نسخه‌ی جدیدی از یک بدافزارِ تهدید پیشرفته در حال حاضر کشورهای شرق میانه، آسیای مرکزی، آفریقا و آمریکا را هدف قرار داده است. نسخه‌ی اولیه‌ی این بدافزار چند سال پیش کشف شده بود.

این بدافزار با نام MM Core در فروردین ماه سال ۹۲ کشف شد و آن زمان محققان امنیتی فایرآی اشاره کردند که این بدافزار دارای ویژگی‌های جالبی است. این بدافزار تلاش می‌کند از ماشین آلوده اطلاعاتی را جمع‌آوری کرده و برای دسترسی از راه دور، بر روی آن دربِ پشتی نصب کند.

اولین نسخه از این تهدید با برچسب ۲.۰-LNK و نام BaneChant، سازمان‌هایی در شرق میانه و آسیای مرکزی را هدف قرار داده بود. بدافزار BaneChant توجه محققان امنیتی را به خود جلب کرد چرا که برای شروع فعالیت خود منتظر چند کلیک موشواره می‌ماند و با این کار سعی داشت محیط‌های جعبه شنی را دور بزند. 

محققان امنیتی کشف کردند که این بدافزار برای جلوگیری از قرار گرفتن آدرس کارگزار دستور و کنترل در فهرست سیاه از سرویس‌های کوتاه‌کننده‌ی URL استفاده می‌کند. همچنین این بدافزار کد مخرب را به‌طور مستقیم در حافظه بارگیری کرده و از بارگیری آن بر روی دیسک سخت خودداری می‌کند تا از این طریق محققان نتوانند اطلاعاتی را از روی دیسک سخت بدست بیاورند.

در خرداد ماه سال ۹۲، محققان امنیتی نسخه‌ی جدیدی از بدافزار MM Core را کشف کردند. برچسب این بدافزار ۲.۱-LNK بوده و StrangeLove نام داشت. عملکردهای نسخه‌ی جدید بدافزار با نسخه‌ی قبلی یکسان بود ولی توسعه‌دهندگان در نسخه‌ی جدید، برخی تغییرات را در بارگیری‌کننده‌ی آن اعمال کرده بودند. این نسخه نیز افرادی در شرق میانه را هدف قرار داده بود.

محققان امنیتی اخیراً دو نسخه‌ی جدید از این بدافزار را شناسایی کرده‌اند:

•  نسخه‌ی BigBoss با برچسب ۲.۲-LNK

•  نسخه‌ی SillyGoose با برچسب ۲.۳-LNK

هر دو نسخه در حال حاضر توسط مهاجمان مورد استفاده قرار می‌گیرد. نسخه‌ی BigBoss از اواسط سال ۲۰۱۵ وجود داشته و SillyGoose نیز از شهریور ماه امسال بر روی سامانه‌های قربانیان توزیع می‌شود.

در نسخه‌ی جدید بدافزار، همان دربِ پشتی که در BaneChant و StrangeLove مورد استفاده قرار می‌گرفت، وجود دارد ولی نام آن‌ها متفاوت است. یکی دیگر از تفاوت‌ها مربوط به مؤلفه‌ی بارگیری‌کننده است. در نسخه‌ی جدید از یک آسیب‌پذیری مایکروسافت ورد با شناسه‌ی CVE-۲۰۱۵-۱۶۴۱ برای استخراج بدافزار بهره‌برداری می‌شود. در نسخه‌ی اولیه‌ی بدافزار از آسیب‌پذیری CVE ۲۰۱۲-۰۱۵۸ بهره‌برداری می‌شد. 

محققان اشاره کردند برخی از مؤلفه‌های بارگیری‌کننده توسط یک گواهی‌نامه‌ی دیجیتال معتبر امضاء شده‌اند. این امضاءها برای یک شرکت روسی با نام Bor Port صادر شده است. محققان امنیتی معتقدند مهاجمان سایبری این گواهی‌نامه‌ها را به سرقت برده‌اند چرا که بعید است این شرکت یک بدافزار را با گواهی‌نامه‌های خود امضاء کند.

برای جلوگیری از ردیابی بدافزار توسط محققان امنیتی، مهاجمان از سرویس محافظت از حریم خصوصی WHOIS بهره‌ برده‌اند تا دامنه‌های دستور و کنترل آن‌ها قابل شناسایی نباشد.

محققان اشاره کردند با وجود اینکه تعداد نمونه‌های بدافزار MM Core برای تحلیل بسیار کم است ولی آن‌ها متوجه شدند که زیرساخت، فناوری و کد اشتراکی مؤلفه‌ی بارگیری‌کننده، متعلق به پروژه‌ی Gratem است. Gratem یک بارگیری‌کننده‌ی بسیار قوی است که از سال ۲۰۱۴ در دسترس قرار گرفته است. در نمونه‌های اخیر این بدافزار مشاهده شده که همگی از گواهی‌نامه‌های یکسانی استفاده می‌کنند. محققان حدس می‌زنند بدافزار MM Core بخشی از یک تهدید بزرگ است که هنوز تمامی بخش‌های آن کشف نشده است.

منبع : asis

گردآوری و انتشار : آنتی ویروس دکتر وب