با Worok، گروه جاسوسی سایبری که بدافزار را در فایل های تصویری PNG پنهان می کند، آشنا شوید


به طور خلاصه: محققان امنیتی یک تهدید بدافزار جدید را کشف کرده اند که برای سوء استفاده از تکنیک های استگانوگرافی طراحی شده است. به نظر می رسد Worok یک عملیات جاسوسی سایبری پیچیده است که مراحل جداگانه آن هنوز تا حدی یک راز است. هدف نهایی این عملیات اما توسط دو شرکت امنیتی تایید شده است.

Worok از بدافزار چند مرحله‌ای استفاده می‌کند که برای سرقت داده‌ها و به خطر انداختن قربانیان با مشخصات بالا طراحی شده است، و از تکنیک‌های استگانوگرافی برای پنهان کردن قطعات بار نهایی در یک فایل تصویری ساده PNG استفاده می‌کند. بدافزار جدید اولین بار توسط ESET در ماه سپتامبر کشف شد.

این شرکت Worok را به عنوان یک گروه جاسوسی سایبری جدید توصیف می کند که از ابزارهای غیرمستند، از جمله یک روال steganography طراحی شده برای استخراج یک بار مخرب از یک فایل تصویری ساده PNG استفاده می کند. یک کپی از تصویر مذکور در زیر نشان داده شده است.

اپراتورهای Worok قربانیان برجسته مانند سازمان‌های دولتی را با تمرکز ویژه بر خاورمیانه، آسیای جنوب شرقی و آفریقای جنوبی هدف قرار می‌دادند. دانش ESET در مورد زنجیره حمله تهدید محدود بود، اما یک تحلیل جدید از Avast اکنون جزئیات بیشتری را در مورد این عملیات ارائه می دهد.

Avast پیشنهاد می کند Worok از یک طراحی پیچیده چند مرحله ای برای پنهان کردن فعالیت های خود استفاده می کند. روش مورد استفاده برای نفوذ به شبکه ها هنوز ناشناخته است. پس از استقرار، مرحله اول از بارگذاری جانبی DLL برای اجرای بدافزار CLRLoader در حافظه سوء استفاده می کند. سپس ماژول CLRLoader برای اجرای ماژول DLL مرحله دوم (PNGLoader) استفاده می شود که بایت های خاصی را که در فایل های تصویری PNG پنهان شده اند استخراج می کند. این بایت ها برای جمع آوری دو فایل اجرایی استفاده می شوند.

تکنیک استگانوگرافی مورد استفاده توسط Worok به عنوان رمزگذاری بیت کم‌اهمیت شناخته می‌شود، که بخش‌های کوچکی از کد مخرب را در «پایین‌ترین بیت‌ها» در پیکسل‌های خاص در تصویر پنهان می‌کند که می‌توانند بعداً بازیابی شوند.

اولین بار پنهان شده با این روش یک اسکریپت PowerShell است که نه ESET و نه Avast هنوز نتوانسته اند نمونه ای از آن را دریافت کنند. دومین بار یک ماژول دزدی اطلاعات و درپشتی سفارشی به نام DropBoxControl است، روتینی که با دات نت سی شارپ نوشته شده و برای دریافت دستورات از راه دور از حساب Dropbox به خطر افتاده طراحی شده است.

DropBoxControl می تواند بسیاری از اقدامات – و بالقوه خطرناک – را اجرا کند، از جمله توانایی اجرای دستور “cmd /c” با پارامترهای داده شده، راه اندازی فایل های باینری قابل اجرا، دانلود داده ها از Dropbox به دستگاه آلوده (ویندوز)، حذف داده ها در سیستم، اطلاعات یا فایل های سیستم را از یک دایرکتوری خاص استخراج کنید و موارد دیگر.

در حالی که تحلیلگران هنوز در حال کنار هم قرار دادن همه قطعات هستند، تحقیقات Avast تأیید می کند که Worok یک عملیات سفارشی است که برای سرقت داده ها، جاسوسی و به خطر انداختن قربانیان سطح بالا در مناطق خاصی از جهان طراحی شده است.



منبع