هشدارهای امنیتی پادویش

افشای کدهای بدافزار CodeRAT از سوی هکر ایرانی

CodeRAT

سورس کد یک تروجان دسترسی از راه دور با نام CodeRAT، پس از هشدار تحلیلگران بدافزار به توسعه دهنده درباره حملاتی که از این ابزار استفاده می‌کنند، از GitHub به بیرون درز کرد.

به گزارش شرکت امنیت سایبری SafeBreach، این عملیات مخرب که به نظر می‌رسد از ایران سرچشمه می‌گیرد، توسعه دهندگان نرم افزار فارسی زبان را با یک سند Word که شامل یک اکسپلویت Dynamic Data Exchange (DDE) مایکروسافت است، هدف قرار می‌دهد.

پس از باز شدن فایل Word، اکسپلویت اجرا و تروجان CodeRAT از مخزن GitHub هکر دانلود و اجرا می‌شود که به اپراتور راه دور امکان بهره‌مندی از طیف وسیعی از قابلیت‌های مخرب را می‌دهد.

قابلیت‌های مخرب CodeRAT

CodeRAT از حدود ۵۰ دستور پشتیبانی می‌کند و دارای قابلیت‌های نظارتی گسترده‌ای است که ایمیل، اسناد مایکروسافت آفیس، پایگاه‌های داده، پلتفرم‌های شبکه‌های اجتماعی، محیط توسعه یکپارچه (IDE) و حتی وب سایت‌هایی مانند پی پال را هدف می‌گیرد.

همچنین، از پنجره ابزارهایی مانند Visual Studio ،Python ،PhpStorm و Verilog -زبان توصیف سخت افزاری برای مدل سازی سیستم‌های الکترونیکی – جاسوسی می‌کند.

به جای استفاده از زیرساخت‌های رایج‌تر سرور فرماندهی و کنترل(C&C)، CodeRAT برای برقراری ارتباط با اپراتور خود و استخراج داده‌های سرقت شده از مکانیزم مبتنی بر تلگرام استفاده می‌کند و بر یک API آپلود فایل ناشناس عمومی متکی است.

از زمان برقراری ارتباط محققان با توسعه دهنده بدافزار، کمپین به طور ناگهانی متوقف شد، اما از آنجایی که سورس کد CodeRAT به صورت عمومی منتشر شده است، احتمالا گسترش بیشتری پیدا خواهد کرد.

جزئیات بیشتر درباره CodeRAT

دستوراتی که بدافزار  پشتیبانی می‌کند شامل موارد زیر است:

  • گرفتن اسکرین شات
  • کپی محتوای کلیپ بورد
  • دریافت لیستی از فرآیندهای در حال اجرا
  • خاتمه فرآیندها
  • بررسی استفاده از GPU
  • دانلود، آپلود، حذف فایل‌ها و اجرای برنامه‌ها

مهاجم دستورات را از طریق یک ابزار UI تولید می‌کند که آنها را ساخته و obfuscate می‌کند و سپس از یکی از سه روش زیر برای انتقال آنها به بدافزار استفاده می‌کند:

  • API بات تلگرام با پروکسی (بدون درخواست مستقیم)
  • حالت دستی (شامل گزینه USB)
  • دستورات محلی ذخیره شده در پوشه “myPictures”

از این سه روش می‌توان برای استخراج داده‌ها از فایل‌های منفرد، کل پوشه‌ها یا فایل‌هایی با پسوند خاص استفاده کرد.

اگر در کشور قربانی تلگرام فیلتر شده باشد، CodeRAT یک عملکرد ضد فیلتر ارائه و یک کانال مسیریابی درخواست جداگانه ایجاد می‌کند که به دور زدن فیلتر کمک کند.

علاوه بر این، کارشناسان SafeBreach ادعا می‌کنند که این بدافزار می‌تواند در فاصله زمانی راه اندازی مجدد، بدون ایجاد هیچ تغییری در رجیستری ویندوز باقی بماند، اما هیچ جزئیاتی در مورد این ویژگی ارائه ندادند.

CodeRAT دارای قابلیت‌های قدرتمندی است که احتمالاً مجرمان سایبری دیگر را جذب می‌کند. چرا که توسعه دهندگان بدافزار همواره به دنبال کدهای بدافزاری هستند که بتوانند به راحتی یک «محصول» جدید تولید کنند و سود خود را افزایش دهند.

مطالب مرتبط

Security Alert

مراقب کمپین فیشینگ “کالا برگ” باشید!

درب پشتی در کتابخانه XZ

متن‌باز بودن دلیلی بر امن بودن نیست! کشف درب‌پشتی در کتابخانه متن‌باز محبوب کاربران لینوکس

‫‏‫افزایش چشمگیر حملات به سرورهای MSSQL