ITanalyze

بنا به ادعای برخی نشریات، گروه هکری ایل‌ ریگ (Oil Rig) که به ایران نسبت داده می‌شود، بخشی از یک کمپین جاسوسی سایبری است که از درب پشتی جدید برای استخراج داده‌ها استفاده می‌کند و سازمان‌های دولتی خاورمیانه را هدف قرار می‌دهد.

به گزارش عصر ارتباط بک‌دور یا درب پشتی (Backdoor) نوعی نرم‌افزار مخرب است که قادر است برای دستیابی غیرمجاز به سیستم رایانه‌ای، محدودیت‌های امنیتی را دور بزند. درب پشتی یک قطعه کد است که به دیگران اجازه می‌دهد، بدون اینکه تشخیص داده شوند، از یک سیستم، وارد و خارج شوند.

محمد فهمی، شریف مجدی و محمود زهدی از محققان Trend Micro می‌گویند: «این کمپین از اکانت‌های ایمیل قانونی به خطر افتاده، برای ارسال داده‌های سرقت‌شده به اکانت‌های ایمیل خارجی که توسط مهاجمان کنترل می‌شوند، سوءاستفاده می‌کند.»

در حالی که این تکنیک به‌خودی‌خود بی‌سابقه نیست، نشانه‌هایی وجود دارد که OilRig آن را برای اولین بار در playbook خود به‌کار می‌گیرد. این امر، بیانگر تکامل مداوم روش‌های خود برای دور زدن حفاظت‌های امنیتی است.

گروه تهدید مداوم پیشرفته (APT) که با نام‌های APT34، Cobalt Gypsy،Europium و Helix Kitten نیز شناخته می‌شود، حداقل از سال 2014 برای حملات فیشینگ هدفمند در خاورمیانه ثبت شده است.

این گروه که ادعا می‌شود با ایران مرتبط است، از مجموعه ابزارهای متنوعی در عملیات خود استفاده می‌کند. مثلا در حملات اخیر سال‌های 2021 و 2022 از درهای پشتی مانند Karkoff، Shark،Marlin  و Saitama برای سرقت اطلاعات استفاده کردند.

نقطه شروع آخرین فعالیت یک dropper مبتنی بر دات‌نت است که وظیفه ارائه چهار فایل مختلف از جمله ایمپلنت اصلی (“DevicesSrv.exe”) را دارد و مسئول استخراج فایل‌های خاص مورد علاقه است.

همچنین در مرحله دوم یک فایل کتابخانه پیوند پویا (DLL) مورد استفاده قرار می‌گیرد که قادر به جمع‌آوری اعتبار، از کاربران دامنه و اکانت‌های محلی است.

قابل توجه‌ترین جنبه درپشتی دات‌نت، از روال خارج کردن آن است که شامل استفاده از اعتبارنامه‌های سرقت‌شده برای ارسال پیام‌های الکترونیکی به آدرس‌های ایمیل تحت کنترل جی‌میل و Proton Mail است.

محققان می‌گویند: «بازیگران تهدید، این ایمیل‌ها را از طریق اکسچنج سرورهای دولتی با استفاده از اکانت‌های معتبر اما با رمزهای عبور سرقت‌شده ارسال می‌کنند.»

اتصال کمپین به APT34 ناشی از شباهت‌های بین dropper مرحله اول و Saitama، الگوهای شناسایی قربانی و استفاده از سرورهای مبادله اینترنتی به عنوان یک روش ارتباطی است، همان‌طور که در مورد Karkoff مشاهده شد.

در هر صورت، تعداد فزاینده ابزارهای مخرب مرتبط با OilRig نشان‌دهنده انعطاف‌پذیری عامل تهدید برای ارائه بدافزار جدید بر اساس محیط‌های هدف و امتیازاتی است که در مرحله مشخصی از حمله دارند.

به گفته محققان، علی‌رغم سادگی روال این فعالیت، تازگی مراحل دوم و آخر نیز نشان می‌دهد که کل این روال فقط می‌تواند بخش کوچکی از کمپین بزرگ‌تری باشد که دولت‌ها را هدف قرار می‌دهد.