آفیس و تلگرام در خدمت نفوذ TelegramRAT‎

امتیاز کاربران

ستاره فعالستاره فعالستاره فعالستاره فعالستاره فعال
 

q402

 

 

 

بدافزار TelegramRAT با بهره‌برداری از  آسیب‌پذیری آفیس و تلگرام دست به سرقت اطلاعات می‌زند.

 

به گزارش كارشناسان دژپاد ، شرکت Netskope هشدار داد که تروجان تازه شناسایی‌شده دسترسی از راه دور (RAT) از طریق اسنادی توزیع می‌شود که از یک آسیب‌پذیری هفده‌ساله‌ وصله‌شده در ماه نوامبر سال ۲۰۱۷ میلادی در آفیس، بهره‌برداری می‌کنند.

 

در واقع TelegramRAT، بدافزاری است که از برنامه‌ پیام‌رسان تلگرام برای فرمان و کنترل استفاده می‌کند و از یک بستر ذخیره‌سازی ابری سوء‌استفاده می‌کند تا بار داده‌ مخرب خود را ذخیره کند. این رویکرد به این تهدید اجازه می‌دهد تا برخی از پویشگر‌های امنیتی سنتی را از سر باز کند.

 

حملات مربوط به TelegramRAT با یک سند آفیس مخرب شروع می‌شوند که از آسیب‌پذیری CVE-۲۰۱۷-۱۱۸۸۲ در Equation Editor مایکروسافت (EQNEDT32.EXE) که در ماه نوامبر سال ۲۰۰۰ میلادی معرفی شد، بهره‌برداری می‌کنند. این اشکال به مدت هفده‌سال تا زمانی که مایکروسافت ماه گذشته آن را به‌صورت دستی وصله کرد، بدون هیچ توجهی باقی ماند، اما طولی نکشید که عاملان مخرب شروع به سوء‌استفاده از آن کردند.

 

به عنوان بخشی از این حمله‌ جدید، خدمات هدایت نشانی اینترنتی Bit.ly مورد استفاده قرار گرفت تا بار داده‌ TelegramRAT را که در دراپ‌باکس میزبانی شده، پنهان کند. این بدافزار از واسط برنامه‌نویسی بات تلگرام استفاده می‌کند تا دستورات را دریافت کند و پاسخ‌ها را به مهاجم ارسال کند. با استفاده از برنامه‌های ابری SSL برای آلودگی و عملیات فرمان و کنترل، این بدافزار می‌تواند ارتباط را از برنامه‌های امنیتی مخفی نگه دارد.

 

شرکت Netskope می‌گوید: «رشته‌های قابل اجرای بار داده، حاوی ارجاع‌های بسیاری به پرونده‌های پایتون است. پس از یک تجزیه‌وتحلیل سریع به نظر می‌رسید که این بار داده یک برنامه‌ پایتون باشد که به یک پرونده‌ قابل اجرای دودویی مستقل تبدیل شده‌است که حاوی همه‌ چیزهای موردنیاز برای اجرای برنامه است.»

 

به خاطر اینکه مفسر پایتون، کد برنامه و همه‌ کتابخانه‌های مورد نیاز بسته‌بندی‌شده هستند، پرونده‌ قابل اجرا حجم بزرگی دارد که باعث می‌شود کمتر مشکوک به نظر برسد.

 

در مسیر استخراج‌شده، پژوهشگران پرونده‌های PYD، پرونده‌های DLL و یک پوشه‌ حاوی پرونده‌های .pyc را یافتند. آنها همچنین یک پرونده به نام «RATAttack» را کشف کردند که به یک پروژه‌ «RAT-via-Telegram» متن‌باز در GitHub اشاره دارد.

 

پژوهشگران امنیتی کشف کرده‌اند که این مهاجمان هنگامی که پرونده‌ اجرایی پایتون خود را کامپایل می‌کنند از کد موجود در گیت‌هاب استفاده می‌کنند.

 

با استفاده از تلگرام که از ارتباط رمزنگاری‌شده پشتیبانی می‌کند، مهاجمان اطمینان دارند که می‌توانند به‌راحتی و بدون هیچ جاسوسی، ارتباط را با هدف برقرار کنند. نویسندگان RAT یک بات تلگرام ایجاد می‌کنند و توکن تلگرام بات را در پرونده‌ پیکربندی TelegramRAT جاسازی می‌کنند سپس این بدافزار به کانال تلگرام بات متصل می‌شود که در آنجا مهاجم می‌تواند دستوراتی برای دستگاه آلوده صادر کند.

 

طبق دستورات دریافت‌شده، این بدافزار می‌تواند تصاویری از صفحه تهیه کند، دستورات شِل را اجرا کند، پرونده‌ها را کپی، حذف و از هدف بارگیری کند، پرونده‌های محلی را رمزنگاری و رمزگشایی کند، ثابت کردن صفحه‌ کلید را فعال یا غیرفعال کند، گذرواژه‌های ورود گوگل کروم را پیدا کند، با میکروفون صدا ضبط کند، گزارش کلیدها را دریافت کند، اطلاعات رایانه‌ شخصی را دریافت کند، یک کارگزار پروکسی باز کند، دستگاه را خاموش و یا راه‌اندازی مجدد کند، یک پرونده را اجرا کند، یک دستور را برای اجرا در زمان مشخص زمان‌بندی کند، خدمات و فرایندهای در حال اجرا را نشان دهد و پرونده‌های قابل اجرا را به‌روزرسانی کند.

 

شرکت Netskope نتیجه می‌گیرد که: «TelegramRAT یک نمونه‌ دیگری از فعالیت مهاجمان را ارائه می‌دهد که تصدیق می‌کنند می‌توان از ابر استفاده کرد تا پویشگرهای امنیتی سنتی را از سر باز کرد. TelegramRAT با ایجاد ابر بومی خود از یک برنامه‌ ابری برای میزبانی بار داده‌ خود و از یک برنامه‌ دیگر برای عملیات فرمان و کنترل استفاده می‌کند. این پیوند برنامه‌ ابری در برابر حملات مقاومت می‌کند و به پویشگرهای امنیتی نیاز دارد تا بتواند نمونه‌های برنامه‌‌ ابری را تشخیص دهد و به ترافیک SSL رسیدگی کند تا مؤثر باشند.»

 

 

بدافزار TelegramRAT با بهره‌برداری از آسیب‌پذیری آفیس و تلگرام دست به سرقت اطلاعات می‌زند.

به گزارش كارشناسان دژپاد ، شرکت Netskope هشدار داد که تروجان تازه شناسایی‌شده دسترسی از راه دور (RAT) از طریق اسنادی توزیع می‌شود که از یک آسیب‌پذیری هفده‌ساله‌ وصله‌شده در ماه نوامبر سال ۲۰۱۷ میلادی در آفیس، بهره‌برداری می‌کنند.

در واقع TelegramRAT، بدافزاری است که از برنامه‌ پیام‌رسان تلگرام برای فرمان و کنترل استفاده می‌کند و از یک بستر ذخیره‌سازی ابری سوء‌استفاده می‌کند تا بار داده‌ مخرب خود را ذخیره کند. این رویکرد به این تهدید اجازه می‌دهد تا برخی از پویشگر‌های امنیتی سنتی را از سر باز کند.

حملات مربوط به TelegramRAT با یک سند آفیس مخرب شروع می‌شوند که از آسیب‌پذیری CVE-۲۰۱۷-۱۱۸۸۲ در Equation Editor مایکروسافت (EQNEDT32.EXE) که در ماه نوامبر سال ۲۰۰۰ میلادی معرفی شد، بهره‌برداری می‌کنند. این اشکال به مدت هفده‌سال تا زمانی که مایکروسافت ماه گذشته آن را به‌صورت دستی وصله کرد، بدون هیچ توجهی باقی ماند، اما طولی نکشید که عاملان مخرب شروع به سوء‌استفاده از آن کردند.

به عنوان بخشی از این حمله‌ جدید، خدمات هدایت نشانی اینترنتی Bit.ly مورد استفاده قرار گرفت تا بار داده‌ TelegramRAT را که در دراپ‌باکس میزبانی شده، پنهان کند. این بدافزار از واسط برنامه‌نویسی بات تلگرام استفاده می‌کند تا دستورات را دریافت کند و پاسخ‌ها را به مهاجم ارسال کند. با استفاده از برنامه‌های ابری SSL برای آلودگی و عملیات فرمان و کنترل، این بدافزار می‌تواند ارتباط را از برنامه‌های امنیتی مخفی نگه دارد.

شرکت Netskope می‌گوید: «رشته‌های قابل اجرای بار داده، حاوی ارجاع‌های بسیاری به پرونده‌های پایتون است. پس از یک تجزیه‌وتحلیل سریع به نظر می‌رسید که این بار داده یک برنامه‌ پایتون باشد که به یک پرونده‌ قابل اجرای دودویی مستقل تبدیل شده‌است که حاوی همه‌ چیزهای موردنیاز برای اجرای برنامه است

به خاطر اینکه مفسر پایتون، کد برنامه و همه‌ کتابخانه‌های مورد نیاز بسته‌بندی‌شده هستند، پرونده‌ قابل اجرا حجم بزرگی دارد که باعث می‌شود کمتر مشکوک به نظر برسد.

در مسیر استخراج‌شده، پژوهشگران پرونده‌های PYD، پرونده‌های DLL و یک پوشه‌ حاوی پرونده‌های .pyc را یافتند. آنها همچنین یک پرونده به نام «RATAttack» را کشف کردند که به یک پروژه‌ «RAT-via-Telegram» متن‌باز در GitHub اشاره دارد.

پژوهشگران امنیتی کشف کرده‌اند که این مهاجمان هنگامی که پرونده‌ اجرایی پایتون خود را کامپایل می‌کنند از کد موجود در گیت‌هاب استفاده می‌کنند.

با استفاده از تلگرام که از ارتباط رمزنگاری‌شده پشتیبانی می‌کند، مهاجمان اطمینان دارند که می‌توانند به‌راحتی و بدون هیچ جاسوسی، ارتباط را با هدف برقرار کنند. نویسندگان RAT یک بات تلگرام ایجاد می‌کنند و توکن تلگرام بات را در پرونده‌ پیکربندی TelegramRAT جاسازی می‌کنند سپس این بدافزار به کانال تلگرام بات متصل می‌شود که در آنجا مهاجم می‌تواند دستوراتی برای دستگاه آلوده صادر کند.

طبق دستورات دریافت‌شده، این بدافزار می‌تواند تصاویری از صفحه تهیه کند، دستورات شِل را اجرا کند، پرونده‌ها را کپی، حذف و از هدف بارگیری کند، پرونده‌های محلی را رمزنگاری و رمزگشایی کند، ثابت کردن صفحه‌ کلید را فعال یا غیرفعال کند، گذرواژه‌های ورود گوگل کروم را پیدا کند، با میکروفون صدا ضبط کند، گزارش کلیدها را دریافت کند، اطلاعات رایانه‌ شخصی را دریافت کند، یک کارگزار پروکسی باز کند، دستگاه را خاموش و یا راه‌اندازی مجدد کند، یک پرونده را اجرا کند، یک دستور را برای اجرا در زمان مشخص زمان‌بندی کند، خدمات و فرایندهای در حال اجرا را نشان دهد و پرونده‌های قابل اجرا را به‌روزرسانی کند.

شرکت Netskope نتیجه می‌گیرد که: «TelegramRAT یک نمونه‌ دیگری از فعالیت مهاجمان را ارائه می‌دهد که تصدیق می‌کنند می‌توان از ابر استفاده کرد تا پویشگرهای امنیتی سنتی را از سر باز کرد. TelegramRAT با ایجاد ابر بومی خود از یک برنامه‌ ابری برای میزبانی بار داده‌ خود و از یک برنامه‌ دیگر برای عملیات فرمان و کنترل استفاده می‌کنداین پیوند برنامه‌ ابری در برابر حملات مقاومت می‌کند و به پویشگرهای امنیتی نیاز دارد تا بتواند نمونه‌های برنامه‌‌ ابری را تشخیص دهد و به ترافیک SSL رسیدگی کند تا مؤثر باشند