Trojan.Win32.APT27

شرح کلی

نوع: APT
اسامی بدافزار:
Trojan.Win32.APT27
درجه تخریب: زیاد
میزان شیوع: متوسط

APT چیست؟

APT خلاصه شده کلمه Advanced Persistent Threat و به معنای تهدید مداوم پیشرفته می‌باشد. همانطور که از نام آن انتظار می‌رود، این تهدید از تکنیک‌های هک مداوم، مخفیانه و پیشرفته برای دستیابی به یک سیستم استفاده می‌کند و برای مدت زمانی طولانی با پیامدهایی مخرب در داخل سیستم کاربران باقی می‌ماند. بر خلاف حملات سایبری متداول و سطح پایین که عمدتا توسط هکرهای کلاه سیاه و با هدف نفوذ سریع به سیستم و نیل به اهداف مالی در سریع‌ترین زمان ممکن صورت می‌گیرند، حملات APT به اهدافی با ارزش اطلاعاتی بالا مانند سازمان‌های دولتی و شرکت‌های بزرگ صورت می‌گیرد و هدف نهایی مهاجمان، سرقت اطلاعات در طی یک دوره طولانی مدت می‌باشد. از دیگر مشکلات آلودگی به بدافزارهای APT، احتمال باقی گذاشتن backdoor یا درب پشتی توسط مهاجمان برای بازگشت در زمان دلخواه است.

بدافزار APT27 چیست؟

گروه Emissary Panda که با نام‌هایی نظیر APT27 ،Bronze Union ،TG-3390 و Lucky Mouse هم شناخته می‌شود، یک گروه تهیه و تولید بدافزاراست که در حدود 10 سال گذشته در حال فعالیت بوده است و اکثر تولیدات آن بدافزارهایی است که به منظور جاسوسی و سرقت اطلاعات طراحی و ساخته شده‌اند. از اهداف گذشته‌ی این گروه می‌توان به کشورهای امارات متحده، عربستان سعودی و مغولستان اشاره کرد.
موج جدید حملات این گروه در سال 2019 میلادی آغاز شده و تا کنون در کشورهای مختلفی مانند مغولستان، امارات، و نیز کشورمان ایران حملات گزارش شده است.

توضیحات فنی

علائم آلودگی به بدافزار APT27:
علائمی که پس از آلودگی سیستم مشاهده می‌شوند شامل موارد زیر می‌باشند:

• مشاهده کلیدهای رجیستری در مسیرهای HKLM\Software\classes و HKCU\Software\classes که شامل پسوندهای زیر باشند. در داخل این کلیدها تعدادی رشته به صورت رمز شده ذخیره می‌شوند.

D9B449EC8D04883DC38EB2ADBF2783FB
DHSFSGD375678FDHS237826WFS278346
ll37389743nxshkhjhgee
HjDWr6vsJqfYb89mxxxx

• مشاهده فایل‌هایی با عناوین و مسیرهای زیر:
مسیرهای زیر در سیستم‌های آلوده مشاهده شده‌است. به غیر از مورد اول که وجود آن مبنی بر آلودگی حتمی است، سایر موارد در سیستم‌های سالم نیز مشاهده می‌شوند، چرا که بدافزار فایل‌های آلوده خود را در مسیرهای زیر و با نام فایل‌های سالم کپی می‌کند. بنابراین مشاهده سایر مسیرها دلیل قطعی بر آلودگی سیستم نخواهد بود.

sys.bin.url
C:\ProgramData\systemconfig\INISafeWebSSO.exe
C:\ProgramData\systemconfig\kwpsinvfy.exe
C:\ProgramData\vf_host\VFTRACE.dll
C:\ProgramData\plugin_host\PYTHON33.dll
C:\Windows\AppPatch\Custom\GameuxInstallHelper.dll
C:\ProgramData\vf_host_update\VFTRACE.dll
C:\ProgramData\VFTRACE.dll
C:\ProgramData\ThunderBrowser\libcef.dll
C:\Program Files\Silverlight\sllauncher.exe
C:\Program Files\Silverlight\sllauncherENU.dll
C:\Program Files\Silverlight\thumb.dat
C:\WINDOWS\pcawhere\thinprobe.exe
C:\WINDOWS\pcawhere\thinhostprobedll.dll
C:\WINDOWS\pcawhere\thumb.db
C:\Documents and Settings\All Users\Application Data\sysupdate\pdh.dll
C:\Documents and Settings\All Users\Application Data\sysupdate\kwpsinvfy.exe
C:\Users\All Users\sysupdate\pdh.dll
C:\Users\All Users\sysupdate\kwpsinvfy.exe

• لیست commandهای خوداجرا (autorun) در سیستم‌های آلوده به شرح زیر می‌باشد:

"C:\ProgramData\systemconfig\INISafeWebSSO.exe" /update
"C:\ProgramData\systemconfig\kwpsinvfy.exe" /update
"C:\Documents and Settings\All Users\Application Data\systemconfig\gdf.exe" /update

• ساخت یک Mutex خاص با نامی مشخص توسط بدافزار با استفاده از Username و رشته‌ی Defender

شرح عملکرد

این بدافزار از یک حمله‌ی کلاسیک با نام dll Hijacking استفاده می‌کند. پکیج بدافزارشامل یک فایل اجرایی سالم، یک فایل dll و یک فایل دیتا (مجموعا سه فایل) در کنار یکدیگر می‌باشد.

مکانیزم عملکرد به این شکل است که فایل اجرایی که فایل نرم‌افزار سالم و شناخته شده می‌باشد، جهت عملکرد خود به یک dll کمکی احتیاج داشته و به محض اجرا فایل dll را بارگزاری می‌کند. در این نوع حمله یک dll آلوده به جای dll اصلی در کنار فایل اجرایی قرار می‌گیرد تا فایل اجرایی سالم برای اجرای خود به اشتباه فایل آلوده را بارگزاری کند و ناخواسته سبب اجرای کد آلوده شود. جهت جلوگیری از تشخیص، کد اصلی بدافزار نیز در داخل dll قرار نمی‌گیرد بلکه dll آلوده صرفا نقش مترجم و رمزگشای یک فایل دیتای رمزشده در کنار فایل اصلی را بر عهده دارد. بسیاری از exeهای سالم به این منظور مورد استفاده قرار می‌گیرند که از نمونه‌های آن می‌توان به sllauncher.exe ،thunderbrowser.exe ،gdf.exe و vf_host.exe اشاره کرد. به همین علت، شناسایی بدافزارهای APT توسط روش‌های حفاظتی متداول سیستم، کاری سخت و دشوار است که نیازمند تکنیک‌های پیشرفته‌تری خواهد بود.

پس از شروع اجرا به وسیله‌ی فایل اجرایی، برنامه تابعی از dll را فراخوانی می‌کند که با این کار، رمزگشایی محتوای رمز شده توسط dll انجام و محتوای آن روی حافظه ذخیره می‌شود. در پایان، dll با استفاده از یک پرش، اجرا را به سمت اجرای کد رمزگشایی شده مخرب هدایت می‌کند.

این نسخه همانند سایر APTها، دارای سرورهای فرماندهی و کنترل (Command and Control) بوده که می‌تواند دستورات را از سرور دریافت و اطلاعات درخواستی را برای سرور ارسال کند.

روش مقابله و پاکسازی سیستم

آنتی ویروس پادویش این بدافزار را با نام Trojan.Win32.APT27 شناسایی و از سیستم حذف می‌کند. برای اطمینان از عدم آلودگی به این بدافزار، از پویش سریع پادویش استفاده کنید و در صورت مشاهده لاگ، به تیم پشتیبانی پادویش اطلاع دهید.