کمپین بدافزاری با دو بار داده (Dual Payload)

یک کمپین بدافزاری که به تازگی کشف شده است، به دلیل توانایی‌اش در استقرار همزمان دو تهدید مجزا، توجه زیادی را در جامعه امنیت سایبری به خود جلب کرده است. از یک لودر مبهم‌سازی‌شده برای ارائه Gh0st RAT و CloverPlus به یک سیستم آلوده استفاده می‌شود.

این ترکیب هم غیرمعمول و هم بسیار استراتژیک است. Gh0st RAT امکان کنترل کامل از راه دور بر روی دستگاه آلوده را فراهم می‌کند، در حالی که CloverPlus بر دستکاری فعالیت مرورگر، تزریق اجزای تبلیغاتی و کسب درآمد از طریق پاپ‌آپ‌های مزاحم تمرکز دارد. این استقرار دوگانه به مهاجمان اجازه می‌دهد تا دسترسی غیرمجاز مداوم را حفظ کنند و در عین حال از آلودگی به صورت بلادرنگ درآمد کسب کنند.

این کمپین، روند رو به رشدی را به سمت تحویل چندین محموله (multi-payload) برجسته می‌کند، جایی که مهاجمان با یک حمله، بهره‌وری عملیاتی و بازده مالی را به حداکثر می‌رسانند.

تاکتیک‌های مبهم‌سازی: پنهان کردن بار داده

لودری که در هسته این کمپین قرار دارد، برای مخفی‌کاری طراحی شده است. این لودر دو بار داده رمزگذاری شده را در بخش منابع خود جاسازی می‌کند و با استفاده از تکنیک‌های مبهم‌سازی، از مکانیسم‌های تشخیص سنتی فرار می‌کند.

اجرا با ماژول تبلیغاتی مزاحم CloverPlus آغاز می‌شود که با نام AdWare.Win32.CloverPlus شناسایی می‌شود و با یک فایل اجرایی به نام wiseman.exe مرتبط است. این مؤلفه تنظیمات راه‌اندازی مرورگر را تغییر داده و تبلیغات پاپ‌آپ مداوم را تزریق می‌کند.

پس از این، لودر مسیر اجرای خود را ارزیابی می‌کند. اگر از دایرکتوری %temp% سیستم عمل نکند، قبل از ادامه، یک کپی از خود را در آنجا ایجاد می‌کند. مرحله بعدی شامل رمزگشایی ماژول کلاینت Gh0st RAT است که به عنوان یک منبع رمزگذاری شده در فایل باینری بدافزار نیز پنهان شده است.

پس از رمزگشایی، بدافزار یک نام فایل تصادفی به فایل مخرب اختصاص می‌دهد و آن را در یک پوشه با نام تصادفی واقع در ریشه درایو C:\ ذخیره می‌کند که تشخیص و تجزیه و تحلیل را پیچیده‌تر می‌کند.

زندگی بدون پشتوانه: ابزارهای مورد اعتماد، نیت‌های مخرب

برای اجرای بار داده رمزگشایی‌شده، این بدافزار از ابزار قانونی ویندوز rundll32.exe استفاده می‌کند. این رویکرد، اجرای کد مخرب را تحت پوشش یک فرآیند سیستمی قابل اعتماد امکان‌پذیر می‌کند و احتمال فعال شدن سیستم‌های دفاعی امنیتی را به میزان قابل توجهی کاهش می‌دهد.

پس از فعال شدن، Gh0st RAT با جمع‌آوری شناسه‌های منحصر به فرد مانند آدرس MAC و شماره سریال هارد دیسک، شروع به پروفایل کردن سیستم آلوده می‌کند. این جزئیات برای ثبت قربانی در زیرساخت فرمان و کنترل مهاجم استفاده می‌شود و ردیابی و مدیریت دقیق میزبان‌های آلوده را تضمین می‌کند.

مکانیسم‌های پایداری: تضمین دسترسی بلندمدت

حفظ دسترسی پس از راه‌اندازی مجدد سیستم، هدف اصلی این کمپین است. Gh0st RAT از طریق تکنیک‌های متعددی که در اعماق سیستم‌عامل تعبیه شده است، به ماندگاری خود دست می‌یابد:

اصلاح کلید رجیستری Run ویندوز برای اطمینان از اجرای خودکار در هنگام راه‌اندازی
ثبت یک DLL مخرب در مسیر سرویس Remote Access در مسیر SYSTEM\CurrentControlSet\Services\RemoteAccess\RouterManagers\Ip

این روش‌ها هر زمان که سرویس مرتبط راه‌اندازی می‌شود، به بدافزار امتیازات سطح سیستمی اعطا می‌کنند و نیاز به تعامل بیشتر با کاربر را از بین می‌برند و کنترل بلندمدت را تقویت می‌کنند.

تشخیص و دفاع: شاخص‌های نفوذ

تأثیر این کمپین هم برای افراد و هم برای سازمان‌ها قابل توجه است. در حالی که مؤلفه‌ی تبلیغاتی مزاحم، عملکرد مرورگر را مختل می‌کند و قرار گرفتن در معرض تبلیغات مخرب را افزایش می‌دهد، مؤلفه‌ی RAT امکان سرقت داده‌ها، ثبت ضربات کلید، دور زدن امنیت و دسترسی ممتاز مداوم را فراهم می‌کند.

تیم‌های امنیتی باید هوشیار باشند و نشانه‌های زیر از نفوذ را زیر نظر داشته باشند:

• اجرای rundll32.exe که فایل‌های DLL یا پسوندهای فایل غیر استاندارد را از دایرکتوری‌های غیرمعمول یا مشکوک بارگذاری می‌کند.
• فعالیت فرآیند از پوشه %temp% آغاز می‌شود
• تغییرات غیرمجاز در کلیدهای اجرای رجیستری یا پیکربندی‌های سرویس RemoteAccess
• استفاده از تأخیرهای مبتنی بر پینگ برای جلوگیری از شناسایی توسط sandbox
• الگوهای ترافیک DNS غیرطبیعی و تغییرات غیرمنتظره در فایل میزبان‌های سیستم

نظارت پیشگیرانه و پاسخ سریع به این سیگنال‌ها برای کاهش خطرات ناشی از این کمپین بدافزاری پیچیده با تهدید دوگانه بسیار مهم است.