بازگشت بدافزار Astaroth با ترفندهای مخفیانه‌تر
کد مطلب: 16481
تاریخ انتشار : شنبه ۱۶ فروردين ۱۳۹۹ ساعت ۱۰:۵۸
 
بدافزار Astaroth که از ابزارهای قانونی ویندوز برای انتشار بدافزار استفاده می‌کند با ترفندهای مخفیانه‌تری در حال گسترش است.
بازگشت بدافزار Astaroth با ترفندهای مخفیانه‌تر
 
 
Share/Save/Bookmark
بدافزار Astaroth که از ابزارهای قانونی ویندوز برای انتشار بدافزار استفاده می‌کند با ترفندهای مخفیانه‌تری در حال گسترش است.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، گروه Astaroth که معروف به استفاده از ابزارهای قانونی ویندوز برای انتشار بدافزار است، پس از گزارش مایکروسافت در جولای گذشته، بار دیگر فعالیت خود را گسترش داد. این گروه در ماه فوریه فعالیت‌های خود را این بار با ابزارهای مخفیانه‌تر تشدید کرده‌است.

سال گذشته تیم ATP Windows Defender افزایش شدیدی در استفاده از ابزار WMIC در ویندوز را شناسایی کرد. تحقیقات مایکروسافت یک عملیات گسترده ارسال هرزنامه حاوی یک لینک به وب‌سایت میزبان یک فایل میان‌بر LNK را کشف کرد که دریافت‌کننده این ایمیل در صورت اجرای فایل آن، باعث اجرای ابزار WMIC و چندین ابزار دیگر ویندوز می‌شود. این امر درنهایت منجر به دانلود و اجرای بدون فایل (fileless) بدافزار در حافظه می‌شود.

تیم تحقیقاتی Microsoft Defender ATP اکنون متوجه شده‌است که گروه Astaroth به‌طور کامل از استفاده از ابزار WMIC و تکنیک‌های مرتبط پرهیز می‌کند تا راهکارهای شناسایی موجود را دور بزند.

عملیات گروه Astaroth همچنان نیز با ارسال هرزنامه‌های حاوی لینک به فایل LNK آغاز می‌شود، اما در عملیات جدید، این گروه از جریان داده جایگزین یا Alternate Data Streams (ADS) برای مخفی کردن payloadهای مخرب استفاده می‌کند. برای بارگیری payload مخرب، مهاجمان از فرایند قانونی ExtExport.exe سوء‌استفاده کردند که یک بردار حمله بسیار غیرمعمول است.

استفاده از ADS باعث می‌شود تا جریان داده در File Explorer ویندوز مخفی باقی بماند، درنتیجه مهاجم می‌تواند گذرواژه‌های ایمیل و مرورگرها و همچنین غیرفعال کردن نرم‌افزارهای امنیتی را بطور مخفیانه انجام دهد.

ابزار قانونی دیگری که این گروه از آن سوءاستفاده می‌کند، ابزار BITSAdmin است. BITSAdmin یک ابزار خط فرمان برای ایجاد فعالیت‌های بارگیری یا بارگذاری و نظارت بر پیشرفت آنها است. در این حالت، از آن برای بارگیری payloadهای رمزگذاری شده از یک سرور فرمان و کنترل استفاده می‌شود.

فرایند کلی آلودگی توسط این بدافزار در تصویر زیر قابل مشاهده است:
مرجع : مرکز مدیریت راهبردی افتا