Seedworm Malware

گزارش باج افزار Seedworm

باج افزار و بدافزار Seedworm : 

هدف بدافزار  Seedworm :گروه های سازمانی، آژانس های دولتی، نفت و گاز، سازمان های غیر دولتی، مخابرات، و شرکت های فناوری اطلاعات است. محققان سیمانتک یک گروه جاسوسی سایبری در حملات اخیر سایبری کشف کرده اند که هدف آنها جمع آوری اطلاعات در مورد اهداف گسترش یافته در درجه اول در خاورمیانه و همچنین در اروپا و آمریکای شمالی است.

گروهی که ما آن را موسوم به Seedworm (با نام MuddyWater) می نامیم از سال ۲۰۱۷ تا کنون فعالیت داشته است که اخیرا فعالیت خود در دسامبر ۲۰۱۸ شروع کرده است . تحلیلگران تیم ما و متخصصان امنیتی یک Backdoor جدید  به نام (Backdoor.Powemuddy) کشف کرده اند که Powemuddy انواع جدیدی از Seedworm’s Powermud backdoor (معروف به POWERSTATS) است .

همچنین یک مخزن GitHub توسط گروه سازنده بدافزار Seedworm برای ذخیره اسکریپت خود استفاده شده است و از چند ابزار post-compromise برای بهره برداری از قربانیان استفاده می کنند .

ردیابی پدیده حمله بدافزار Seedworm :

در سپتامبر ۲۰۱۸، شواهدی از Seedworm و گروه جاسوسی APT28 (معروف به Swallowtail، Fancy Bear)، در یک کامپیوتر در سفارت کشور برزیل که یک کشور تولید کننده نفت است کشف شد . پژوهش های انجام شده سرنخ های بیشتری را ارائه داد که محققان را به جستجوی اطلاعات جدید درباره باج افزار Seedworm می رساند.

ما (سیمانتک) نه تنها نقطه ورود اولیه را پیدا کردیم ، بلکه توانستیم پس از ابتلا به آلودگی اولیه و به دلیل گستردگی محدوده کاری و دسترسی به شبکه جهانی ، کلیه اطلاعات را در سرتاسر محدوده آلوده شده بدست آوریم . به خاطر این دیدگاه منحصر به فرد ، تحلیلگران ما توانستند پس از ورود به شبکه ، اقدامات خاصی را انجام دهند. ما انواع جدیدی از Backdoor Powermud، یک Backdoor جدید (Backdoor.Powemuddy) و ابزارهای سفارشی برای سرقت گذرواژه ها، ایجاد پوسته معکوس، تشدید امتیاز و استفاده از ابزار ایجاد کابینه Windows، makecab.exe، احتمالا برای فشرده سازی، یافتیم. داده های به سرقت رفته که باید آپلود شوند مشتریان DeepSight MATI می توانند این بینش منحصر به فرد را برای مبارزه با تهدیدات سایبری ظهور بکار گیرند.

انگیزه های باج افزار Seedworm مانند بسیاری از گروه های جاسوسی سایبری است که ما مشاهده می کنیم – آنها در جستجوی اطلاعات عملی در مورد سازمان ها و افراد مختلف هستند . آنها این کار را با اولویت سرعت و چابکی عملیاتی انجام می دهند که در نهایت منجر به شناسایی زیرساخت های کلیدی عملیاتی آنها می شود .

تاکتیک ها و ابزارهای SeedWorm:

Seedworm به عنوان یک گروه جاسوسی سایبری می باشد و به منظور اطمینان از اطلاعات عملیاتی که می تواند منافع حامیان خود را به نفع خود به دست آورد، عمل می کند . در طول عملیات ، این گروه از ابزارهایی استفاده می کند که همانند نفوذ های گذشته از جمله Powermud می باشد ، نمونه ابزارهای سفارشی که توسط گروه Seedworm استفاده می شد :

PowerShell, LaZagne, and Crackmapexec scripts

گروه Seedworm کنترل Powermud backdoor خود را پشت یک شبکه پروکسی پنهان می کند تا دستورات و کنترل ها (C&C) و موقعیت مکانی مخفی بماند .

پس از به خطر انداختن یک سیستم ، به طور معمول با نصب Powermud یا Powemuddy، Seedworm ابتدا یک ابزار را اجرا می کند که کلمه عبور ذخیره شده در مرورگرهای وب و ایمیل ها را از بین می برد و نشان می دهد که دسترسی به ایمیل قربانی ، رسانه های اجتماعی و حساب های چت یکی از اهداف احتمالی آنها است . پس از استفاده از ابزارهای منبع باز مانند LaZagne و Crackmapexec برای استفاده از اعتبارهای مجوز ویندوز، از Seedworm استفاده می شود. نسخه های غیر اصلاح شده این ابزار و همچنین انواع سفارشی سازی شده که ما مشخص کرده ایم تنها توسط این گروه (Seedworm) استفاده می شود.

تاکتیک جابجایی: 

از آنجایی که وجود Seedworm برای نخستین بار کشف شد، ما توانستیم تحرکات طریقه عملکرد آن را ببینیم.

از اوایل سال ۲۰۱۷ آنها به طور مداوم Powermud backdoor و سایر ابزارهای خود را برای جلوگیری از تشخیص و جلوگیری از تشخیص محققان امنیتی در تجزیه و تحلیل ابزارها به روز کرده اند . آنها همچنین از GitHub برای ذخیره نرم افزارهای مخرب و تعداد زیادی ابزار عمومی استفاده کرده اند و سپس آنها را برای انجام کار خود سفارشی می کنند .

محققان ما چندین حساب آنلاین را شناسایی کرده اند که به احتمال زیاد در ارتباط با بازیگران عملیات Seedworm همراه است . اولین یافته یک مخزن عمومی Github حاوی اسکریپت هایی بود که بسیار نزدیک به آنچه در عملیات Seedworm مشاهده می شد ، مطابقت داشت . سپس یک پیوند اضافی با شخصیت توییتر با داده های مشخصات مشابه ساخته شد . این حساب توییتر به دنبال محققان امنیتی است که در مورد این گروه پژوهش هایی را انجام دهده و در مورد آنان مطلب نوشته اند و همچنین توسعه دهندگان که ابزارهای منبع باز آنها را استفاده می کنند . این حسابها به احتمال زیاد توسط گروه Seedworm کنترل می شود.

 مخزن Github شامل یک اسکریپت PowerShell است که در میزبان قربانیان در فعالیت مربوط به Seedworm اجرا می شود  همچنین دستورات Crackmapexec PowerShell وجود دارد که با فعالیت میزبان قربانیان مطابقت دارند .

انتخاب و تکیه بر ابزارهای عمومی در دسترس و رایگان ، اجازه می دهد تا باج افزار Seedworm به سرعت عملیات خود را با استفاده از کدهای نوشته شده توسط دیگران (ابزارهای در دسترس) و اعمال تنظیمات خیلی کم و سفارشی به روز رسانی کند . به نظر میرسد بیشتر ابزارهای مؤثر و کارآمدتر را به کار میبرند ، که خیلی از این ابزارها به علت شرایط ایجاد شده توسط گروه های مختلف (black) نیز استفاده میشوند .

 

اهداف و گاه شمار باج افزار Seedworm :

شرکت سیمانتک داده های ۱۳۱ قربانی را که از اواخر سپتامبر تا اواسط نوامبر ۲۰۱۸ در معرض تهدید قرار گرفته بودند را گزارش کرده است .

اهداف باج افزار Seedworm

قربانیان مشاهده شده در سرتاسر پاکستان و ترکیه، همچنین در روسیه، عربستان سعودی، افغانستان، اردن و جای دیگر قرار دارند . علاوه بر این، یک گروه سازمانی را در اروپا و آمریکای شمالی که با شرق میانه ارتباط دارند، به خطر انداخته است.

بدافزار Seedworm

علاوه بر این، در طول تجزیه و تحلیل ما از قربانیان  Powermud ، قادر به شناسایی بخش های احتمالی در صنعت برای ۸۰ تا ۱۳۱ قربانی منحصر به فرد بودیم . بخش های مخابرات و خدمات فناوری اطلاعات اهداف اصلی بودند. مؤسسات در این بخش ها اغلب “قربانیان توانمند” هستند زیرا ارائه دهندگان خدمات ارتباطات و یا آژانس های خدمات فناوری اطلاعات و فروشندگان می توانند بازیگران Seedworm را با قربانیان بیشتری ارائه دهند . مصالحه کردن قربانیانی که در این دو حوزه گفته شد  ، نشانه های زیادی در مورد پیچیدگی و مهارت های گروه Seedworm را بیان کرده اند .

باج افزار Seedworm

یکی از رایج ترین گروه قربانیان در بخش نفت و گاز بود . همه ۱۱ قربانی در این گروه متعلق به یک شرکت روسی فعال در خاورمیانه هستند . تنها یکی از این ۱۱ قربانی در روسیه مستقر بوده است بقیه در سرتاسر آمریکای شمالی، خاورمیانه، آفریقا و آسیا پراکنده بوده اند . دانشگاه ها و سفارتخانه ها اهداف متعارف بعدی بودند . دانشگاه ها در خاورمیانه بودند و سفارتخانه ها در درجه اول در اروپا به نمایندگی از کشورهای خاورمیانه بود . دو سازمان عمده غیر دولتی (سازمان های غیر دولتی) نیز به خطر افتاده بودند که ما هفت قربانی را شناسایی کردیم که در این سازمان های جهانی بهداشت عمومی مشغول به کار بودند.

حفاظت در برابر باج افزار Seedworm : 

برای حفاظت از مشتریان در برابر حملات بدافزار Seedworm حفاظت های زیر وجود دارد :

  • حفاظت مبتنی بر فایل و پرونده
  • حفاظت مبتنی بر شبکه

مشاهده گزارش کامل باج افزار Seedworm 

کسب اطلاعات بیشتر با شرکت ایران سایبر تماس بگیرید.

 

نوشته های مرتبط

مدیریت دستگاه های IOT

۰۵

آبان
همه موضوعات

مدیریت از راه دور دستگاه های IOT با استفاده از ابزار Upswift

انتشار محتوای سایت ایران سایبر فقط با ذکر منبع رسمی مجاز است اگر فقط از یک دستگاه IoT استفاده می کنید و درحال توسعه پروژه های خود هستید، به روزرسانی و مدیریت آن سریع و آسان است. اما اگر ۱۰ ، ۵۰ یا ۱۰۰ دستگاه داشته باشید چه می کنید؟ مدیریت همه آنها ناگهان به یک دردسر […]

رکوردهای DNS

۱۹

مهر
همه موضوعات

مدیریت رکوردهای DNS با DNStable

یافتن اطلاعات در مورد سوابق DNS فرآیندی است که متخصصان امنیتی با عملیات های خاصی انجام می دهند. این اطلاعات از چند طریق قابل دستیابی است که در این مقاله به آنها خواهیم پرداخت. مشکل این است که بیشتر ابزارها برای یافتن سوابق DNS به روز شده و استفاده از آنها دشوار است. بیشتر متخصصان با تجربه[…]