه‌ای از shellcode می‌شوند که در نهایت منجر به بارگذاری ماژول اصلی این در پشتی و سه افزونه‌ی رمزگذاری‌شده‌ی آن می‌شود.
اما آن‌ها قبل از اولین تلاش برای نشان‌دادن سندی که تله است، مطمئن می‌شوند که تنها یک نمونه از این بدافزار در زمان واحد در حال اجرا است و به بررسی محصولات امنیتی نصب‌شده می‌پردازند.
محققان شرکت Palo Alto Networks کشف کرده‌اند: «این نرم‌افزار به تلاش برای کشف مجموعه‌ای از ۲۴ نرم‌افزار امنیتی در سامانه که ممکن است در حال اجرا باشند می‌پردازد و به سفارشی کردن ساز و کار نصب خود برای فرار از این دست این نرم‌افزارهای نصب‌شده می‌پردازد. آن‌ها از یک روند نصب چند مرحله‌ای برای بررسی‌های ویژه در هر مرحله استفاده می‌کنند تا متوجه تجزیه و تحلیل‌های امنیتی توسط پژوهش‌گران شوند.»
در صورتی‌که قربانی از ویندوزهای ۲۰۰۸ R۲ ،۷ ،۲۰۱۲ و ۸ استفاده کند و یا نرم‌افزارهای امنیتی Kingsoft ،Filseclab یا Tencent روی سامانه‌ی خود نصب داشته باشد، روند نصب کمی متفاوت خواهد بود، اما نتیجه به هر حال یکسان است.
بعد از این‌که ماژول اصلی اطلاعات کاربر، دستگاه و نرم‌افزارها را جمع‌آوری کرد، آن‌ها را به کارگزار کنترل و حمله‌ی خود می‌فرستد و آن نیز سه ماژول tyeu.dat ،vnkd.dat، و qhnj.dat را بارگیری کرده و بر روی سامانه بارگذاری می‌کند.
هر کدام از آن‌ها عمل‌کردهای متفاوتی دارند. اولین مورد مسئول جمع‌آوری اطلاعات، ضبط تماس‌های ویدئویی و صوتی و پیام‌های مکالمات از اسکایپ است و آن را با استفاده از API درونی اسکایپ انجام می‌دهد.
محققان اشاره می‌کنند: «قربانی باید به وضوح به بدافزار اجازه دهد تا به اسکایپ، برای انجام این کارها دسترسی پیدا کند. با این حال، از آنجایی که یک فرآیند قانونی نیاز به درخواست دسترسی دارد، کاربر ممکن است آن را پیدا کند و یا این دسترسی را بدون تحقق آنچه که می‌خواهد، اجازه دهد.»
دومین افزونه به دنبال درایوهایی که به سامانه متصل شده است برای پیدا کردن پرونده‌های مایکروسافت آفیس می‌گردد که بلافاصله آن‌ها را رونوشت کرده و آماده‌ی ارسال می‌کند. سومین افزونه به اقدامات مهمی که توسط قربانی صورت می‌گیرد پرداخته و این تغییرات در سامانه را ضبط می‌کند، این کار در صورتی که مهاجمان بخواهند از راه دور به سامانه‌های استفاده‌شده توسط قربانیان دسترسی پیدا کنند، به آن‌ها کمک می‌کند.
در نهایت ماژول اصلی می‌تواند درایوها و دایرکتوری‌ها را فهرست کند، دستوراتی را انجام دهد، فرآیندهایی را متوقف کند و به بارگذاری و بارگیری و حذف پرونده‌ها و … بپردازد.
T۹۰۰۰‌ یک ابزار جاسوسی بسیار مؤثر است و نویسنده و یا نویسندگان بسیار سخت کار کرده‌اند تا از کشف‌شدن این در پشتی هم توسط ضدبدافزارها و هم توسط محققان بدافزار جلوگیری کنند. اما این تلاش بیهوده بوده است.
در پست وبلاگ شرکت Palo Alto اطلاعات فنی اضافی در مورد این بدافزار و فرآیندهای آلوده‌سازی و نصب آن ارائه شده است و شاخص‌هایی عرضه شده است تا با استفاده از آن شرکت‌ها بدانند که آیا توسط این بدافزار مورد حمله قرار گرفته‌اند یا خیر.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

LinkedInFacebookTwitter