به تازگی مرکز فرماندهی سایبری آمریکا، MuddyWater را به نهادهای اطلاعاتی ایران نسبت داده و در بیانیهای در رابطه با مجموعه ابزارهای پیچیده این گروه توضیحاتی ارایه کرده است.
این مرکز تأیید نموده که MuddyWater یک گروه تهدید پیشرفته مستمر ([1]APT) است که تحت عناوین Mercury، Static Kitten، TEMP.Zagros یا Seedworm نیز شناخته میشود. بنا بر ادعای این مرکز، گروه سایبری MuddyWater وابسته به اطلاعات ایران بوده و معمولاً دولتهای خاورمیانه را مورد هدف قرار میدهد.
پیش از این نیز شک و تردیدهایی در این زمینه وجود داشت، ولی دولت آمریکا این موضوع را صریحاً تأیید کرده است. مرکز فرماندهی سایبری آمریکا همچنین مجموعهای از ابزارهای متن باز و رویکردهای مورد استفاده MuddyWater جهت مورد هدف قرار دادن سیستمها و توزیع بدافزار منتشر کرد.
بر اساس اطلاعیه این مرکز: «MuddyWater از مجموعهای از رویکردهای مختلف برای حفظ دسترسی به شبکههای قربانی استفاده کرده است. بارگذاری جانبی DLLهایی که هدف آنها فریب نرمافزارهای سالم و عادی برای اجرای بدافزار و مبهمسازی اسکریپتهای powershell جهت مخفی نمودن توابع کنترلی و فرمانها میباشد از جمله روشهای مورد استفاده MuddlyWater برای انجام فعالیتهای مخرب و جاسوسی سایبری است».
USCYBERCOM یکسری از بدافزارهای منتصب به این گروه را در وبسایت VirusTotal بارگذاری نموده و هشدار داده که در صورت مشاهده دو یا چند نمونه از این بدافزارها بر روی شبکهتان، احتمال نفوذ MuddyWater به آن وجود دارد.
متن توئیت مرکز فرماندهی سایبری آمریکا
این ادعا در اطلاعیه مطبوعاتی این مرکز در توئیتر منتشر گردیده است: «MuddyWater یکی از زیرمجموعههای وزارت امنیت و اطلاعات ایران ذکر شده است. این نهاد نظارتی، وظیفه جاسوسی از مخالفان نظام و نظارت بر روی فعالیتهای ضد نظام با کمک شبکهای از عوامل مستقر در سفارتخانههای ایران را برعهده دارد».
نسخههای جدید بدافزار PowGoop
بنا بر گفته مرکز فرماندهی سایبری آمریکا، نسخه جدید، خانوادهای از بدافزارها تحت عنوان PowGoop از جمله ابزارهای مورد استفاده MuddyWater است. این بدافزارها برای اولین بار توسط سازمان پالو آلتو نتورکس معرفی شدند.
مجرمان سایبری از PowGoop برای حمله بر ضد دو سازمان دولتی در خاورمیانه و شمال آفریقا و نصب و اجرای یک نسخه از باجافزار Thanos استفاده میکردند. محققین پالو آلتو متوجه شدند که هکرها از یک ابزار دانلود کننده جهت اتصال به یک سرور راه دور، دانلود و اجرای اسکریپتهای پاورشل استفاده میکنند. کارشناسان امنیتی این بدافزار را PowGoop نامگذاری کردند. این نام ریشه در استفاده از GoogleUpdate.exe برای بارگذاری یک نسخه مخرب و دستکاری شده از goopdate.dll دارد. از فایل DLL برای بارگذاری یک اسکریپت پاورشل مخرب از یک فایل خارجی استفاده میشد.
نسخه جدید PowGoop نسبت به گذشته قویتر و پیشرفتهتر شده است. وبسایت SentinelLabs اعلام نمود: «با توجه به شناسایی نسخههای جدید و پیشرفته PowGoop در حوادث سایبری اخیر، استفاده از این بدافزار و اصلاح آن همچنان ادامه دارد».
Amitai Ben Shushan Ehrlich محقق امنیتی در شرکت SentinelOne میگوید: «نسخههای جدید نشان میدهد که این گروه مجموعه ابزارهای خودش برای بارگذاری DLLهای مخرب را توسعه داده است».
Ehrlich میگوید: «علاوه بر GoogleUpdate.exe، نرمافزارهای Git.exe، FileSyncConfig.exe و Inno_Updater.exe نیز برای بارگذاری DLLهای مخرب، مورد سوءاستفاده قرار گرفتهاند».
مرکز فرماندهی سایبری آمریکا نمونههای جدیدی از مجموعه ابزارها و رویکردهای MuddyWater (مثل ابزارهای فرماندهی و کنترل، در پشتی Mori و روش تونلزنی DNS) را به همراه فایلهای جاوااسکریپت مورد استفاده برای برقراری ارتباط با زیرساختهای مخرب منتشر کرده است. MuddyWater از در پشتی Mori و رویکرد تونلزنی DNS به ترتیب برای جاسوسی سایبری و برقراری ارتباط با زیرساخت فرماندهی و کنترل استفاده نموده است.
مرکز فرماندهی سایبری آمریکا ماننده گذشته بدون هیچ دلیل محکمه پسندی ایران را متهم نموده و اعلام کرده است: «وجود هر نمونهای از این فایلها در یک شبکه میتواند نشاندهنده حضور مهاجمان در شبکه باشد. اگر متصدی شبکه وجود چند نمونه از این ابزارها را در شبکه شناسایی کند، احتمال نفوذ هکرهای ایرانی به آن شبکه وجود دارد».
رویکردهای مورد استفاده
SentinelLabs یکسری از راهکارهای مورد استفاده MuddyWater را شناسایی نموده است که در ادامه مورد بررسی قرار میدهیم.
فعالیتهای تونل زنی MuddyWater
بنا بر گزارشهای وبسایت SentinelOne: «عوامل MuddyWater تمایل بسیار زیادی به استفاده از ابزارهای تونلزنی برای انجام فعالیتهای گسترده دارند. از ابزارهای اختصاصی مورد استفاده این گروه که معمولاً دارای امکانات چندان زیادی هم نیستند برای نصب ابزارهای تونلزنی استفاده میشود».
SentinelOne اظهار داشته: «مهاجمان MuddyWater از ابزارهای تونلزنی مختلف مثل Chisel، SSF و Ligolo استفاده میکنند. این ابزارها به مهاجمان امکان میدهند که به سیستمهای درون محیط هدف که فرضاً در یک شبکه LAN هستند متصل شوند».
سوءاستفاده از ابزار Exchange مایکروسافت
تیم امنیتی Sentinel متوجه شده که MuddyWater سرورهای Exchange سازمانهای مهم را مورد هدف قرار میدهد. بنا بر گفتههای Ehrlich، محقق امنیتی در Sentinel: «انجام چنین عملیاتی کاملاً وابسته به مجموعه ابزارهای امنیتی تهاجمی بوده و در دسترس عموم قرار دارند. از این رو بدون در اختیار داشتن اطلاعات زمینهای، انتساب آنها به MuddyWater چندان آسان نیست».
بنا بر نتایج تحقیقات Sentinel مهاجمان از دو ابزار زیر برای سوءاستفاده از سرورهای Exchange استفاده میکنند:
- یک اسکریپت عمومی با کد شناسایی CVE-2020-0688. این آسیبپذیری امکان اجرای کد از راه دور را برای یک کاربر احرازهویت شده فراهم میکند.
- یک فریمورک متن باز Ruler. بهتازگی نیز از این فریمورک برای حمله بر ضد شرکتهای فناوری اطلاعات و اپراتوریهای مخابرات خاورمیانه استفاده میشود.
مرکز فرماندهی سایبری آمریکا اعلام کرده که گروه MuddyWater همچنان در حال رشد، توسعه و تکمیل ابزارهای خودش است. Ehrlich میگوید: «اگرچه این گروه همچنان متکی بر ابزارهای امنیتی تهاجمی عمومی است، ولی مجموعه ابزارهای خودش را کاملتر نموده و از فنون جدید برای پیشگیری از شناسایی شدن استفاده میکند». Ehrlich همچنین به رشد و تکامل خانواده بدافزارهای PowGoop، استفاده از ابزارهای تونل زنی توسط MuddyWater و هدفگیری سرورهای Exchange سازمانهای مهم اشاره میکند.
بنا به گفته :Ehrlich «رویکردهای این گروه نسبت به سایر گروههای APT دولتی از پیچیدگی فنی کمتری برخوردار است. با این وجود پشتکار این گروه تأثیر بسزایی در موفقیت آنها دارد. از این رو پیادهسازی فنون نه چندان پیچیده مانع از دستیابی آنها به هدفشان نمیشود».
[1] advanced persistent threat
منبع: threatpost