Demodex

یک عامل تهدیدکننده چینی که قبلاً ناشناخته بود، به یک عملیات evasive طولانی‌مدت که اهداف جنوب شرقی آسیا را در ژوئیه ۲۰۲۰ برای استقرار یک روت کیت (Demodex) هسته در سیستم‌های آسیب‌دیده ویندوز مورد هدف قرار می‌داد، مرتبط شده است.

گفته می‌شود حملاتی که توسط این گروه هکری انجام‌شده و توسط کاسپرسکی GhostEmperor لقب گرفته‌اند، از “چارچوب دژافزار پیچیده چندمرحله‌ای” استفاده می‌کنند که به شما امکان می‌دهد مداومت و کنترل از راه دور را روی میزبان‌های موردنظر فراهم کنید.

شرکت امنیت سایبری روسیه این روت‌کیت را Demodex نامیده است درحالی‌که این دژافزار در چندین نهاد برجسته در مالزی، تایلند، ویتنام و اندونزی، علاوه بر موارد دورافتاده در مصر، اتیوپی و افغانستان گزارش شده است.

محققان کاسپرسکی دراین‌باره گفتند[۱]: “Demodex برای پنهان کردن فن‌ساخته‌های دژافزار حالت کاربر از محققان و راه‌حل‌های امنیتی استفاده می‌شود، درحالی‌که یک برنامه بارگذاری غیرمجاز جالب را در برمی‌گیرد که شامل جزء حالت kernel یک پروژه منبع باز به نام Cheat Engine برای دور زدن مکانیزم Windows Driver Signature Enforcement است[۲].”

مشخص ‌شده است که آلودگی‌های GhostEmperor از چندین مسیر نفوذ استفاده می‌کنند که در اجرای دژافزار در حافظه به بالاترین حد خود می‌رسد، ازجمله مهم‌ترین آن‌ها استفاده از آسیب‌پذیری‌های مورد بهره‌برداری قرارگرفته‌ی شناخته‌شده در سرورهای public-facing مانندApache ، Window IIS ، Oracle و Microsoft Exchange ازجمله بهره‌بردارهای ProxyLogon که در مارس ۲۰۲۱ آشکار شدند[۳]، هستند که برای به دست آوردن جایگاه اولیه و laterally pivot در سایر قسمت‌های شبکه‌ی قربانی، حتی در دستگاه‌هایی که نسخه‌های اخیر سیستم‌عامل ویندوز ۱۰ را اجرا می‌کنند، استفاده می‌شوند.

Demodex

در پی نفوذ موفقیت‌آمیز، زنجیره‌های آلودگی منتخب که منجر به استقرار rootkit از راه دور و از طریق سیستم دیگری در همان شبکه با استفاده از نرم‌افزارهای قانونی مانند WMI یا PsExec شد[۴و۵] که منجر به اجرای ایمپلنت در حافظه با قابلیت نصب payloadهای اضافی در حین run time شد.

علیرغم اتکا به obfuscation و سایر روش‌های تشخیص و فرار برای جلوگیری از کشف و تجزیه‌وتحلیل، Demodex مکانیزم Driver Signature Enforcement مایکروسافت را دور میزند که اجازه دهد با استفاده از یک درایور امضاشده قانونی و منبع باز به نام dbk64.sys یک کد دلخواه و امضا نشده در فضای kernel اجرا شود که در کنار موتور تقلب ارسال می‌شود و برنامه‌ای است که برای معرفی تقلب در بازی‌های ویدئویی استفاده می‌شود.

محققان دراین‌باره می‌گویند: “با یک عملیات طولانی‌مدت، قربانیان برجسته و مجموعه ابزارهای پیشرفته، بازیگر اصلی مهارت بالایی دارد و در کار خود بسیار حرفه‌ای است، که هر دو با استفاده از مجموعه وسیعی از روش‌های ضد تشخیص و آنتی فارنسیک مشهود است.”

این افشاگری در حالی صورت می‌گیرد که یک هکر مرتبط با چین با نام رمزی TAG-28 کشف شده است[۶] که پشت حمله به رسانه‌های هندی و سازمان‌های دولتی مانند گروه تایمز، سازمان شناسایی منحصربه‌فرد هند (UIDAI) و اداره پلیس ایالت Madhya Pradesh بوده است.

همچنین Recorded Future در اوایل این هفته، فعالیت مخربی[۷] را با هدف سرور پست الکترونیک Roshan، یکی از بزرگ‌ترین ارائه‌دهندگان مخابرات افغانستان کشف کرد که به چهار هکر متمایز دولتی چین یعنی RedFoxtrot، Calypso APT و همچنین دو خوشه جداگانه با استفاده از درب‌های پشتی مرتبط با گروه‌های Winnti و PlugX مربوط می‌شود[۸].

منابع

[۱] https://www.cheatengine.org

[۲] https://securelist.com/ghostemperor-from-proxylogon-to-kernel-mode/104407

[۳] https://apa.aut.ac.ir/?p=7868

[۴] https://docs.microsoft.com/en-us/windows/win32/wmisdk/wmi-start-page

[۵] https://docs.microsoft.com/en-us/sysinternals/downloads/psexec

[۶] https://www.recordedfuture.com/china-linked-tag-28-targets-indias-the-times-group

[۷] https://therecord.media/suspected-chinese-state-linked-threat-actors-infiltrated-major-afghan-telecom-provider

[۸] https://thehackernews.com/2021/06/cyber-espionage-by-chinese-hackers-in.html

[۹] https://thehackernews.com/2021/10/chinese-hackers-used-new-rootkit-to-spy.html