گروه نفوذ CodeFork پویش غیر قابل شناسایی را برای استخراج مونرو راهاندازی میکنند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، گروه نفوذگران معروف به CodeFork پویشی راهاندازی کردهاند که از ویژگیهای آن میتوان به فرار پیشرفته با پرونده کمتر و روشهای ماندگاری پیشرفته و همچنین یک ماژول جدید استخراجکننده ارز مونرو اشاره کرد.
بر اساس گزارش گروه تحقیقاتی بدافزار Radware، این گروه از آلودگیها برای فروش خدماتی مانند انتشار هرزنامهها، کرمها و ابزارهای بارگیری و احتمالا دزدی اطلاعاتی استفادهمیکند.
Radware در یک تحلیل گفت: «CodeFork یک گروه هوشیار است که به طور پنهانی سرمایهگذاری میکند و معمولا از زیر رادار سامانههای دفاعی سنتی مانند سندباکس، پویشگرهای ضمیمه ایمیل، IDS/IPS، دروازههای امن وب و راهکارهای مختلف حفاظت از نقاط انتهایی به صورت مخفیانه حرکت میکنند. آنها از مزایای سیستمعامل ویندوز برای فرایند نصب استفاده میکنند و هیچ ردی را روی دیسک به جا نمیگذارند.»
پویش فعلی درنهایت یک نسخه سفارشی از بدافزار Gamarue است. Gamarue یک بدافزار ماژولبندی شدهاست که در راهاندازی اولیه به عنوان یک ابزار بارگیری عمل میکند. با این حال در آخرین پویش دیدهمیشود که قطعات دیگر کد برای انجام وظایف مختلف واکشی میشود. این شامل یک ماژول آلودهکننده یواسبی، یک تابع برای ارسال هرزنامه و یک رفتار جدید برای استخراج مونرو است.
علی رغم همه اینها، داشتن پرونده کمتر، بدین معنی است که لزوما هیچ پرونده مشکوکی روی دیسک ذخیره نمیشود و این به مهاجمان اجازه میدهد بدون اینکه شناسایی شوند به مدت طولانیتری در ماشین آلوده باقی بمانند. همچنین این پویش از یک الگوریتم تولید دامنه (DGA) استفاده میکند تا برای هر هفته یک دامنه جدید تولید کند.
Radware خاطرنشان کرد: « این روش شناسایی و مسدود کردن ارتباطات خارج از محدوده به کارگزار دستور و کنترل را برای راهکارهای امنیتی مانند دیوارههای آتش نسل بعدی (NGFWs) و دروازههای وب امن دشوارتر میکند. پس از ایجاد دامنه، یک درخواست HTTPS GET برای بارگیری یک پوشه مخرب ارسال میشود که به عنوان خزنده Googlebot شناختهمیشود. توجه داشتهباشید که این احتمالا یک نسخه پشتیبان یا یک طرز کار برای بهینهسازی است، زیرا این بدافزار تلاش میکند تا به دامنههای ثبتنشده و یا به پوشههای مخربی که در کارگزار دستور و کنترل وجود ندارند، دسترسی پیدا کند.»
Radware گفت: «استفاده از بدافزار Gamarue نقطه تمایز برای گروه CodeFork بودهاست. بهدلیل تعداد نصبها، همراه با همهکاره بودن بدافزار، CodeFork به راحتی میتواند با فروختن این بدافزار به نفوذگران دیگر که میتوانند با توسعه ماژولهای دلخواه خود این بدافزار را تکمیل کنند به کسب درآمد بپردازد. گروه CodeFork قطعا تلاش خواهد کرد تا ابزارهای خود را توزیع کند و راههای جدیدی را برای دور زدن حفاظتهای فعلی پیدا کند. چنین گروههایی بهطور مداوم بدافزارها و جهشهای جدیدی برای دور زدن کنترلهای امنیتی به وجود میآورند.»