ITanalyze

سمیه مهدوی پیام – در شرایطی که سرنوشت بسیاری از حملات سایبری دنیا به علت غیرقابل ردیابی بودن منشاء حملات، در هاله‌ای از ابهام قرار دارد و به اثبات نرسیده است، شرکت امنیت سایبری اسرائیلی چک‌پوینت در ادامه خط مشی «ایران‌هراسی سایبری» خود مدعی شد

یک عامل تهدید وابسته به ایران، حداقل یک سال است کمپین‌های جاسوسی سایبری پیچیده را با هدف قرار دادن بخش‌های مالی، دولتی، نظامی و مخابراتی در خاورمیانه طراحی کرده است.

چک‌پوینت که مدعیست این کمپین را در کنار Sygnia کشف کرده، در حال ردیابی این بازیگر با نام Scarred Manticore است. گفته می‌شود این کمپین، با شاخه در حال ظهور به نام Storm-0861، یکی از چهار گروه ایرانی مرتبط با هجوم سایبری به آلبانی در سال گذشته، هم‌پوشانی دارد.

بنا بر ادعای این شرکت اسراییلی، قربانیان این عملیات، عربستان سعودی، امارات، اردن، کویت، عمان، عراق و اسرائیل هستند.

بازیگر فعال این عرصه یعنی Scarred Manticore، درجاتی از هم‌پوشانی با OilRig، یکی دیگر از بازیگران منتسب شده به ایران را دارد که اخیرا حمله به یک دولت گمنام خاورمیانه، بین فوریه و سپتامبر 2023، به عنوان بخشی از یک کمپین هشت‌ماهه به این بازیگر حوزه سایبری نسبت داده شد.

در ادامه این گزارش ادعا شده، مجموعه دیگری از هم‌پوشانی‌های تاکتیکی بین حریف و یک مجموعه نفوذ با نام رمز ShroudedSnooper توسط Cisco Talos کشف شده است. زنجیره‌های حمله سازماندهی‌شده توسط عامل تهدید، عرضه‌کنندگان خدمات مخابراتی در خاورمیانه را با استفاده از یک بکدور مخفی به نام HTTPSnoop به عنوان هدف تعیین کرده‌اند.

فعالیت ارائه‌شده توسط Scarred Manticore با استفاده از یک چارچوب بدافزار غیرفعال ناشناخته قبلی به نام LIONTAIL است که بر روی سرورهای ویندوز نصب‌شده، مشخص می‌شود. اعتقاد بر این است که این بازیگر تهدید، حداقل از سال 2019 فعال است.

بر اساس اظهارات محققان چک‌پوینت، Scarred Manticore سال‌هاست که اهدافی با ارزش بالا را دنبال می‌کند و از انواع درهای پشتی مبتنی بر IIS برای حمله به سرورهای ویندوز استفاده می‌کند.

به ادعای این پژوهشگران: «اینها شامل انواع پوسته‌های وب سفارشی، درهای پشتی DLL سفارشی و ایمپلنت‌های مبتنی بر درایور است.»

یک بدافزار پیشرفته، LIONTAIL، مجموعه‌ای از روش‌های پوسته‌کد (shellcode) سفارشی و محموله‌های پوسته‌کد مقیم حافظه است. یکی از نکات قابل توجه، ایمپلنت سبک‌وزن و در عین حال پیچیده‌ای است که به زبان C نوشته شده است. این ایمپلنت، مهاجمان را قادر می سازد تا دستور را از راه دور از طریق درخواست‌های HTTP اجرا کنند.

حملات پیاپی، مستلزم نفوذ به سرورهای ویندوز برای شروع فرایند تحویل بدافزار و جمع‌آوری سیستماتیک داده‌های حساس از هاست‌های آلوده است.

کارکنان اسراییلی چک‌پوینت با بیان جزییات مکانیسم فرمان و کنترل (C2) می‌گویند: «به جای استفاده از HTTP API، این بدافزار از IOCTLها برای تعامل مستقیم با درایور اصلی HTTP.sys استفاده می‌کند. این رویکرد، مخفی‌تر است، زیرا شامل IIS یا HTTP API که معمولا توسط راه‌حل‌های امنیتی به دقت نظارت می‌شوند، نیست اما با توجه به اینکه IOCTLهای HTTP.sys مستند نیستند و به تلاش‌های تحقیقاتی بیشتر توسط عوامل تهدید نیاز دارند، اثبات آن کار ساده‌ای نیست.»

در این مرحله، به دلیل استفاده از درایور HTTP.sys برای استخراج بارها از ترافیک ورودی HTTP، بخش پشتی چارچوب LIONTAIL مانند HTTPSnoop است.

یکی از جنبه‌های جالب این عملیات از نظر فنی، این است که عامل تهدید از یک ایمپلنت اختصاصی برای هر سرور در معرض خطر استفاده می‌کند که به فعالیت های مخرب اجازه می‌دهد در محیط قربانی ترکیب شوند و تشخیص ترافیک شبکه مشکوک و قانونی را دشوار می‌کند. همچنین پوسته‌های مختلف و یک ابزار انتقال‌دهنده وب به نام LIONHEAD، در کنار LIONTAIL مستقر شده است.

پیشینه فعالیت‌های‌ Scarred Manticore، بیانگر تکامل مستمر بدافزار این گروه است؛ همان‌طور که قبلا عامل تهدید به پوسته‌های وب مانند Tunna و نسخه سفارشی به نام FOXSHELL برای دسترسی به بکدور یا در پشتی تکیه می‌کرد.

همچنین گفته می‌شود از اواسط سال ۲۰۲۰، عامل تهدید از یک بکدور غیرفعال مبتنی بر NET به نام SDD استفاده کرده که ارتباط C2 را از طریق یک شنونده HTTP در دستگاه آلوده با هدف نهایی اجرای دستور دلخواه، آپلود و دانلود فایل‌ها و اجرای مجموعه‌های اضافی دات‌نت برقرار می‌کند.

به‌روزرسانی‌های پیش‌رونده تاکتیک‌ها و ابزارهای عامل تهدید، نمونه‌ای از گروه‌های تهدید مداوم پیشرفته (APT) است و منابع و مهارت‌های متنوع آنها را نشان می‌دهد.

این امر به بهترین وجه با استفاده Scarred Manticore از طریق یک درایور هسته مخرب به نام WINTAPIX که در اوایل ماه می توسط فورت‌نایت (Fortinet) کشف شد، نشان داده می‌شود.

به طور خلاصه، WinTapix.sys مانند یک لودر برای اجرای مرحله بعدی حمله عمل می‌کند و یک پوسته کد تعبیه‌شده را به یک فرایند حالت کاربر مناسب تزریق می‌کند که به نوبه خود، یک بار دات نت رمزگذاری‌شده را اجرا می‌کند. دات‌نت به طور خاص برای هدف قرار دادن سرورهای خدمات اطلاعات اینترنتی مایکروسافت (IIS) طراحی شده است.

هدف قرار دادن اسرائیل که در بحبوحه جنگ با حماس صورت می‌گیرد، باعث شد گروه‌های هکتیویست که مهارت‌ کمتری دارند، به سازمان‌های مختلف اسرائیل و کشورهایی مانند هند و کنیا حمله کنند. این امر نشان می‌دهد بازیگران دولت- ملت به عملیات‌ اطلاعاتی با هدف تاثیرگذاری بر درک جهانی از درگیری اتکا دارند.

در همین رابطه، دفتر تحقیقات فدرال ایالات متحده (FBI) در بیانیه‌ای به کمیته امنیت داخلی و امور دولتی سنا (HSGAC)، هشدار داد این موضوع، پتانسیل بدتر کردن وضعیت «هدف قرار دادن سایبری منافع و زیرساخت‌های حیاتی آمریکا» را توسط ایران و بازیگران غیردولتی به طور یکسان دارد.

بر اساس بررسی شرکت امنیت سایبری چک‌پوینت، «مولفه‌های چارچوب LIONTAIL، مصنوعات رشته‌ای و مبهم مشابهی را با درایورهای FOXSHELL، SDD backdoor و WINTAPIX اشتراک‌گذاری می‌کنند. با بررسی تاریخچه فعالیت‌های آنها، مشخص می‌شود عامل تهدید تا چه حد در بهبود حملات و تقویت رویکرد خود که متکی بر ایمپلنت‌های غیرفعال است، پیش رفته است.» (منبع:عصرارتباط)