شناسایی APT مخرب جاسوسی TunnelSnake

بر اساس گزارش کسپرسکی (Kaspersky Lab)، گروهی ناشناس از مهاجمان در جریان یک کمپین APT با عنوان TunnelSnake، حداقل از سال ۲۰۱۹ با به‌کارگیری یک روت‌کیت اختصاصی، به آلوده‌سازی سامانه‌های با سیستم‌عامل Windows اقدام می‌کرده‌اند و جاسوسی از آنها همچنان ادامه دارد.
به گزارش مرکز مدیریت راهبردی افتا، روت‌کیت‌ها (Rootkit) ابزارهای مخربی هستند که با اجرا شدن در سطح سیستم‌عامل، ضمن در اختیار گرفتن کنترل دستگاه، خود را از دید محصولات امنیتی مخفی نگاه می‌دارند.
این روت‌کیت که کسپرسکی آن را Moriya نام‌گذاری کرده یک درب پشتی (Backdoor) منفعل است که مهاجمان را به جاسوسی از ترافیک شبکه‌ای قربانی و ارسال فرمان‌های موردنظرآنان قادر می‌کند.
به طور خلاصه Moriya به گردانندگان TunnelSnake امکان می‌داده است تا ترافیک ورودی را در سطح هسته (Kernel Space) رصد و تحلیل کنند(شکل زیر).
سطح هسته یا همان  Kernel Space جایی است که هسته سیستم‌عامل در آن قرار دارد و به طور معمول تنها کدهای مورد تأیید و دارای سطح دسترسی ویژه، اجازه اجرا شدن را در آن دارند.

روت‌کیت Moriya فرمان‌های مهاجمان را از طریق بسته‌های دست‌کاری شده خاصی دریافت می‌کنند (شکل زیر) که در نتیجه آن نیازی به برقراری ارتباط با یک سرور فرماندهی (C۲) وجود ندارد. 

این ترفندها محدود به Moriya نیست و تعداد مهاجمانی که تلاش می‌کنند در مجموعه ابزارهای خود (با متفاوت و پیچیده ساختن تکنیک‌ها) برای مدت‌ها بدون جلب‌توجه در شبکه قربانی ماندگار بمانند، روندی صعودی دارد.
در کارزار TunnelSnake، برای ازکارانداختن و متوقف کردن اجرای پروسه‌های ضدویروس، از بدافزاری با عنوان ProcessKiller نیز بهره گرفته شده است.
مهاجمان پس از رخنه به شبکه قربانی، به‌منظور گسترش دامنه آلودگی و شناسایی دستگاه‌های آسیب‌پذیر، از ابزارهای دیگری نظیر China Chopper، BOUNCER، Termite و Earthworm کمک ‌گرفته‌اند.
همچنین کسپرسکی اعلام کرده که از نسخه‌ای قدیمی‌تر از Moriya تحت عنوان IISSpy، در یک حمله به سرورهای وب IIS در سال ۲۰۱۸ استفاده شده است؛این موضوع نشان‌دهنده آن است که TunnelSnake حداقل از ۲۰۱۸ فعال بوده است.
‌تعداد سازمان‌هایی که کسپرسکی، Moriya را در شبکه آنها شناسایی کرده است کمتر از ۱۰ مورد هستند و همه آنها سازمان‌های مطرحی چون نهادهای دیپلماتیک در آسیا و آفریقا بوده‌اند.
براساس ماهیت کاری قربانیان این حملات و مجموعه ابزارهای استفاده شده، جاسوسی و سرقت اطلاعات، بعنوان اهداف اصلی این مهاجمان سایبری قلمداد شده‌اند. 
مشروح گزارش کسپرسکی در لینک زیر قابل دریافت و مطالعه است:

https://securelist.com/operation-tunnelsnake-and-moriya-rootkit/۱۰۱۸۳۱/

نشانه‌های آلودگی

منابع:

https://securelist.com/operation-tunnelsnake-and-moriya-rootkit/۱۰۱۸۳۱/

https://usa.kaspersky.com/about/press-releases/۲۰۲۱_operation-tunnel-snake-formerly-unknown-rootkit-used-to-secretly-control-networks-in-asia-and-africa

https://www.bleepingcomputer.com/news/security/new-moriya-rootkit-used-in-the-wild-to-backdoor-windows-systems/

دیدگاه شما

نشانی ایمیل شما منتشر نخواهد شد.