شناسایی جاسوس درب‌پشتی Outlook، از طربق فایل‌های PDFتوسط شرکت ESET

امتیاز کاربران

ستاره فعالستاره فعالستاره فعالستاره فعالستاره فعال
 

شناسایی جاسوس درب‌پشتی Outlook، از طربق فایل‌های PDFتوسط شرکت ESET
q847
در حالی که در حملات سرقت اطلاعات، پس از آلوده شدن دستگاه قربانی به جاسوس‌افزار، تبادل داده‌ها با مهاجمان از طریق سرورهای تحت کنترل آنها موسوم به Command and Control صورت می‌گیرد، درب‌پشتی مورد استفاده گروه Turla از روشی کاملاً غیرمتداول و البته بسیار خلاقانه برای این منظور بهره می‌گیرد.
بر اساس بررسی‌های انجام شده توسط محققان شرکت ضدویروس ای‌ست، مهاجمان این گروه، برای ارسال فرامین خود به درب‌پشتی، بجای سرورهای Command and Control، ایمیل‌هایی با پیوست فایل PDF را به نشانی ایمیل قربانی ارسال می‌کنند.
به گفته این محققان، گروه Turla حداقل از سال 2013 میلادی به‌نحوی از تکنیک مذکور بهره برده است.
در جدیدترین نمونه، درب‌پشتی در قالب یک فایل DLL پس از نصب بر روی دستگاه قربانی اقدام به برقراری ارتباط با نرم‌افزارهای مدیریت ایمیل Microsoft Outlook و !The Bat می‌کند. همچنین در این نمونه، برای ماندگاری، از روش تسخیر COMو(COM Object Hijacking) استفاده شده که در نتیجه آن، فایل DLL در زمان اجرای COM توسط Outlook – معمولا در زمان باز شدن نرم‌افزار – به‌صورت خودکار فراخوانی می‌شود.
برای دسترسی به صندوق ایمیل قربانی نیز پودمان Messaging Application Programming Interface – به اختصار MAPI – به کار گرفته شده است.
در ادامه، مهاجمان با ارسال فایل‌های PDF حاوی فرامین از قبل تعریف شده برای درب‌پشتی اقدامات مورد نظر خود را به‌صورت از راه دور بر روی دستگاه به اجرا در می‌آورند.
ارسال اطلاعات از روی دستگاه قربانی به مهاجمان نیز به روشی مشابه انجام می‌شود. بدین ترتیب که درب‌پشتی پس از استخراج داده‌های مورد درخواست مهاجمان از روی دستگاه، آنها را در یک فایل PDF جاسازی کرده و همانند یک ایمیل عادی ارسال می‌کند.
برای مخفی نمودن این تبادلاتی ایمیلی از دید کاربر، درب پشتی، پیام‌های ارسالی و دریافتی را از صندوق ایمیل کاربر حذف می‌کند. هر چند که ممکن است برای چند ثانیه پیامی توسط Outlook ظاهر گردیده و به کاربر دریافت ایمیل جدید اطلاع‌رسانی شود اما حتی اگر کاربر متوجه موضوع شده و به نرم‌افزار مدیریت کننده ایمیل خود سربزند اثری از آن ایمیل پیدا نخواهد کرد.
q848
برخی نهادها و شرکت‌های امنیتی، Turla را – که با نام Snake نیز شناخته می‌شود – گروهی مرتبط با سازمان‌های اطلاعاتی روسیه می‌دانند. این گروه حداقل از سال 2008 فعال بوده است.
مشروح گزارش محققان ای‌ست با عنوان “Turla Outlook Backdoor, Analysis of an unusual Turla backdoor” در لینک زیر قابل دریافت و مطالعه است:
https://www.welivesecurity.com/wp-content/uploads/2018/08/Eset-Turla-Outlook-Backdoor.pdf