بد افزار جدیدی مزاحم سرویس های گوگل و فیسبوک شده است.

بد افزار جدیدی مزاحم سرویس های گوگل و فیسبوک شده است.

گروه خرابکاری سایبری Molerats در عملیات های spear-phishing خود از بدافزاری استفاده میکند که از دراپ باکس ، گوگل درایو و فیسبوک برای دستور ها و کنترل ارتباطات و ذخیره ی دیتای دزدی شده استفاده میکند.

دو در پشتی و یک دانلود کننده:

گروه Molerats از دو در پشتی به نام های SharpStage و DropBook و یک بد افزار به نام MoleNet استفاده میکنند.
این بد افزار ها که برای خرابکاری های سایبری تعبیه شده اند از شناخته شدن جلوگیری میکنند و با استفاده از سرویس های دراپ باکس و فیسبوک دزدی اطلاعات و دریافت ها دستور العمل ها از اپراتور های را انجام میدهند. هر دو در پشتی از دراپ باکس برای استخراج اطلاعات دزدی شده استفاده میکنند.
حمله با یک ایمیل فریب دهنده به عنوان یک شخص سیاسی یا درخواست رسمی از دولت های خاورمیانه (فلسطین ، امارات ، مصر و ترکیه) آغاز میشود تا قربانی مستند آلوده را دانلود کند.
در یکی از این فریب ها ادعا شده بود فایل پی دی اف مربوط به مکالمات بین بن سلمان و نتانیاهو است.
در این مستند فقط خلاصه ای از مطلب ادعا شده منتشر شده بود و در آن قربانی را هدایت کرده بود تا فایل محافظت شده توسط رمز عبور موجود در آرشیو های دراپ باکس یا گوگل درایو را برای مستند کامل دانلود کنند.
دوتا از این فایل ها در های پشتی SharpGate و DropBox بودند که دراپ باکس آلوده را صدا میزد تا بدافزار را که توسط هکر آماده شده بود دانلود کند. همچنین یک در پشتی به نام Spark وجود داشته که در کمپین های قبلی توسط molerat استفاده میشده است.

molerats

دستورات فیسبوک
یک گزارش فنی از تیم Cybereason Nocturnus که درپشتی DropBook که براساس زبان برنامه نویسی پایتون نوشته شده از بقیه ابزار های Molerats متمایز است زیرا دستورات را فقط از طریق یک اکانت فیک فیسبوک و Simplenote (یک برنامه یادداشت نوشتن برای IOS ) دریافت میکند.
هکر ها درپشتی را طریق دستور های منتظر شده در پست فیسبوک کنترل میکردند. آنها همچنین از روش مشابه ای برای تهیه توکن های لازم برای وصل شدن به اکانت دراپ باکس استفاده کردند. و برنامه SimpleNote ب عنوان یک پشتیبان در مواقعی استفاده میشد که بدافزار نمیتوانست توکن لازم را از فیسبوک دریافت کند.

molerats

با استفاده از دستوراتی که در چندین منابع معتبر منتشر میشود ، متوقف کردن پروسه ی حمله کار سخت تری میشود.
قابلیت های DropBooks که شامل چک کردن برنامه و فایل های نصب شده برای شناسایی میباشد ، دستورات شل را که از فیسبوک یا Simplenote گرفته اجرا میکند و payload های اضافی را از دراپ باکس دریافت کرده و آنها را اجرا میکند.

molerats

SharpStage و MoleNet
برخلاف DropBook ، درپشتی SharpStage نوشته شده در .NET بستگی به دستورات مرسوم و کنترل سرور (C2) دارد. Cybereason سه نوع از این بد افزار را کشف کرده است ، با ترکیب زمانی مختلف بین 4 اکتبر تا 29 نوامبر همگی بطور پیوسته در حال گسترش هستند.
همه ی گونه ها ویژگی های یکسانی از جمله ، گرفتن اسکرین شات ، اجرای کد های دلخواه ( برای اجرای powershell , Command Line, WMI ) و غیرفشرده سازی اطلاعات دریافت شده از C2 هستند. همچنین در کنار SharpStage یک DropBox API برای دانلود دیتا است.

هر دو درپشتی کاربرانی را که به زبان عربی صحبت هدف میگیرد. آن ها چک میکند اگر دستگاه های در معرض خطر زبان نصب شده ی عربی دارد یا خیر. با این روش ، هکر از حمله به سیستم های نامربوط شخصی همانند SandBox ها جلوگیری میکنند.

molerats

سومین بدافزاری که متخصصان Cybereason کشف کرده اند ، MoleNet نام دارد ، میتواند کد های WMI را اجرا کند تا سیستم را شناسایی کند ، debugger ها را چک کند ، از طریق command line سیستم ها را ری استارت کند ، جزییات در مورد سیستم عامل ها را آپلود کند ، payload های جدید را دریافت کند ، و تداوم ایجاد کند.

درحالی که متخصصان به تازگی این بدافزار را کشف کرده اند ، MoleNet حداقل از اوایل 2019 در حال توسعه بوده است.
همچنین Cybereason گزارش جزییات وسیع تری درمورد ابزار جدید اهرم Molerates در عملیات های اخیر منتشر کرده است: فایل گزارش