چگونه نفودگران از خدمات Cloud در سازمان ها سوء استفاده می‌کنند!

در سال گذشته، افزایش چشمگیری در استفاده از خدمات ابری مشروع توسط مهاجمان، از جمله بازیگران دولت‌محور، مشاهده شده است. تعداد بازیگرانی که از خدمات ابری مشروع در حملات خود بهره می‌برند، امسال افزایش یافته است، زیرا مهاجمان به این نتیجه رسیده‌اند که این خدمات می‌توانند زیرساختی کم‌هزینه و کم‌جلوه فراهم کنند. ترافیک به و از سرویس‌های معروف و معتبر مانند Microsoft OneDrive یا Google Drive کمتر ممکن است باعث ایجاد هشدار شود تا ارتباطات با زیرساخت‌های کنترل‌شده توسط مهاجمان!

در چند هفته گذشته، تیم شکار تهدید سیمانتک Symantec سه عملیات جاسوسی دیگر را که از خدمات ابری استفاده می‌کنند شناسایی کرده و شواهدی از توسعه ابزارهای بیشتری را نیز پیدا کرده است.

گوگرا (GoGra)

در نوامبر ۲۰۲۳، یک بدافزار جدید به نام گوگرا (Trojan.Gogra) توسط Symantec علیه یک سازمان رسانه‌ای در جنوب آسیا شناسایی شد. گوگرا به زبان Go نوشته شده و از API مایکروسافت گراف برای ارتباط با یک سرور فرمان و کنترل (C&C) که بر روی خدمات ایمیل مایکروسافت میزبانی شده، استفاده می‌کند.

گراف یک API مایکروسافت است که برای دسترسی به منابع میزبانی شده در خدمات ابری مایکروسافت، مانند Microsoft 365، طراحی شده است. احراز هویت از طریق توکن‌های دسترسی OAuth انجام می‌شود.

گوگرا به گونه‌ای تنظیم شده که پیام‌هایی از یک نام کاربری Outlook به نام "FNU LNU" که خط موضوع آن با کلمه "Input" شروع می‌شود، بخواند. محتویات پیام با استفاده از الگوریتم AES-256 در حالت Cipher Block Chaining (CBC) رمزگشایی می‌شود، با استفاده از کلید زیر: b14ca5898a4e4133bbce2ea2315a1916.

گوگرا فرمان‌ها را از طریق جریان ورودی cmd.exe اجرا می‌کند و از یک فرمان اضافی به نام "cd" که دایرکتوری فعال را تغییر می‌دهد، پشتیبانی می‌کند. پس از اجرای فرمان، خروجی را رمزگذاری کرده و به همان کاربر با موضوع "Output" ارسال می‌کند.

تحلیل‌های مربوط به این بدافزار نشان داد که احتمال زیادی وجود دارد که این ابزار توسط گروهی به نام Harvester که توسط دولت‌ها پشتیبانی می‌شود و در سال ۲۰۲۱ توسط Symantec کشف شد و تخصص آن در هدف قرار دادن سازمان‌ها در جنوب آسیا است، توسعه یافته باشد.

گوگرا از نظر عملکرد مشابه ابزاری به نام Graphon است که به زبان .NET نوشته شده است. علاوه بر تفاوت در زبان برنامه‌نویسی، Graphon از یک کلید AES متفاوت (juBvYU7}33Xq}ghO) استفاده می‌کرد، فرمان اضافی "cd" نداشت و نام کاربری Outlook برای ارتباط با آن به صورت ثابت در کد قرار داده نشده بود؛ بلکه از سرور C&C دریافت می‌شد.

استخراج اطلاعات از گوگل درایو

یک ابزار استخراج اطلاعات جدید توسط گروه جاسوسی Firefly در حمله‌ای به یک سازمان نظامی در جنوب شرق آسیا استفاده شد. تحلیل‌های این ابزار نشان داد که یک کلاینت عمومی Google Drive با یک پوشش Python بود.

این ابزار به گونه‌ای تنظیم شده بود که تمام فایل‌های .jpg در دایرکتوری System32 را جستجو کرده و آن‌ها را با استفاده از یک توکن رفرش ثابت به گوگل درایو بارگذاری کند.

بسیاری از فایل‌های استخراج شده، تصاویر واقعی .jpg نبودند بلکه فایل‌های RAR رمزگذاری شده بودند که به احتمال زیاد یا توسط فعالیت‌های دستی مهاجمان ایجاد شده بودند یا توسط ابزار دیگری که توسط مهاجمان نصب شده و داده‌ها را برای استخراج آماده کرده بود. داده‌های استخراج شده شامل اسناد، یادداشت‌های جلسات، رونوشت‌های مکالمات، نقشه‌های ساختمان، پوشه‌های ایمیل و داده‌های حسابداری بود.

گرگر (Grager)

یک بدافزار جدید به نام Trojan.Grager در آوریل ۲۰۲۴ علیه سه سازمان در تایوان، هنگ کنگ و ویتنام مستقر شد. تحلیل‌های مربوط به این بدافزار نشان داد که از API گراف برای ارتباط با یک سرور C&C که بر روی Microsoft OneDrive میزبانی شده است، استفاده می‌کند. Grager از یک URL تایپوسکوات شده که شبیه وب‌سایت رسمی 7-Zip بود دانلود شد.

فایل MSI مذکور که به عنوان یک نصب‌کننده 7-Zip تروجان شده عمل می‌کند، نرم‌افزار واقعی 7-Zip را در پوشه "C:\Program Files (x86)\7-Zip" نصب کرده و یک DLL مخرب به نام "epdevmgr.dll"، یک نسخه از بدافزار Tonerjam، و بدافزار Grager را که به صورت رمزگذاری شده در فایل "data.dat" ذخیره شده است، نصب می‌کند.

بدافزار Tonerjam به عنوان یک راه‌انداز توصیف شده است که یک بار shellcode را رمزگشایی و اجرا می‌کند که در این مورد بدافزار جدید Grager بود. این بدافزار یک client_id و توکن رفرش برای OneDrive را از یک blob در بدنه فایل رمزگشایی می‌کند. این بدافزار از دستورات زیر پشتیبانی می‌کند:

 - دریافت اطلاعات ماشین شامل نام ماشین، کاربر، آدرس IP و معماری ماشین

- دانلود/آپلود فایل

- اجرا کردن یک فایل

- جمع‌آوری اطلاعات سیستم فایل شامل درایوهای موجود، اندازه درایوها و نوع درایوها

لینک‌های احتمالی بین این ابزار و گروهی به نام UNC5330 وجود دارد. Symantec مشاهده کرد که بدافزار Tonerjam در این وبلاگ با همان نام فایل (epdevmgr.dll) توصیف شده است، که Mandiant نیز آن را به UNC5330 نسبت می‌دهد. UNC5330 به عنوان یک "بازیگر جاسوسی با پیوند به چین" توصیف شد که از آسیب‌پذیری‌های Ivanti Connect Secure VPN (CVE-2024-21893 و CVE-2024-21887) برای نفوذ به دستگاه‌ها در اوایل ۲۰۲۴ سوء استفاده کرد.

مونتگ (MoonTag)

Symantec همچنین شواهدی از یک بدافزار دیگر به نام MoonTag (Trojan.Moontag) پیدا کرد که به نظر می‌رسد در حال توسعه است. چندین نسخه از این بدافزار در هفته‌های اخیر به VirusTotal آپلود شده‌اند، اگرچه هیچ یک از آنها کامل به نظر نمی‌رسیدند. این بدافزار که ممکن است توسط توسعه‌دهنده‌اش "Moon_Tag" نامیده شود، بر اساس کدی است که در یک گروه گوگل منتشر شده است. همه نسخه‌های پیدا شده دارای قابلیت ارتباط با API گراف هستند.

نمونه‌های MoonTag با یک قانون YARA به نام "MAL_APT_9002_SabrePanda" که نمونه‌های خانواده بدافزار 9002 RAT که توسط نفوذگری به نام Sabre Panda استفاده می‌شود را تشخیص می‌دهد، مطابقت دارند. ما لینک‌های قوی برای انتساب MoonTag به Sabre Panda پیدا نکردیم، اما می‌توانیم با اطمینان بالا بدافزار MoonTag را به یک بازیگر تهدید چینی‌زبان نسبت دهیم بر اساس زبان چینی که در پست گروه گوگل استفاده شده و زیرساختی که توسط مهاجمان استفاده شده است.

Onedrivetools

یک بدافزار دیگر (Trojan.Ondritols) که به نظر می‌رسد توسط نویسندگانش Onedrivetools نامیده می‌شود، علیه شرکت‌های خدمات IT در ایالات متحده و اروپا مستقر شده است. این بدافزار چندمرحله‌ای، در مرحله اول یک دانلودر است که با API گراف مایکروسافت احراز هویت کرده و payload مرحله دوم را از OneDrive دانلود کرده و اجرا می‌کند.

payload اصلی یک فایل عمومی از GitHub را دانلود خواهد کرد. سپس یک پوشه در OneDrive به نام deviceId_n_<ip address> برای هر ماشین آلوده ایجاد کرده و فایل زیر را به OneDrive بارگذاری می‌کند تا وضعیت یک نفوذ جدید را به مهاجمان اعلام کند:

 /v1.0/me/drive/root:/deviceId_n_<ip address>/status

سپس در یک حلقه ادامه می‌دهد، با استفاده از API گراف خود را احراز هویت کرده، یک فایل به نام heartbeat با محتوای “1” ایجاد کرده و دستورات جدید را برای اجرا از فایلی به نام cmd که هر دو فایل در پوشه قربانی قرار دارند، می‌گیرد. خروجی فرمان اجرا شده در همان فایل cmd ذخیره خواهد شد. این بدافزار همچنین می‌تواند فایل‌هایی را به قربانیان خود دانلود کرده و فایل‌هایی را از ماشین آلوده به OneDrive بارگذاری کند.

مهاجمان از ابزاری برای تونلینگ به نام Whipweave (SHA256: 30093c2502fed7b2b74597d06b91f57772f2ae50ac420bcaa627038af33a6982) استفاده کردند که احتمالاً از پروژه VPN منبع‌باز چینی Free Connect (FCN) گرفته شده است، برای اتصال به یک شبکه Operational Relay Box (ORB) که به عنوان Orbweaver شناخته می‌شود و برای مخفی کردن منبع حملات طراحی شده است.

روند در حال توسعه سریع

در مه ۲۰۲۴، Symantec بدافزار جدیدی به نام BirdyClient کشف کرد که از API گراف برای ارتباط با یک سرور C&C در OneDrive استفاده می‌کرد. این بدافزار در حمله‌ای به یک سازمان در اوکراین استفاده شد.

اگرچه استفاده از خدمات ابری برای فرمان و کنترل یک تکنیک جدید نیست، اما تعداد بیشتری از مهاجمان اخیراً شروع به استفاده از آن کرده‌اند. سه سال پیش، Volexity درباره BlueLight، بدافزاری که توسط گروه جاسوسی مرتبط با کره شمالی به نام Vedalia (معروف به APT37) توسعه یافته بود، گزارش داد. این به دنبال کشف بدافزار Graphon توسط Symantec در اکتبر ۲۰۲۱ بود.

گروه جاسوسی روسی Swallowtail (معروف به APT28، Fancy Bear) نیز پس از کشف بدافزار Graphite که از API گراف برای ارتباط با یک حساب OneDrive که به عنوان سرور C&C عمل می‌کرد، این تاکتیک را به کار گرفت. در ژوئن ۲۰۲۳، Symantec بدافزار Backdoor.Graphican را کشف کرد که توسط گروه Flea (معروف به APT15، Nickel) در کمپینی علیه وزارت‌خانه‌های امور خارجه در قاره آمریکا استفاده می‌شد.

تعداد بازیگرانی که اکنون تهدیدهایی را که از خدمات ابری استفاده می‌کنند مستقر کرده‌اند، نشان می‌دهد که بازیگران جاسوسی به وضوح در حال مطالعه تهدیدات ایجاد شده توسط سایر گروه‌ها و تقلید از تکنیک‌هایی هستند که موفقیت‌آمیز به نظر می‌رسند.