شناسايي يك بدافزار در زيرساخت‌هاي كشور

 به گزارش ايسنا به نقل مركز مديريت راهبردي افتا، اين گروه هكري معمولاً سازمان‌هاي دولتي را به قصد جمع‌آوري اطلاعات هدف قرار مي‌دهد و ورود آن از طريق سوءاستفاده از آسيب‌پذيري‌هاي سامانه‌هاي لبه شبكه (اينترنت) و همچنين از طريق خريد دسترسي اوليه و اكانت معتبر بوده است. براي افزايش سطح آگاهي راجع به روش عملكرد اين گروه گزارش تحليل بدافزار و TTP حمله و همچنين شاخص‌هاي آلودگي و قواعد شكارتهديد (IOC) مربوط به اين گروه در اين مقاله در اختيار عموم قرار داده مي‌شود. با اينكه روش حمله اين گروه اشتراكاتي با حملات APT41 و همچنين گروه Oneclik دارد ولي در نوع خود منحصربه‌فرد بوده است و در گزارش‌هاي بررسي‌شده با هيچ‌كدام از گروه‌هاي شناخته‌شده مطابقت ندارد. اين گروه از تكنيك پيشرفته(   AppDomainManager HijackingT1574.014) براي اجراي كد مخرب در بستر يك پروسه معتبر ويندوزي استفاده كرده است. زنجيره حمله با اجراي فرآيند dfsvc.exe آغاز مي‌شود و در انتها با استفاده از ابزار Cobalt اقدام به پايداري دسترسي و اجراي كد مخرب و همچنين استخراج اطلاعات از سازمان‌ها مي‌كند. اين گروه هكري معمولاً سازمان‌هاي دولتي را به قصد جمع‌آوري اطلاعات هدف قرار مي‌دهد و ورود آن از طريق سوءاستفاده از آسيب‌پذيري‌هاي سامانه‌هاي لبه شبكه (اينترنت) و همچنين از طريق خريد دسترسي اوليه و اكانت معتبر بوده است. اين گروه با استفاده از ابزارهايي مانند     dfsvc.exe كه داراي امضاي ديجيتال معتبر مايكروسافت است و همچنين استفاده از دي‌ال‌ال‌هاي رمز شده تو در تو براي پايداري دسترسي و اجراي شل كد بر روي memory خود را از ديد آنتي‌ويروس‌ها مخفي نگه مي‌دارد. تكنيك AppDomainManager Hijacking با استفاده از dfsvc.exe را در گذشته گروه‌هاي APT41 و گروه Oneclik استفاده كرده بودند ولي در روش پياده‌سازي اين تكنيك تفاوت‌هايي وجود دارد و به اين دليل نمي‌توان اين حملات را به اين گروه‌ها نسبت داد. مركز مديريت راهبردي افتاي رياست‌جمهوري بر اساس نتايج حاصل از مهندسي معكوس لايه‌هاي بدافزار، استخراج پيكربندي از حافظه و تحليل ترافيك شبكه، مجموعه‌اي از شاخص‌هاي آلودگي را با دقت بالا (High-Fidelity) استخراج كرده است.