بدافزار Cannon؛ جدیدترین ابزار مخرب گروه APT28

امتیاز کاربران

ستاره فعالستاره فعالستاره فعالستاره فعالستاره فعال
 

بدافزار Cannon؛ جدیدترین ابزار مخرب گروه APT28

q1094
بر اساس گزارشی که شرکت پالوآلتو نت‌ورکز آن را منتشر کرده گروه APT28 در کارزاری هرزنامه‌ای در حال آلوده‌سازی سازمان‌های دولتی در آمریکای شمالی، اروپا و یکی از کشورهای عضو سابق اتحاد جماهیر شوروی به بدافزاری با نام Cannon است.
در کارزار جدید با استفاده از تکنیک مهندسی اجتماعی این طور وانمود شده که موضوع هرزنامه ارسالی مربوط به حادثه پرواز ۶۱۰ لایِن‌ایر بوده و نام فایل پیوست ایمیل با نام crash list (Lion Air Boeing 737).docx نیز فهرست قربانیان این حادثه را در ذهن تداعی می‌کند.
پیوست هرزنامه‌های مذکور فایلی Word است که یک Template حاوی ماکرو را به‌صورت از راه دور فراخوانی می‌کند.
مهاجمان APT28 در کارزار اخیر، بجای فراخوانی کد مخرب مورد نظر خود در هنگام باز شدن فایل Word، با استفاده از تابعی با نام AutoClose اجرای آن را به زمان بسته شدن فایل موکول می‌کنند. روشی غیرمتداول که در عمل بسیاری از بسترهای موسوم به “قرنطینه امن” (Sandbox) را در شناسایی این بدافزار ناتوان می‌سازد.
نقش Cannon برقراری ارتباط با مهاجمان از طریق ایمیل به‌منظور دریافت کدهای مخرب دیگر است.
اگر چه تماس با مهاجمان از طریق ایمیل اتفاقی جدید و غیرعادی تلقی نمی‌شود اما قطعا نمی‌توان آن را هم‌رده با پودمان‌های پراستفاده HTTP و HTTPS که اکثر بدافزارها از آنها برای برقراری ارتباط با سرور فرماندهی خود استفاده می‌کنند قرار داد. یکی از مزایای بکارگیری ایمیل نزد مهاجمان، کاهش شانس شناسایی شدن ارتباطات بدافزار توسط محصولات امنیتی است.
Cannon پس از ماندگار کردن خود بر روی دستگاه و ایجاد یک شناسه منحصربه‌فرد از آن، اقدام به جمع‌آوری اطلاعاتی در خصوص سیستم و تصویربرداری از Desktop کاربر می‌کند.
در ادامه، اطلاعات استخراج‌شده را از طریق سه حساب ایمیل که بر روی یک سرویس‌دهنده با نام Seznam در کشور چک میزبانی شده به مهاجمان ارسال می‌کند. مقصد پیام‌های ارسالی sahro.bella7[at]post.cz اعلام شده است. عملیات ارسال نیز در بستر پودمان SMTPS و بر روی درگاه TCP 587 صورت می‌پذیرد.
همچنین Cannon قادر است تا با ورود به حساب‌های ایمیل مبتنی بر POP3 به پیوست‌ها دسترسی یافته و نسبت به دریافت آنها اقدام کند. با استفاده از همین قابلیت، مهاجمان کدهای مخرب خود را به ایمیل trala.cosh2[at]post.cz و با عنوان شناسه منحصربه‌فرد دستگاه که پیش‌تر توسط Cannon به آنها ارسال شده بود پیوست می کنند تا این بدافزار پس از ورود به حساب ایمیل مذکور – از طریق پودمان POP3 – آنها را دریافت و بر روی دستگاه قربانی به اجرا در آورد.
بسیاری از کارشناسان امنیتی گروه نفوذگران APT28 که با نام‌های زیر نیز شناخته می‌شود را وابسته به دولت روسیه می‌دانند:


 Sofacy
 Grizzly Steppe
 Fancy Bear
 STRONTIUM
 Sednit
 Tsar Team
 Pawn Storm

مشروح گزارش پالوآلتو نت‌ورکز در اینجا قابل دریافت و مطالعه است.
/https://researchcenter.paloaltonetworks.com/2018/11/unit42-sofacy-continues-global-attacks-wheels-new-cannon-trojan