Backdoor.Mistic؛ نفوذی خاموش در قلب شبکه‌های سازمانی با پشتوانه باج‌افزار

Backdoor.Mistic؛ نفوذی خاموش در قلب شبکه‌های سازمانی با پشتوانه باج‌افزار

در دنیای امنیت سایبری، گاهی مخرب‌ترین تهدیدات، آن‌هایی هستند که کمترین سر و صدا را ایجاد می‌کنند. از آوریل ۲۰۲۶، یک بدافزار جدید و بسیار مخفیانه به نام Backdoor.Mistic (که توسط Zscaler با نام MLTBackdoor نیز ردیابی می‌شود) در حملات سایبری متعددی مشاهده شده است که هدف آن‌ها ایجاد دسترسی پنهان و بلندمدت به شبکه‌های سازمانی و فروش این دسترسی به گروه‌های باج‌افزاری است. تیم شکار تهدید سیمانتک (Symantec) و کربن بلک (Carbon Black) با تحلیل دقیق این بدافزار، پرده از یک تهدید سازمان‌یافته برداشته‌اند که با بهره‌گیری از تکنیک‌های پیشرفته پنهان‌سازی و مهندسی اجتماعی، به دنبال ایجاد یک پایگاه پایدار برای حملات بعدی است.

 

 

Backdoor.Mistic چیست و چرا مخفیانه است؟

Backdoor.Mistic یک بدافزار از نوع درب پشتی (Backdoor) است که به مهاجمان اجازه می‌دهد کنترل از راه دور بر سیستم‌های آلوده را در دست بگیرند و دستورات مختلفی را بر روی آن‌ها اجرا کنند. اما آنچه این بدافزار را از بسیاری تهدیدات مشابه متمایز می‌کند، سطح بالای پنهان‌کاری و طراحی دقیق آن برای فرار از شناسایی است.

 

اجرا در حافظه (Memory Execution): برخلاف بسیاری از بدافزارها که فایل‌های خود را روی دیسک ذخیره می‌کنند، Mistic دستورات دریافتی از سرور فرماندهی و کنترل (C2) را مستقیماً در حافظه اجرا می‌کند و هیچ فایل مخربی روی هارددیسک باقی نمی‌گذارد. این ویژگی، شناسایی آن توسط آنتی‌ویروس‌های مبتنی بر فایل را تقریباً غیرممکن می‌سازد.

 

قابلیت خودتخریبی (Kill Switch): Mistic به گونه‌ای طراحی شده که در صورت نیاز، می‌تواند خود را به طور کامل از سیستم حذف کند و ردپای خود را پاک نماید. این ویژگی، کار تحلیلگران امنیتی را برای بررسی و شناسایی بدافزار پس از حمله بسیار دشوار می‌کند.

 

تکنیک Side-Loading: Mistic از روشی به نام «بارگذاری جانبی» (DLL Side-Loading) برای اجرا استفاده می‌کند. در این روش، یک فایل مجاز و امضا شده (مانند MpExtMs.exe که متعلق به مایکروسافت دیفندر است) یک کتابخانه پیوند پویا (DLL) مخرب به نام EndpointDlp.dll را بارگذاری می‌کند. استفاده از نامی شبیه به ابزارهای امنیتی مایکروسافت، به Mistic کمک می‌کند تا در محیط قربانی با نرم‌افزارهای معتبر قاطی شود و کمتر مورد توجه قرار گیرد.

 

قابلیت‌های Backdoor.Mistic

این بدافزار علاوه بر پنهان‌کاری، مجموعه‌ای از قابلیت‌های کامل را برای مهاجم فراهم می‌کند که شامل موارد زیر است:

 

مدیریت فایل‌ها: بارگذاری، دانلود، جابجایی، تغییر نام و حذف فایل‌ها روی سیستم قربانی.

 

اجرای کد از راه دور: دریافت و اجرای مستقیم کد از سرور C2 در حافظه، بدون نوشتن روی دیسک.

 

سرقت اعتبارنامه: بارگذاری یک DLL اضافی که یک صفحه ورود جعلی نمایش می‌دهد تا کاربران را فریب داده و اطلاعات ورود آنها را بدزدد.

 

خاتمه و حذف خود: توقف اجرا و حذف کامل خود از سیستم قربانی.

 

تنظیم فرکانس ارتباط با C2: تغییر بازه زمانی که بدافزار برای دریافت دستورات جدید با سرور C2 ارتباط برقرار می‌کند.

 

زنجیره حمله و ارتباط با Woodgnat (KongTuke)

تحلیل سیمانتک نشان می‌دهد که Backdoor.Mistic احتمالاً با یک گروه مجرمانه به نام Woodgnat (که با نام KongTuke نیز شناخته می‌شود) در ارتباط است. Woodgnat یک «کارگزار دسترسی اولیه» (Initial Access Broker - IAB) است که به جای اجرای مستقیم باج‌افزار، به شبکه‌های سازمانی نفوذ کرده و دسترسی به دست آمده را به گروه‌های باج‌افزاری می‌فروشد. این گروه از طریق وب‌سایت‌های وردپرسی آلوده و کمپین‌های مهندسی اجتماعی مانند ClickFix، قربانیان را فریب می‌دهد تا دستورات PowerShell مخرب را اجرا کنند.

 

زنجیره حمله معمولاً به این صورت است:

 فریب کاربر: کاربر با یک صفحه CAPTCHA جعلی، پیام خطای ساختگی یا خرابی مرورگر مواجه می‌شود و از او خواسته می‌شود که برای رفع مشکل، یک دستور را در ویندوز اجرا کند.

 

اجرای دستور: کاربر دستور ارائه شده را اجرا می‌کند که زنجیره‌ای از دستورات PowerShell را برای دانلود و اجرای بدافزار آغاز می‌کند.

 

بارگذاری بدافزار: Mistic از طریق روش Side-Loading و با استفاده از فایل‌های معتبر مایکروسافت، بر روی سیستم قربانی بارگذاری می‌شود.

 

استقرار ابزارهای اضافی: مهاجمان از ابزارهای خط فرمان ویندوز مانند curl، net.exe، reg.exe، PowerShell و WMIC برای شناسایی شبکه، حرکت جانبی و سرقت داده‌ها استفاده می‌کنند.

 

فروش دسترسی: پس از ایجاد دسترسی پایدار، این دسترسی به گروه‌های باج‌افزاری مانند Qilin، Interlock، Rhysida، Akira، 8Base و Black Basta فروخته می‌شود.

 

سیمانتک در یکی از حملات مشاهده کرده که ModeloRAT (ابزار دیگری از Woodgnat) در کنار Mistic مستقر شده و این ابزارها در حملاتی که به استقرار باج‌افزار Qilin منجر شده‌اند، مورد استفاده قرار گرفته‌اند.

 

اهمیت کشف سیمانتک و درس‌های آن

کشف و تحلیل Backdoor.Mistic توسط تیم سیمانتک، چند نکته مهم را در مورد چشم‌انداز تهدیدات امروزی روشن می‌کند:

 

اولاً، استفاده از ابزارهای سفارشی و اختصاصی مانند Mistic در کنار ابزارهای عمومی، نشان‌دهنده بلوغ و پیچیدگی روزافزون گروه‌های مجرم سایبری است. این گروه‌ها به جای تکیه صرف بر ابزارهای آماده، سرمایه‌گذاری قابل توجهی روی توسعه بدافزارهای اختصاصی برای دور زدن راهکارهای امنیتی انجام می‌دهند.

 

ثانیاً، نقش برجسته «کارگزاران دسترسی اولیه» (IABs) مانند Woodgnat در اکوسیستم باج‌افزارها نشان می‌دهد که تهدیدات سایبری مدرن به طور فزاینده‌ای تخصصی و زنجیره‌وار شده‌اند. این گروه‌ها با تخصص در نفوذ اولیه، به عنوان تأمین‌کننده خدمات برای گروه‌های باج‌افزاری عمل می‌کنند و بازار سیاهی از دسترسی‌های فروشی را ایجاد کرده‌اند.

 

ثالثاً، موفقیت Mistic در فرار از شناسایی، نشان‌دهنده ضعف رویکردهای امنیتی سنتی مبتنی بر امضا است. تکیه بر شناسایی فایل‌های مخرب دیگر کافی نیست و سازمان‌ها باید به سمت راهکارهایی حرکت کنند که بر تحلیل رفتار و شناسایی ناهنجاری‌ها تمرکز دارند.

 

توصیه‌های امنیتی سیمانتک

بر اساس تحلیل‌های سیمانتک و کربن بلک، برای مقابله با تهدیداتی مانند Backdoor.Mistic، توصیه‌های زیر به سازمان‌ها ارائه می‌شود:

 

استقرار راهکارهای امنیتی پیشرفته: استفاده از محصولاتی که قابلیت‌های تشخیص و پاسخ به تهدیدات نقاط پایانی (EDR) و تحلیل رفتاری را دارند، برای شناسایی فعالیت‌های مشکوک مانند بارگذاری جانبی DLL یا اجرای کد در حافظه، ضروری است.

 

آموزش کارکنان: آگاهی‌بخشی به کارکنان در مورد تکنیک‌های مهندسی اجتماعی مانند ClickFix و خطرات اجرای دستورات ناشناخته، یکی از مهم‌ترین راهکارهای پیشگیری است.

 

مدیریت آسیب‌پذیری‌ها: به‌روزرسانی منظم سیستم‌ها و نرم‌افزارها برای بستن روزنه‌های نفوذ.

 

نظارت بر ترافیک شبکه: پایش ترافیک خروجی برای شناسایی ارتباطات مشکوک با سرورهای C2 ناشناخته.

 

Backdoor.Mistic یک هشدار جدی است که نشان می‌دهد تهدیدات سایبری در حال تکامل و پیچیده‌تر شدن هستند و سازمان‌ها برای مقابله با آنها به رویکردهای امنیتی پویا نیاز دارند که توسط شرکت‌های پیشرویی مانند سیمانتک ارائه می‌شود.

بازخوردها
    ارسال نظر
    (بعد از تائید مدیر منتشر خواهد شد)
    • - نشانی ایمیل شما منتشر نخواهد شد.
    • - لطفا دیدگاهتان تا حد امکان مربوط به مطلب باشد.
    • - لطفا فارسی بنویسید.
    • - میخواهید عکس خودتان کنار نظرتان باشد؟ به gravatar.com بروید و عکستان را اضافه کنید.
    • - نظرات شما بعد از تایید مدیریت منتشر خواهد شد