جمعه ۱۰ فروردين ۱۴۰۳ , 29 Mar 2024
جالب است ۰
گروه هکری Rocke با انگیزه‌های مالی فعالیت می‌کند نسخه آسیب‌پذیر Apache ActiveMQ، Oracle WebLogic و Redis را هدف یک بدافزار استخراج‌کننده ارز رمز (Cryptojacking) با نام Pro-Ocean قرار داده است.
منبع : مرکز مدیریت راهبردی افتا
گروه هکری Rocke با انگیزه‌های مالی فعالیت می‌کند نسخه آسیب‌پذیر Apache ActiveMQ، Oracle WebLogic و Redis را هدف یک بدافزار استخراج‌کننده ارز رمز (Cryptojacking) با نام Pro-Ocean قرار داده است.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، استخراج‌کننده ارز رمز Pro-Ocean به‌نوعی نسخه تکامل یافته تهدیدی است که پیش‌تر این گروه از آن استفاده کرده است. از جمله امکانات جدید لحاظ شده در Pro-Ocean می‌توان به قابلیت‌های خودانتشاری، از طریق اجرای غیرهدفمند بهره‌جوها (Exploit) اشاره کرد.

پیش‌تر نیز هکرهای Rocke بسترهای ابری را با سوءاستفاده از آسیب‌پذیری‌های امنیتی Oracle WebLogic – (ضعف امنیتی CVE-۲۰۱۷-۱۰۲۷۱)، Apache ActiveMQ (ضعف امنیتی CVE-۲۰۱۶-۳۰۸۸) و Redis هدف حملات خود قرار داده بودند. با این تفاوت که در آن زمان اجرای بهره‌جو، نه به‌صورت خودکار که به‌طور دستی انجام می‌گرفت.

بر اساس گزارشی که شرکت Palo Alto Networks آن را منتشر کرده Pro-Ocean مجهز به قابلیت‌های بهبود یافته و جدیدی در عملکرد روت‌کیتی (Rootkit) و کرمی (Worm) است که باعث مخفی ماندن فعالیت مخرب آن و آلوده شدن سرورها از طریق بهره‌جویی از آسیب‌پذیری‌های امنیتی می‌شود.

Pro-Ocean برای مخفی ماندن از دید محصولات امنیتی، از LD_PRELOAD که قابلیتی توکار در Linux است به‌منظور وادار کردن کدهای دو دویی (Binary) در اولویت‌بندی فراخوانی کتابخانه‌های اختصاصی استفاده می‌کند. با این حال این تکنیک در نمونه‌های زیادی از بدافزارهای دیگر نیز مشاهده شده است. این مهاجمان با به‌کارگیری کدهایی که در اینترنت قابل دسترس هستند، توانایی روت‌کیتی آن را برای مخفی‌سازی فعالیت مخرب بدافزار افزایش داده‌اند.
برای مثال، می‌توان به تابع open در کتابخانه libc اشاره کرد که وظیفه آن باز کردن یک فایل و استخراج بخش Descriptor آن است. این کد مخرب تعیین می‌کند که آیا فایل لازم است که پیش از فراخوانی مخفی شود یا نه.

اگر تعیین شود که فایل نیاز است که مخفی باشد تابع مخرب، خطای "No such file or directory" را باز می‌گرداند تا این‌طور القا شود که چنین فایلی بر روی دستگاه وجود ندارد. همچنین گردانندگان Pro-Ocean از بهره‌جویی دستی به یک فرایند خودکار – البته غیرهوشمند – برای بهره‌جویی روی آورده‌اند. یک اسکریپت Python با استخراج نشانی IP عمومی دستگاه با استفاده از ident.me در ادامه تلاش می‌کند تا تمامی ماشین‌های در زیرشبکه ۱۶-بیتی را آلوده کند.
صرف‌نظر از نرم‌افزارهای اجرا شده بر روی دستگاه مقصد، تمامی بهره‌جوها بر روی آن امتحان می‌شوند تا شاید یکی از آنها مؤثر واقع شود.

در صورتی که یکی از بهره‌جوها جواب داد، اسکریپت Python کد مخربی را که وظیفه آن دریافت اسکریپت نصب Pro-Ocean از یک سرور HTTP است، اجرا خواهد کرد. اسکریپت نصب که به زبان Bash نوشته و مبهم‌سازی (Obfuscation) شده است نقشی مهم در عملیات استخراج ارز رمز ایفا می‌کند.این اسکریپت علاوه بر نصب Pro-Ocean، از اجرای بدافزارها و استخراج‌کنندگان هم‌قطار خود بر روی دستگاه قربانی جلوگیری می‌کند.
علاوه بر آن با غیرفعالسازی دیواره آتش و حذف محصولات امنیتی، کنترل کامل و بی‌دردسر دستگاه را برای Pro-Ocean فراهم می‌کند.

این مهاجمان تلاش می‌کنند تا بیشترین بیگاری را از دستگاه برای استخراج ارز رمز بکشند. بدین‌منظور Pro-Ocean مجهز به ماژولی است که میزان استفاده از پردازشگر توسط پروسه‌های معتبر را تحت نظارت داشته و هر کدام که بیشتر از ۳۰ درصد استفاده کنند، متوقف می‌کند.

همچنین این ماژول با رصد فعالیت بدافزار بر روی ماشین، به‌محض متوقف شدن، اقدام به اجرای مجدد آن کرده و اطمینان حاصل می‌‌کند که تا حد امکان، فرایند استخراج ارز رمز دچار افت نشود. بر اساس تحلیل صورت گرفته، محققان معتقدند که اهداف Pro-Ocean سرویس‌های ابری Alibaba و Tencent هستند.

نخستین‌بار در سال ۲۰۱۸، Cisco Talos از گروه Rocke نام برد. اگر چه در ابتدا حملات سایبری آن ساده و پیش‌پا افتاده بود اما با گذشت زمان بر میزان مخرب بودن آن‌ها افزوده شد. هر چند هنوز هم Pro-Ocean تا تبدیل شدن به یک بدافزار پیچیده فاصله دارد، اما اقدامات اخیر مهاجمان آن، نظیر بهبود قابلیت خودانتشاری و تجهیز آن به تاکتیک‌های مخفی‌سازی می‌تواند نشانه‌ای از استمرار تکامل تهدیدات گروه Rocke باشد.

مشروح گزارش Palo Alto Networks در لینک زیر قابل دریافت و مطالعه است:
https://unit۴۲.paloaltonetworks.com/pro-ocean-rocke-groups-new-cryptojacking-malware

نشانه‌های آلودگی (IoC):
نشانی‌های URL
hxxp://shop,۱۶۸bee[.]com/*
hxxps://shop,۱۶۸bee[.]com/*

استخر استخراج
hxxp://pool.minexmr[.]com

درهم‌ساز (SHA-۲۵۶)
https://www.afta.gov.ir/portal/file/?۲۴۲۷۰۰/afta-news-۹۹۱۱۱۳_v۱.pdf
کد مطلب : 17505
https://aftana.ir/vdchmmnz.23nqvdftt2.html
ارسال نظر
نام شما
آدرس ايميل شما
کد امنيتی