منو
جستجو

مقالات

خانهمقالات

🚨 کارزار فیشینگ چندمرحله‌ای APT MuddyWater علیه مدیران مالی ارشد

میرغضب
مقالات

یک کارزار پیشرفته‌ی فیشینگ هدفمند (Spear-Phishing) هم‌اکنون مدیران مالی ارشد (CFO) و مسئولان بخش مالی را در چندین قاره هدف قرار داده است. مهاجمان برای حفظ دسترسی پایدار به سیستم‌های قربانی، از ابزارهای قانونی دسترسی از راه دور همچون NetBird سوءاستفاده می‌کنند.

مهاجمان با جعل هویت یک استخدام‌کننده از شرکت Rothschild & Co، قربانیان را به صفحات فیشینگ می‌کشانند که روی بستر Firebase میزبانی شده‌اند. این صفحات از چالش‌های CAPTCHA سفارشی، اسکریپت‌های مخرب VBS و تحویل بارهای چندمرحله‌ای استفاده می‌کنند تا به‌طور مخفیانه قابلیت‌های مدیریت از راه دور را روی سیستم قربانی مستقر کنند.

بررسی‌های ما زیرساخت‌های جدید، مسیرهای به‌روزرسانی‌شده‌ی بار مخرب و هم‌پوشانی با فعالیت‌های پیش‌تر مستندشده‌ی APT MuddyWater را آشکار کرده است؛ موضوعی که نشان‌دهنده‌ی یک مجموعه‌ی تهاجمی در حال تکامل و با هدف‌گیری بسیار دقیق است.

نکات کلیدی

  • دسترسی اولیه: مهندسی اجتماعی از طریق ایمیل‌های فیشینگ هدفمند که منجر به صفحات فیشینگ Firebase با CAPTCHAهای ریاضی می‌شود.

  • تحویل بدافزار: آلودگی چندمرحله‌ای با استفاده از دانلودکننده‌های VBS، آرشیوهای ZIP و بارهای ثانویه از زیرساخت تحت‌کنترل مهاجم.

  • مکانیزم‌های پایداری: استقرار NetBird و OpenSSH، ایجاد حساب‌های مدیر محلی مخفی، فعال‌سازی RDP و زمان‌بندی خودکار وظایف سیستمی.

  • تحول زیرساخت: تغییر از IP ‎۱۹۲.۳.۹۵.۱۵۲‎ به ‎۱۹۸.۴۶.۱۷۸.۱۳۵‎ و استفاده از مسیرهای میزبانی متفاوت (/job/ در مقابل /scan/) در پروژه‌های یکسان Firebase/WebApp.

  • انتساب: هم‌پوشانی در زیرساخت، تاکتیک‌ها، تکنیک‌ها و ابزارها با کارزارهای شناخته‌شده‌ی APT MuddyWater.

  • یافته‌های جدید: شناسایی چندین دامنه‌ی Firebase/WebApp مرتبط که از کیت‌های فیشینگ یکسان و منطق تغییرمسیر رمزگذاری‌شده با AES استفاده می‌کنند.

  • سوءاستفاده از ابزارهای قانونی: بهره‌برداری از NetBird و AteraAgent.exe برای دسترسی و نظارت از راه دور.

پیشینه

این تحقیق با مشاهده‌ی یک کارزار فیشینگ هدفمند آغاز شد که CFOها و مدیران مالی را در اروپا، آمریکای شمالی، آمریکای جنوبی، آفریقا و آسیا هدف قرار می‌داد. هدف اصلی، استقرار NetBird به‌عنوان یک ابزار قانونی دسترسی از راه دور برای ایجاد دسترسی پایدار به شبکه‌ها و سیستم‌های قربانی بود.

حمله با یک ایمیل مهندسی‌شده‌ی اجتماعی آغاز می‌شود که وانمود می‌کند از سوی یک استخدام‌کننده در شرکت Rothschild & Co ارسال شده است. این ایمیل قربانی را به صفحه‌ای در Firebase هدایت می‌کند که شامل CAPTCHA جعلی است. قربانیان با دانلود یک فایل ZIP و اجرای اسکریپت VBS فریب داده می‌شوند؛ اسکریپتی که NetBird و OpenSSH را نصب می‌کند، یک حساب مدیر مخفی می‌سازد و پروتکل RDP را فعال می‌سازد. در زمان تحلیل این حمله، هنوز انتساب قطعی به گروه خاصی انجام نشده بود.

Figure 1: Spear-Phishing Campaign Installing Netbird and Enabling Remote Access

کشف و تحقیق اولیه

تحلیل اولیه از IOC Hunter یک دامنه میزبانی‌شده بر روی Firebase به نام
googl-6c11f.firebaseapp[.]com را شناسایی کرد، که قربانیان را به صفحه‌ی فرود پیوند داده‌شده در ایمیل فیشینگ هدفمند هدایت می‌کند

Figure 2. Information related to IoCs from IOC Hunter that shows the Firebase Domain used as an initial attack vector

یک پرس‌و‌جو (Query) طراحی شد تا با استفاده از HuntSQL™ اطلاعات مرتبط با دامنه را در پایگاه دادهٔ خزندهٔ ما به دست آورد، همان‌طور که در زیر نشان داده شده است:

نتیجه نشان می‌دهد که یک URL بر روی دامنه “googl-6c11f.firebaseapp[.]com” وجود دارد که مسیری کمی متفاوت با آنچه در وبلاگ Trellix آمده دارد. این تفاوت در دایرکتوری (/scan/ در مقابل /job/) نشان می‌دهد که یا مکان‌های متعددی برای میزبانی بارهای مخرب در همان پروژه Firebase وجود دارد، یا این‌که عامل تهدید مسیرها را برای فرار از شناسایی تغییر داده است.

Reported URL:
hxxps://googl-6c11f.firebaseapp[.]com/job/file-846873865383.html

New URL:
https://googl-6c11f.firebaseapp[.]com/scan/file-846873865383.html

Figure 3. The HuntSQL™ query shows 1 unique result with a different path from the Trellix Blog

تحلیل ایستای صفحه یک دروازهٔ ریاضی (math gate) را آشکار می‌کند که CryptoJS (نسخه ۴.۱.۱) را بارگذاری کرده و از یک عبارت عبور (passphrase) ثابت (/71Elw->qJY@) برای رمزگشایی یک تغییر مسیر رمزگذاری‌شده با AES استفاده می‌کند. پس از دریافت پاسخ صحیح، اسکریپت تابع decryptAndRedirect() را فراخوانی کرده و کاربر را به مقصد تحت‌کنترل مهاجم هدایت می‌کند.

Decrypted URL:
https://googl-6c11f[.]web[.]app/scan/9867648797586_Scan_15052025-736574.html

Figure 4. Firebase webpage HTML body showing key and encrypted URL with CAPTCHA Implementation using HuntSQL™ crawler database

در وبلاگ مرجع، تغییر مسیر رمزگشایی‌شده به hxxps://googl-6c11f.web[.]app/job/9867648797586_Scan_15052025-736574.html منتهی می‌شد. با این حال، در تحقیق ما، پیوند رمزگشایی‌شده بار دیگر تفاوتی در مسیر نشان می‌دهد (/job/ در مقابل /scan/)؛ که این امر نشان می‌دهد عامل تهدید نه‌تنها مسیرهای میزبانی متعددی را در همان پروژه Firebase نگه داشته است، بلکه در web[.]app نیز چنین کرده است.

Decrypted URL:
hxxps://googl-6c11f.web.app/scan/9867648797586_Scan_15052025-736574.html

این همچنین نشان می‌دهد که طعمه‌ی میزبانی‌شده بر روی firebaseapp[.]com و web[.]app نسبت به مشاهده‌ی اولیه در وبلاگ تغییر کرده است

زیرساخت محوری (Pivoting Infrastructure)

برای گسترش تحقیقات خود، ما یک پرس‌وجو طراحی کردیم که هر URL مطابق با الگوی googl-* میزبانی‌شده در پلتفرم web.app را هدف قرار دهد، و آن را به‌گونه‌ای فیلتر کردیم که تنها پاسخ‌های فعال (HTTP 200) مشاهده‌شده پس از اول ژانویه ۲۰۲۵ بازگردانده شوند. این رویکرد با هدف آشکارسازی زیرساخت‌های فیشینگ اضافی که احتمالاً به کارزار مرتبط متصل هستند، طراحی شد.

این پرس‌وجو یک صفحهٔ وب منفرد را بازگرداند که بر روی http://googl-165a0[.]web[.]app. میزبانی شده بود و عنوانی با عبارت “Vérification Sécurisée – Google Drive” (که به «تأیید ایمن – Google Drive» ترجمه می‌شود) نشان می‌داد. این یک طعمهٔ فیشینگ است که افراد را وادار می‌کند فکر کنند گوگل از آنها می‌خواهد برای دلایل امنیتی وارد سیستم شوند یا چیزی را تأیید کنند.
Figure 5. A pivot to a similar domain pattern returns a webpage with the title

پس از شناسایی **http://googl-165a0[.]web[.]app تحلیل در VirusTotal امتیاز شناسایی ۸/۹۴ را نشان داد، که بیانگر آن است چندین فروشندهٔ امنیتی این دامنه را به‌عنوان مخرب علامت‌گذاری کرده‌اند.

Figure 6. Virus Total Score for googl-165a0[.]web[.]app reveals a malicious domain hosting related infrastructure

بررسی بیشتر مصنوعات مرتبط، دو فایل را آشکار کرد که به این زیرساخت پیوند خورده‌اند:


Figure 7. Two highly malicious files communicating and referring to the domain

صفحهٔ مخرب میزبانی‌شده در googl-165a0[.]web[.]app طراحی شده است تا از Google Drive جعل هویت کند. این صفحه از کاربر می‌خواهد که یک تأیید reCAPTCHA را تحت این بهانه تکمیل کند که نشان دهد او ربات نیست، پیش از آن‌که به یک فایل دسترسی یابد. این یک تاکتیک متداول مهندسی اجتماعی است که برای ایجاد حس مشروعیت و متقاعد کردن قربانیان به ادامهٔ کار مورد استفاده قرار می‌گیرد.

Figure 8. Fake Google Drive page prompting users to complete a reCAPTCHA to access the file

پس از گذراندن تأیید جعلی، قربانی به یک صفحهٔ جعلی دیگر از Google Drive هدایت می‌شود که فایلی با نام F-144822.PDF را نمایش می‌دهد. رابط کاربری از کاربر می‌خواهد بر روی “DOWNLOAD NOW” کلیک کند تا فایل را دریافت کند. با این حال، به جای یک فایل PDF، این دانلود یک آرشیو ZIP (F-144822.zip) را فعال می‌کند که حاوی محتوای مخرب است.
Figure 9. Malicious download page delivering a ZIP archive disguised as a PDF document
باز کردن آرشیو دانلودشدهٔ F-144822.zip یک فایل منفرد با نام F-144822.vbs را آشکار می‌کند. این فایل VBScript یک مکانیزم رایج برای تحویل بدافزار است که اغلب برای اجرای کد مخرب بر روی دستگاه قربانی، پس از باز شدن، استفاده می‌شود. مُهر زمانی (timestamp) موجود بر روی فایل نشان می‌دهد که این فایل در ۲۷ مه ۲۰۲۵ ایجاد شده است، که با خط زمانی کارزار مشاهده‌شده همخوانی دارد.

Figure 10. ZIP archive containing a malicious VBScript file (F-144822.vbs)

فایل F-144822.vbs استخراج‌شده شامل یک اسکریپت مخرب است که یک بار اضافی را از http://198.46.178[.]135/34564/cis.ico دانلود کرده، آن را به‌صورت محلی با نام C:\bin\cis.vbs ذخیره می‌کند و سپس آن را با سطوح دسترسی ارتقاءیافته در یک پنجرهٔ مخفی اجرا می‌نماید.

Figure 11. Malicious VBScript designed to fetch and execute a secondary payload from an external server

پس از اجرا، اسکریپت تلاش می‌کند یک URL ساختگی را در مرورگر پیش‌فرض قربانی باز کند (https://googl-165a0[.]web[.]app/file/1rkh3Y-1rJ_d3jg0BZao-pGA5hey6H-qS-error) و سپس یک صفحهٔ جعلی مرورگر نمایش می‌دهد تا قربانی را مشغول نگه دارد. این رفتار با منبع گزارش‌شده سازگار است، که یک فایل ZIP مشابه حاوی فایل .vbs را توصیف کرده بود.

Figure 12. Fake Error Page after execution of second-stage payload from ZIP file

دانلودر VBS مرحلهٔ دوم

اسکریپت دانلودشدهٔ cis.vbs ابتدا با استفاده از PowerShell در حالت مخفی، یک فایل اضافی با نام trm را از آدرس IP تحت کنترل مهاجم (۱۹۸.۴۶.۱۷۸[.]۱۳۵) بازیابی می‌کند. این فایل به trm.zip تغییر نام داده شده و در مسیر *C:\bin* استخراج می‌شود.

سپس اسکریپت، دو بستهٔ MSI (netbird.msi و OpenSSH.msi) را بدون نیاز به دخالت کاربر به‌صورت بی‌صدا نصب می‌کند. پس از نصب، سرویس‌های SSHD و Netbird را طوری پیکربندی می‌کند که به‌طور خودکار اجرا شوند و آنها را آغاز می‌نماید. یک توقف عمدی ۶۰ ثانیه‌ای در نظر گرفته شده است، احتمالاً برای اطمینان از اینکه سرویس‌ها کاملاً عملیاتی شده‌اند پیش از آنکه مرحلهٔ بعدی ادامه یابد.

Figure 13. Downloads and extracts malicious components, installs Netbird and OpenSSH silently, and configures them to run automatically

پس از راه‌اندازی سرویس‌ها، اسکریپت، Netbird را با یک کلید نصب از پیش تعیین‌شده در یک نشست PowerShell مخفی و غیرمدیریتی اجرا می‌کند و یک کانال امن برای دسترسی از راه دور برقرار می‌سازد. سپس یک حساب کاربری جدید با نام user و گذرواژهٔ Bs@202122 ایجاد کرده، آن را به هر دو گروه Administrators و Administrateurs اضافه می‌کند و با تغییر در رجیستری آن را از صفحهٔ ورود ویندوز پنهان می‌سازد. همچنین انقضای گذرواژه برای این حساب غیرفعال می‌شود تا دسترسی پایدار تضمین گردد.

علاوه بر این، اسکریپت پروتکل دسکتاپ راه دور (RDP) را فعال کرده، تنظیمات فایروال را برای اجازهٔ اتصال‌های RDP تغییر می‌دهد و سرویس RDP را طوری پیکربندی می‌کند که به‌طور خودکار اجرا شود. این اقدامات عملاً یک بردار مدیریت از راه دور دیگر را برای مهاجم باز می‌کند.

Figure 14. Deploys Netbird tunnel, creates a hidden admin account, disables password expiry, and enables Remote Desktop for remote access

پایداری و پاکسازی

در مرحلهٔ پایانی، اسکریپت اطمینان حاصل می‌کند که سرویس Netbird هنگام بوت سیستم با یک شروع خودکار تأخیردار فعال شود و یک وظیفهٔ زمان‌بندی‌شده ایجاد می‌کند تا این سرویس در هر بار راه‌اندازی سیستم مجدداً اجرا گردد و قابلیت اطمینان تضمین شود. همچنین یک وظیفهٔ زمان‌بندی‌شدهٔ دوم با نام ForceNetbirdRestart ثبت می‌کند که به‌طور خاص Netbird را یک دقیقه پس از بوت دوباره راه‌اندازی می‌نماید و به این ترتیب، پایداری بیشتری را تضمین می‌کند.

برای کاهش احتمال شناسایی توسط قربانی، اسکریپت هرگونه میانبر Netbird را از دسکتاپ تمام کاربران حذف می‌کند و بدین‌ترتیب نرم‌افزار تازه نصب‌شده را از دید معمولی پنهان می‌سازد.

Figure 15. Adds persistence via scheduled Netbird restarts and removes desktop shortcuts to hide the backdoor tool

این جدول نشان‌دهندهٔ یک همپوشانی قوی میان فعالیت گزارش‌شده در وبلاگ Trellix و شکار فعلی است. در حالی‌که مسیر Firebase در مرحلهٔ صفر (Stage-0) متفاوت یا غایب است، مراحل بعدی کاملاً همسو هستند، از جمله نام‌های سرویس یکسان، اعتبارنامه‌های حساب کاربری مدیر، و همان کلید نصب Netbird.

تغییر زیرساخت از ۱۹۲.۳.۹۵.۱۵۲ به ۱۹۸.۴۶.۱۷۸.۱۳۵ نشان‌دهندهٔ یک میزبان C2 به‌روز‌شده است، اما ابزارها، ساختار بار مخرب (payload) و مکانیزم‌های پایداری همچنان ثابت مانده‌اند؛ که این امر بیانگر آن است که بازیگر تهدید یا زنجیرهٔ همان کارزار فعالیت کرده است.

محورهای اضافی

برای گسترش دامنهٔ شکار خود، ما یک رشتهٔ متمایز “Quel est le résultat de ${num1} + ${num2}” را از صفحهٔ موجود در
https://googl-6c11f.firebaseapp.com/scan/file-846873865383.html استخراج کردیم، به‌طور خاص متن چالش ریاضی به زبان فرانسوی.

این pivot دو دامنهٔ میزبانی‌شده بر روی Firebase و دو دامنهٔ دیگر بر روی web[.]app را آشکار کرد که همان الگوی math-gate در سمت کاربر را نشان می‌دهند:

  • http://cloud-ed980[.]firebaseapp[.]com/

  • http://cloud-ed980[.]web[.]app/

  • https://cloud-233f9[.]firebaseapp[.]com/

  • https://cloud-233f9[.]web[.]app/

استفادهٔ مداوم از کد مبهم‌سازی (obfuscation) یکسان در سراسر این دامنه‌ها نشان‌دهندهٔ زیرساخت مشترک یا استفاده از یک کیت فیشینگ مشترک است که در چندین پروژهٔ Firebase به‌کار گرفته شده است.

Figure 16. The pivot result shows 4 unique URLs having a similar pattern to the original domain using HuntSQL™

صفحهٔ موجود در https://cloud-233f9.firebaseapp[.]com همان الگوی طعمهٔ «تأیید انسانی» را دنبال می‌کند که در سایر سایت‌های فیشینگ میزبانی‌شده بر روی Firebase مشاهده شده است. این صفحه، یک چالش ریاضی به زبان فرانسوی را به کاربر ارائه می‌دهد قبل از آن‌که اجازهٔ ادامهٔ مسیر را بدهد.

کد جاوااسکریپتِ جاسازی‌شده شامل یک کلید AES سخت‌کد‌شده (‎wkjnmT+yiL7mjhnu) و یک متن رمز‌شدهٔ Base64 (‎j+5x9OdYaODpoC5P4yowJIOR+vFSfDu37it6KM++bcI=) است که در حالت AES-ECB با padding از نوع PKCS7 رمزگذاری شده است.

با ورود پاسخ صحیح، اسکریپت متن رمز را در سمت کاربر با استفاده از CryptoJS رمزگشایی می‌کند و دامنهٔ ‎www.my1cloudlive[.]com را به دست می‌آورد که سپس با پیشوند ‎http:// برای تغییر مسیر (redirection) مورد استفاده قرار می‌گیرد.

این پیاده‌سازی مبتنی بر ECB، برخلاف نوع AES salted مشاهده‌شده در طعمهٔ googl-6c11f، ایستا‌تر و به‌راحتی قابل شناسایی است. این موضوع نشان می‌دهد که یا با یک نسخهٔ متفاوت از همان کیت فیشینگ مواجه هستیم یا یک عامل تهدید در حال استفادهٔ مجدد از همان مفهوم math-gate در چندین پروژهٔ Firebase است.

Firebase webpage https://cloud-233f9.firebaseapp[.]com showing key and encrypted URL with CAPTCHA Implementation using HuntSQL™ crawler database

به‌طور مشابه، صفحهٔ وب در https://cloud-233f9.firebaseapp[.]com مشابه همان https://cloud-233f9.firebaseapp[.]com است.
صفحهٔ موجود در https://cloud-233f9[.]web[.]app یک نسخهٔ متفاوت از همان طعمهٔ فیشینگ میزبانی‌شده بر روی Firebase است که در cloud-233f9.firebaseapp.com مشاهده شد و یک چالش ریاضی به زبان فرانسوی را به‌عنوان یک مرحلهٔ جعلی «تأیید انسانی» ارائه می‌دهد.

کد جاوااسکریپت دوباره شامل یک کلید AES سخت‌کد‌شده (‎wkjnmT+yiL7mjhnu) و یک متن رمز Base64 (‎ZY01JycZiJ1f8ezXmyI6qKKx3U9IgzUQ8ZqJvrf6bYo=) است که با حالت AES-ECB و padding از نوع PKCS7 توسط CryptoJS رمزگذاری شده است.

حل این چالش منجر به رمزگشایی در سمت کاربر می‌شود و دامنهٔ ‎www.my2cloudlive[.]com را تولید می‌کند که سپس با پیشوند ‎http:// برای تغییر مسیر (redirection) استفاده می‌گردد.

Figure 18. Firebase webpage https://cloud-233f9.firebaseapp[.]com showing key and encrypted URL with CAPTCHA Implementation using HuntSQL™ crawler database

سایت https://cloud-ed980[.]web[.]app از همان قالب فیشینگ «دروازهٔ ریاضی (math-gate)» استفاده می‌کند، اما با یک پیاده‌سازی اندکی تغییر یافته از AES. این سایت از کاربر می‌خواهد یک مسئلهٔ جمع ساده به زبان فرانسوی را حل کند، پیش از آنکه عملیات رمزگشایی سمت کاربر را با استفاده از یک عبارت‌عبور (passphrase) سخت‌کد‌شده ‎(w&}nmT+y_L7{}) اجرا کند.
برخلاف نسخه‌های دیگر، متن رمز (‎U2FsdGVkX18dfV4LiKxV3fpr3HUo715Eo6kjlc4vnhoKrMfV07edGCowOm2sKjgB) در قالب “Salted__” مربوط به OpenSSL قرار دارد که نشان‌دهندهٔ استفاده از مشتق‌سازی کلید بر مبنای رمز عبور است و نه حالت خام ECB. پس از ورود صحیح پاسخ، اسکریپت متن رمز را رمزگشایی کرده و قربانی را به‌طور مستقیم به نشانی اینترنتی آشکار (plaintext URL) https://web-16fe[.]app که در کیت مخرب تعبیه شده است، هدایت می‌کند.

دامنهٔ cloud-ed980[.]firebaseapp[.]com که ما در جریان شکار شناسایی کردیم، در وبلاگ نیز به‌عنوان میزبان همان مکانیزم CAPTCHA و تغییر مسیر به web-16fe[.]app ذکر شده بود.

نسبت‌دهی و هم‌پوشانی‌ها

در جریان تحلیل زیرساخت گزارش‌شده، نشانی IP 192[.]3.95.152 به‌عنوان یک منبع برای دریافت نمونه‌ها شناسایی شد. مقایسهٔ متقابل با فیدهای اطلاعات تهدید Maltrail نشان داد که همین IP پیش‌تر با فعالیت‌های گروه APT MuddyWater مرتبط بوده است و این موضوع نسبت‌دهی به این عامل تهدید را تقویت می‌کند. این هم‌پوشانی در زیرساخت نشان‌دهندهٔ آن است که یا منابع مشترک به‌کار گرفته شده یا به‌طور مستقیم توسط عاملان MuddyWater مجدداً استفاده گردیده است.

نشانی IP 192[.]3.95.152 که توسط HostPapa در بوفالو، نیویورک (ASN: AS36352) میزبانی می‌شود، در پلتفرم Hunt.io نیز به‌عنوان مشکوک علامت‌گذاری شده است.

Figure 19.

جزئیات نشان می‌دهد که سرور در حال اجرای سرویسی بر روی پورت ۳۳۳۳ است که به‌عنوان Gophish شناسایی شده است؛ یک جعبه‌ابزار متن‌باز فیشینگ که اغلب توسط مهاجمان برای مدیریت عملیات فیشینگ در مقیاس وسیع مورد سوءاستفاده قرار می‌گیرد. رکوردهای Hunt.io نشان می‌دهد که این زیرساخت برای نخستین بار در ۳۰ مارس ۲۰۲۴ مشاهده شده و تا ۱۰ اکتبر ۲۰۲۴ همچنان فعال بوده است، که نقش مداوم آن را در کارزارهای مخرب برجسته می‌سازد.

برای تقویت بیشتر این ارتباط، شرکت StrikeReady در توییتر دربارهٔ یک دایرکتوری باز بر روی دامنه my-sharepoint-inc[.]com اطلاع‌رسانی کرده است، که ویژگی‌های زیرساختی مشابه با IP 192[.]3.95.152 دارد. این دامنه مسیرهایی شامل /cloudshare/atr/ را افشا کرده است که با همان ساختار دایرکتوری مشاهده‌شده در وبلاگ Trellix همخوانی دارد:

  • hxxp://192[.]3.95.152/cloudshare/atr/pull.pdf

  • hxxp://192[.]3.95.152/cloudshare/atr/trm

با استفاده از پلتفرم Hunt.io، دامنهٔ my-sharepoint-inc[.]com به‌عنوان میزبان فعالیت فیشینگ علامت‌گذاری شد. این دامنه برای نخستین و آخرین بار در ۳۱ مارس ۲۰۲۴ مشاهده شده است و به‌احتمال زیاد با جعل هویت خدمات Microsoft SharePoint برای فریب قربانیان به‌کار رفته است.

Figure 20. [Hunt.io](http://hunt.io) shows

دامنهٔ my-sharepoint-inc[.]com و مسیرهای مشابه آن با /cloudshare/atr/ نیز از طریق پایگاه دادهٔ URLهای Hunt.io تأیید شدند؛ این پایگاه شامل چندین رکورد از ارائهٔ همین ساختار دایرکتوری از این دامنه بود. این تأیید مستقل داده‌ها وزن بیشتری به ارتباط موجود می‌بخشد و نشان می‌دهد که مسیرهای مشاهده‌شده مصنوعات جداگانه نیستند، بلکه بخشی از یک زیرساخت منسجم و یکپارچه محسوب می‌شوند.

Figure 21.

دامنهٔ my-sharepoint-inc[.]com میزبان سه اسکریپت VBS دراپر بوده است (CERT_LOCT_C3860_012025.vbs، ATTESTATION_LETPOLC3860_13891333.vbs و VIN_SELECTION_C3860_102024.vbs). هر سه این اسکریپت‌ها، فایل AteraAgent.exe را که یک ابزار قانونی نظارت از راه دور است، مستقر کرده‌اند؛ ابزاری که در عملیات گذشته توسط MuddyWater برای ایجاد پایداری (Persistence) و کنترل از راه دور مورد سوءاستفاده قرار گرفته است.

این کمپین شباهت زیادی به شکار فعلی ما دارد؛ به‌طوری که زیرساخت، مکانیزم‌های تحویل بدافزار (Payload Delivery Mechanisms) و همچنین تاکتیک‌ها، تکنیک‌ها و رویه‌ها (TTPs) به‌طور کامل با آنچه در این گزارش مستند شده، هم‌راستا هستند.

با ترکیب یافته‌های وبلاگ Trellix، ارتباط APT MuddyWater در Maltrail، توییت StrikeReady دربارهٔ دایرکتوری باز، و تحلیل دامنهٔ my-sharepoint-inc[.]com، همپوشانی‌ها پایه‌ای قوی برای نسبت دادن این فعالیت به عاملان MuddyWater فراهم می‌سازد.

راهبردهای کاهش تهدید

  • به‌طور پیش‌دستانه، آدرس‌های IP و دامنه‌های مرتبط با این کارزار (مانند ۱۹۲[.]۳.۹۵.۱۵۲، my-sharepoint-inc[.]com و URLهای مرتبط با Firebase/Web App) را در محیط شبکه و فایروال‌های نقاط پایانی مسدود کنید.

  • ابزارهای قانونی مانند AteraAgent و Netbird را حسابرسی و محدود نمایید؛ همچنین فهرست مجاز اپلیکیشن‌ها (Application Allowlisting) را برای جلوگیری از نصب‌های غیرمجاز پیاده‌سازی کنید.

  • تشخیص پیشرفتهٔ فیشینگ و Sandboxing را فعال کنید تا دانلودرهای VBS، آرشیوهای ZIP و URLهای مخرب پیش از رسیدن به کاربر مسدود شوند.

  • شناسایی‌هایی برای اجرای اسکریپت‌های VBS از دایرکتوری‌های موقت، ایجاد حساب‌های مشکوک مدیر محلی و ایجاد سرویس Netbird با استفاده از قوانین EDR/SIEM مستقر کنید.

نقشه‌برداری فعال زیرساخت مهاجم همچنان یکی از مؤثرترین روش‌ها برای شناسایی و متوقف‌کردن چنین تهدیداتی پیش از تشدید آنها است.

نتیجه‌گیری

کارزاری که در این تحقیق به تفصیل بررسی شد، نشان‌دهندهٔ یک عامل تهدید سازمان‌یافته و پایدار است که احتمالاً با APT MuddyWater مرتبط می‌باشد و مدیران مالی برجسته را با ترکیبی از طعمه‌های فیشینگ پیچیده، تحویل بارهای چندمرحله‌ای، و سوءاستفاده از ابزارهای قانونی دسترسی از راه دور هدف قرار داده است.

Pivotهای زیرساختی، مسیرهای در حال تکامل بارها، و استفادهٔ مداوم از مصنوعات متمایز یک مهاجم خلاق را برجسته می‌کند که به‌سرعت برای حفظ توان عملیاتی سازگار می‌شود.

با همبستگی یافته‌های به‌دست‌آمده از داده‌های HuntSQL™ با اطلاعات تهدید عمومی، ما همپوشانی‌های قابل توجهی را آشکار کردیم که نسبت‌دهی را تقویت کرده و دامنهٔ گسترده‌تر کارزار را نمایان ساخت.

نقشه‌برداری پیش‌دستانهٔ زیرساخت همراه با قوانین شناسایی هدفمند برای مکانیزم‌های پایداری خاص و سوءاستفاده از نرم‌افزارهای قانونی مشاهده‌شده در این تحقیق، همچنان برای مختل کردن چنین عملیات‌هایی پیش از رسیدن به مرحلهٔ استخراج داده یا نفوذ بلندمدت حیاتی است.

جدول شاخص‌های نفوذ (IOCs) مربوط به APT MuddyWater

نوع (Type) مقدار (Value) توضیحات / زمینه (Description / Context)
Domain googl-6c11f.firebaseapp[.]com صفحهٔ فیشینگ مرحله‌۰ (طعمه CAPTCHA)
Domain googl-6c11f.web[.]app تغییر مسیر پس از CAPTCHA
Domain googl-165a0.web[.]app صفحهٔ جعلی Google Drive برای تحویل ZIP مخرب
Domain cloud-ed980.firebaseapp[.]com طعمهٔ فیشینگ math-gate، تغییر مسیر به سایت مخرب
Domain cloud-ed980.web[.]app نسخهٔ متفاوت math-gate با تغییر مسیر رمزگذاری‌شده AES
Domain cloud-233f9.firebaseapp[.]com طعمهٔ فیشینگ math-gate، تغییر مسیر به دامنهٔ مخرب
Domain cloud-233f9.web[.]app نسخهٔ متفاوت math-gate
Domain my1cloudlive[.]com مقصد تغییر مسیر رمزگشایی‌شده از کیت فیشینگ math-gate
Domain my2cloudlive[.]com مقصد تغییر مسیر رمزگشایی‌شده از کیت فیشینگ math-gate
Domain web-16fe[.]app مقصد تغییر مسیر از طعمهٔ cloud-ed980
Domain my-sharepoint-inc[.]com میزبان اسکریپت‌های VBS دراپر، مرتبط با زیرساخت MuddyWater
IP Address ۱۹۲[.]۳.۹۵.۱۵۲ میزبان بارهای مرحله‌۱ و ۲ (طبق وبلاگ Trellix)
IP Address ۱۹۸.۴۶.۱۷۸[.]۱۳۵ زیرساخت C2 به‌روزشده، میزبان cis.ico و trm.zip
URL hxxp://192[.]3[.]95[.]152/cloudshare/atr/pull.pdf بار مرحله‌۱ (طعمه PDF)
URL hxxp://192[.]3[.]95[.]152/cloudshare/atr/trm بار مرحله‌۲
URL http://198.46.178[.]135/34564/cis.ico بار مرحله‌۱ در شکار فعلی
URL http://198.46.178[.]135/34564/files/001 بار مرحله‌۲ در شکار فعلی
File Name Rothschild_&_Co-6745763.zip فایل ZIP مخرب شامل VBS (طبق وبلاگ Trellix)
File Name F-144822.zip فایل ZIP مخرب، جا زده‌شده به‌عنوان PDF
File Name F-144822.vbs بار مرحله‌۱ (VBS)
File Name cis.vbs بار مرحله‌۲ (نصب NetBird و OpenSSH)
File Name CERT_LOCT_C3860_012025.vbs دراپر VBS مستقرکنندهٔ AteraAgent.exe
File Name ATTESTATION_LETPOLC3860_13891333.vbs دراپر VBS مستقرکنندهٔ AteraAgent.exe
File Name VIN_SELECTION_C3860_102024.vbs دراپر VBS مستقرکنندهٔ AteraAgent.exe
Hash (MD5) 23dda825f91be93f5de415886f17ad4a F-144822.zip
Hash (MD5) 5325de5231458543349152f0ea1cc3df F-144822.vbs
Hash (MD5) 0aa883cd659ef9957fded2516b70c341 cis.vbs
Hash (MD5) 7ddc947ce8999c8a4a36ac170dcd7505 CERT_LOCT_C3860_012025.vbs
Hash (MD5) 2cddc7a31ea289e8c1e5469f094e975a ATTESTATION_LETPOLC3860_13891333.vbs
Hash (MD5) f359f20dbd4b1cb578d521052a1b0e9f VIN_SELECTION_C3860_102024.vbs
Credential user / Bs@202122 حساب مدیر محلی مخفی ایجادشده توسط مهاجم
NetBird Setup Key E48E4A70-4CF4-4A77-946B-C8E50A60855A کلید از پیش پیکربندی‌شدهٔ تونل NetBird در کارزار

 

نوشته قبلی

حملات سایبری منتسب به دولت روسیه علیه زیرساخت‌های حیاتی؛ هشدار رسمی FBI

نوشته بعدی

هشدار امنیتی مهم درباره پیامک‌های جعلی به نام Binance

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *