شنبه, ۲۶ دی ۱۳۹۴، ۰۱:۳۱ ب.ظ
گونهی تغییر شکل یافتهی تروجان دسترسی از راه دورِ AlienSpy
محققان در مؤسسهی امنیتی Fidelis میگویند: «بدافزار جاسوسی AlienSpy، قبل از ظهورِ خیرهکننده در بلکهت، ۲۰ روز قبل روی تلفنهمراه یک دادستان آرژانتینی مرده پیدا شد، ظاهراً کنترلکنندهی تروجان دسترسی از راه دورِ AlienSpy کار خود را تعطیل کرده، و این بدافزار جاسوسی را تغییر نام و شکل داده و سپس محدودهی عملیات آن را به حوزههای جدیدی گسترش داده است.»
در دیماه سال پیش، پیکر بیجان فردی که ظاهراً دادستانی بیپروا به نام آلبرتو نیسمن بود، پیدا شد. علت مرگ وی خودکشی اعلام شده بود اما شواهد با توجه به گزارشهای منتشرشده این نتیجهگیری را رد میکنند.
بنا به گفتهی مدیر امنیتی First Look Media، گوشی اندرویدی نیسمن، به مدت ۶ هفته آلوده به AlienSpy بوده است.
«esterictamente secreto y confidencial.pdf.jar» پروندهای است که در گوشی نیسمن پیدا شده، و مرکب از AlienSpy بوده است، تروجانی با دسترسی از راه دور که به زبان جاوا نوشته شده و توسط سایر تهدیدکنندگان بر علیه اهدافشان در زیرساختهای بحرانی استفاده شده است.
این RAT۱ نهتنها اطلاعات سامانه را جمعآوری کرده، و با ایجاد یک در پشتی پروندههای اجرایی مخرب ( ازجمله یک کیلاگر) را بارگیری کرده و دادههای دزدی را استخراج میکند، بلکه میتواند جلسات وبکم را ضبط کند، به میکروفون سامانه گوش دهد، رومیزی دارای قابلیتِ کنترل از راه دور ایجاد کند، گواهینامههای مرورگر را بدزدد و به پروندهها دسترسی پیدا کند.
محققان Fidelis در ماه فروردین گزارشی را در مورد شیوع و گسترش AlienSpy به وسیلهی پیامهای فیشینگ منتشر کردند. طبق گفتهی Fidelis در گزارشی که اخیراً منتشر کرد، مدت کوتاهی بعد از انتشار گزارش قبلی، ثبتکنندهی دامنهی GoDaddy، دامنهی AlienSpy را تعلیق کرد و در طی دو هفته دامنهی فعلی jsocket[.]org در eNom ثبت شد.
تا ۲۱ تیرماه AlienSpy وجود نداشته و از کاربران خواسته میشد که به jsocket[.]org مراجعه کنند که در یک میزبان بریتانیایی به نام LayerIP قرار داشته است.
بنا به گفتهی محققان، از آن زمان تاکنون، کمپینهای فیشینگ به استفاده از RAT برای اهداف جدید خود در صنایع، مانند ابزارها، آژانسهای دولتی و مخابرات سوق پیدا کردهاند.
JSocket مانند نمونهی قبلی خود، به صورت تجاری موجود است و مستعد حذف به همان شکل است.
به گفتهی هاردیک مودی محقق در زمینهی تهدید و معاون Fidelis، «این بدافزار به صورت عمومی در دسترس بوده و با یک تراکنش بیتکوین میتوانید بسته را دریافت کنید. آنها در فضای باز عمل میکنند، آنها رد خود را پاک میکنند. ما هنوز متوجه نشدهایم که چه کسانی این بدافزار را ایجاد و توزیع میکنند، اما به صورت فروشی و تحت مجوز مبتنی بر اشتراک در دسترس بوده و سازنده به سامانهی آنها وصل میشود. این دلیل اصلی از کار افتادن این شبکه در فروردین بود؛ ثبتکنندهی آنها بعد از انتشار گزارشهای عمومی در این زمینه، شبکه را تعطیل کرد. آنها دامنه را حذف کردند و همهی نسخههای آن بستهی نرمافزاری را که به آن نقطه مربوط بود را لغو کردند.»
نسخهای که روی تلفن نیسمن بود بدافزاری برای آسیبرسانی به یک ماشین ویندوز بود؛ AlienSpy در درجهی اول تهدیدی برای ویندوز است و از بسترهای اندروید، لینوکس و Mac OS X پشتیبانی نمیکند. هنوز مشخص نیست که آیا نیسمن رایانامهی فیشینگ را روی لپتاپ خود بازکرده است یا نه.
JSocket هنوز مبتنی بر جاوا است و با یک برنامهی رمزگذاری و کلید جدید بهروزرسانی شده است که بازکردن بسته و تحلیل آن را مشکل میکند.
JSocket همچنین در صورتی که یک سرویسگیرندهی جاوا روی ماشین قربانی وجود نداشته باشد، سعی میکند که آن را نصب کند.
«عملکرد این RAT قابل مقایسه با سایر RATها است ولی سازمانهای بسیاری بهطور طبیعی از ورود محتوای قابل اجرا، پروندههای PE ویندوز، به محیط جلوگیری میکنند. اما به پروندههای جاوا تا این حد توجه نمیشود. پروندههای jar که به محیط وارد میشوند با این دقت بررسی نمیشوند.»
در دیماه سال پیش، پیکر بیجان فردی که ظاهراً دادستانی بیپروا به نام آلبرتو نیسمن بود، پیدا شد. علت مرگ وی خودکشی اعلام شده بود اما شواهد با توجه به گزارشهای منتشرشده این نتیجهگیری را رد میکنند.
بنا به گفتهی مدیر امنیتی First Look Media، گوشی اندرویدی نیسمن، به مدت ۶ هفته آلوده به AlienSpy بوده است.
«esterictamente secreto y confidencial.pdf.jar» پروندهای است که در گوشی نیسمن پیدا شده، و مرکب از AlienSpy بوده است، تروجانی با دسترسی از راه دور که به زبان جاوا نوشته شده و توسط سایر تهدیدکنندگان بر علیه اهدافشان در زیرساختهای بحرانی استفاده شده است.
این RAT۱ نهتنها اطلاعات سامانه را جمعآوری کرده، و با ایجاد یک در پشتی پروندههای اجرایی مخرب ( ازجمله یک کیلاگر) را بارگیری کرده و دادههای دزدی را استخراج میکند، بلکه میتواند جلسات وبکم را ضبط کند، به میکروفون سامانه گوش دهد، رومیزی دارای قابلیتِ کنترل از راه دور ایجاد کند، گواهینامههای مرورگر را بدزدد و به پروندهها دسترسی پیدا کند.
محققان Fidelis در ماه فروردین گزارشی را در مورد شیوع و گسترش AlienSpy به وسیلهی پیامهای فیشینگ منتشر کردند. طبق گفتهی Fidelis در گزارشی که اخیراً منتشر کرد، مدت کوتاهی بعد از انتشار گزارش قبلی، ثبتکنندهی دامنهی GoDaddy، دامنهی AlienSpy را تعلیق کرد و در طی دو هفته دامنهی فعلی jsocket[.]org در eNom ثبت شد.
تا ۲۱ تیرماه AlienSpy وجود نداشته و از کاربران خواسته میشد که به jsocket[.]org مراجعه کنند که در یک میزبان بریتانیایی به نام LayerIP قرار داشته است.
بنا به گفتهی محققان، از آن زمان تاکنون، کمپینهای فیشینگ به استفاده از RAT برای اهداف جدید خود در صنایع، مانند ابزارها، آژانسهای دولتی و مخابرات سوق پیدا کردهاند.
JSocket مانند نمونهی قبلی خود، به صورت تجاری موجود است و مستعد حذف به همان شکل است.
به گفتهی هاردیک مودی محقق در زمینهی تهدید و معاون Fidelis، «این بدافزار به صورت عمومی در دسترس بوده و با یک تراکنش بیتکوین میتوانید بسته را دریافت کنید. آنها در فضای باز عمل میکنند، آنها رد خود را پاک میکنند. ما هنوز متوجه نشدهایم که چه کسانی این بدافزار را ایجاد و توزیع میکنند، اما به صورت فروشی و تحت مجوز مبتنی بر اشتراک در دسترس بوده و سازنده به سامانهی آنها وصل میشود. این دلیل اصلی از کار افتادن این شبکه در فروردین بود؛ ثبتکنندهی آنها بعد از انتشار گزارشهای عمومی در این زمینه، شبکه را تعطیل کرد. آنها دامنه را حذف کردند و همهی نسخههای آن بستهی نرمافزاری را که به آن نقطه مربوط بود را لغو کردند.»
نسخهای که روی تلفن نیسمن بود بدافزاری برای آسیبرسانی به یک ماشین ویندوز بود؛ AlienSpy در درجهی اول تهدیدی برای ویندوز است و از بسترهای اندروید، لینوکس و Mac OS X پشتیبانی نمیکند. هنوز مشخص نیست که آیا نیسمن رایانامهی فیشینگ را روی لپتاپ خود بازکرده است یا نه.
JSocket هنوز مبتنی بر جاوا است و با یک برنامهی رمزگذاری و کلید جدید بهروزرسانی شده است که بازکردن بسته و تحلیل آن را مشکل میکند.
JSocket همچنین در صورتی که یک سرویسگیرندهی جاوا روی ماشین قربانی وجود نداشته باشد، سعی میکند که آن را نصب کند.
«عملکرد این RAT قابل مقایسه با سایر RATها است ولی سازمانهای بسیاری بهطور طبیعی از ورود محتوای قابل اجرا، پروندههای PE ویندوز، به محیط جلوگیری میکنند. اما به پروندههای جاوا تا این حد توجه نمیشود. پروندههای jar که به محیط وارد میشوند با این دقت بررسی نمیشوند.»
