استفاده از LINE در حملات هکری هدفمند

LINE، برنامه‌ کاربردی محبوب پیام‌رسانی تلفن همراه، به عنوان طعمه برای حمله‌‌ای هدفمند به دولت تایوان مورد استفاده قرار گرفت.

به گزارش پایگاه اطلاع رسانی پایداری ملی به نقل از آی تی اس ان, LINE برنامه‌ای کاربردی است که قابلیت برقراری تماس‌های رایگان و ارسال پیام را فراهم می‌آورد و در کشور‌هایی چون تایوان، ژاپن، اندونزی، هند، ایالات متحده، مکزیک و کلمبیا مورد استفاده قرار گرفته است. گزارشات حاکی از آن است که این برنامه‌ی کاربردی تا سال ۲۰۱۴ دارای بیش از ۴۹۰ میلیون کاربر بوده است. تعداد کاربران LINE در کشور تایوان به ۱۷ میلیون در همان سال می‌رسد. در اثبات محبوبیت این برنامه‌ی کاربردی می‌توان به استفاده از آن برای اهداف ارتباطی در دفاتر به گفته‌ی مقامات دولتی اشاره کرد.

چرخه‌ی حمله

قربانیان در نظر گرفته شده برای حمله، یک پست الکترونیک spear-phishing دریافت کردند که از LINE به عنوان سوژه استفاده می‌کند و حاوی یک پرونده پیوست با فرمت .ZIP و با نام add_line.zip است. در این پست الکترونیک وانمود شده است که این پست از سوی منشی یک شخصیت سیاسی ارسال شده است که در آن از دریافت‌کنندگان (در یک اداره دولتی در تایوان) درخواست شده که اطلاعات کاربری خود را برای پیوستن به یک گروه خاص در LINE ارائه دهند. هنگامی که کاربران پرونده .ZIP را باز کنند، شامل یک پرونده‌ی اجرایی (add_line.exe) خواهد بود که Trend Micro را به عنوان BKDR_MOCELPA.ZTCD-A شناسایی‌ می‌کند.

بر اساس تجزیه و تحلیل، این تروجان از درگاه ۴۴۳ که به HTTPS مرتبط است استفاده می‌کند. اطلاعاتی که این تروجان استخراج می‌کند در مقایسه با سایر تروجان‌ها که اطلاعاتی مانند نام میزبان، نسخه‌ی سامانه‌ی عامل و دامنه در میان دیگران را به سرقت می‌برند؛ تنها آدرس MAC می‌باشد. حدس ما این است که در پس شناسایی آدرس MAC مهاجمان قصد دارند تا دستگاه را شناسایی کنند. زمانی که کارگزار فرمان دهی و کنترل پاسخ می‌دهد، در آن زمان است که بد‌افزار آدرس MAC سامانه‌ی آلوده شده را ارسال می‌نماید.

این تروجان در ابتدا به منظور اطلاع‌رسانی کارگزار فرمان دهی و کنترل از این بابت که از طریق یک ترافیک HTTPS معتبر اما Hardcode «متصل» یا «زنده» است، پیامی را به این کارگزار ارسال می‌نماید. نظارت ما هیچ‌گونه فعالیتی را از سوی کارگزار فرمان دهی و کنترل (با آدرس آی‌پی: ۲۰۰٫۸۷٫۴۸٫۴) نشان نداد. این احتمال وجود دارد که کارگزار فرمان دهی و کنترل از زمانی که IP مجاز بوده، در معرض خطر قرار گرفته باشد.

ما شاهد بودیم که BKDR_MOCELPA.ZTCD-A هیچ‌گونه رجیستری یا کد تزریقی روی سامانه‌ی آلوده شده ایجاد نکرد و تنها ارتباطات SSL را درگیر کرد. شاید به این دلیل که از هرگونه راه‌حل امنیتی مانند علامت‌گذاری پرونده‌های مشکوک جلوگیری کند. ما همچنین دریافته‌ایم که این بد‌افزار‌ها از "byte string”، یک نوع روش ساخت رشته که در آن حروف یک به یک در حافظه جای می‌گیرند نیز استفاده می‌کند. ما روشی مشابه با این روش را نیز توسط دو ابزار مخوف کنترل از راه دور به نام‌های Gh0st RAT و IXESHE مشاهده نمودیم.

اتصالات Taidoor

تحقیقات بیشتر در این زمینه نشان می‌دهد که این حمله مشکوک به اتصال به Taidoor می‌باشد؛ زیرا در این صورت از رمز‌گذاری یکسان برای پنهان کردن ترافیک شبکه استفاده می‌کند.

Taidoor یک عملیات مخرب است، در واقع پرونده-هایی با فرمت .DOC که یک سند مجاز را نشان می-دهند در‌حالی‌که محموله‌ای از بدا‌فزار‌های مخرب را در پس‌زمینه اجرا می‌نمایند. یک نمونه خاص که مورد سوء استفاده قرار گرفت، CVE-2012-0158 بود؛ یک آسیب‌پذیری در پنجره کنترل فرمان. این عملیات مخرب پیمانکاران دفاع آمریکا و همچنین شرکت‌های ژاپنی را هدف قرار داد. Trend Micro بد‌افزار‌های Taidoor را به عنوان گونه‌های متفاوت BKDR_SIMBOT شناسایی می‌کند. در سال ۲۰۱۴، Taidoor از طریق دو حمله‌ی روز-صفرم و با هدف قرار دادن آسیب‌پذیری CVE-2014-1761، به سازمان‌های دولتی و یک مؤسسه آموزشی در تایوان ضربه زد.

Consumerization و حملات هدفمند

شیوع Consumerization و آوردن فرهنگ «آوردن دستگاه خود» (BYOD) به شرکت‌ها مزایایی چون کاهش هزینه ها و افزایش بهره‌وری را در پی دارد. اما زمانی که کارمندان از دستگاه تلفن همراه شخصی خود و برنامه‌های کاربردی آن مانند برنامه‌های پیام‌رسانی و یادداشت برداری استفاده می‌کنند، موجب خطراتی را برای اطلاعات شرکت می‌شوند. امنیت، چالشی است که در پیاده‌سازی BYOD و Consumerization در محیط شرکت‌ها به آن پرداخته نشده است. در این حمله خاص، بازیگران تهدید می‌دانستند که اهداف حمله‌ی آنان به منظور کسب و کار از LINE استفاده می‌کنند، بنابراین از این برنامه‌ی کاربردی تلفن همراه به عنوان اهرم فریب مهندسی اجتماعی استفاده کردند.

محافظت از شبکه خود

Trend Micro از سازمان‌ها در برابر این تهدید خاص با به کار‌گیری راه‌حل‌های نقطه پایانی از مجموعه حفاظت هوشمند، محافظت می‌نماید. این راه‌حل‌ها اهرم نظارت بر رفتار هستند که برای شناسایی این نوع تهدید به کار می‌روند. نقطه پایانی و امنیت تلفن همراه در مجموعه حفاظت هوشمند، از نقطه پایانی و امنیت تلفن همراه محافظت می‌نماید؛ در‌حالی‌که مؤلفه امنیت پست الکترونیک تمام پست‌های الکترونیکی مخرب را از ورود به صندوق ورودی کاربر بازمی‌دارد. در گزارش سالانه‌ی ما درباره حملات هدفمند در سال ۲۰۱۴ ، ما شاهد پیشرفت و بهبود روز‌افزون در تاکتیک‌ها، روش‌ها و رویه‌های مرتبط با حملات پیش‌رفته‌ی مداوم بودیم. عملیاتی که ما به بررسی آن پرداختیم نشان داد که به شرکت‌ها و سازمان‌های بزرگی نیاز است که بیش از هر زمان خود را با خطرات ناشی از حملات هدفمند تطبیق دهند.

سازمان‌ها می‌توانند برای رسیدگی به حملات هدفمند از راه‌حل‌هایی فرای نقطه پایانی استفاده کنند. Trend Micro Custom Defense یک خانواده از راه‌حل‌های امنیتی است که شما را قادر می‌سازد تا حملات هدفمند و پیشرفته را پیش از خسارات نهایی، به سرعت شناسایی و تجزیه و تحلیل کرده و به آن‌ها پاسخ دهید. Custom Defense با افزایش خدمات حفاظتی به سازمان‌ها این امکان را می‌دهد تا حملات هدفمند را شناسایی کرده و به آن پاسخ دهند، بر نقاط پایانی نظارت کرده و نیز حملات هدفمند به پست الکترونیک را متوقف نمایند.

گذشته از راهبرد custom defense که شامل شناسایی-تجزیه و تحلیل-پاسخ به حمله در چرخه زندگی به منظور کاهش و شکستن چرخه حمله است؛ به شرکت‌ها توصیه شده است تا اطلاعات تهدید خود را بنا سازند و یک تیم پاسخ به رخداد تشکیل دهند. در خلال این تلاش‌ها، مدیران فناوری اطلاعات قادر خواهند بود تا شاخص سازش (IoCs) را تعیین نموده و آن را در زمانی که شبکه را به منظور رؤیت هرگونه فعالیت مشکوک نظارت می‌نمایند به عنوان یک اساس به کار بگیرند. در این صورت می‌توان مانع از خروج اطلاعات در طی حملات شد.

در‌هم‌ساز زیر مربوط به این حمله است:

f5e016b847145c61f0643c0270973002c67d30a5 – شناسایی شده به عنوان (BKDR_MOCELPA.ZTCD-A) از طریق Virustotal در دسترس عموم است.

گزارش خطا