حمله PyXie RAT به موسسات آموزشی و درمانی

به گزارش پایداری ملی به نقل از افتانا، تروجان پیچیده مذکور که از آن با عنوان PyXie RAT یاد شده است دارای قابلیت‌های مخربی از جمله ثبت کلیدهای فشرده شده توسط کاربر (Keylogging)، سرقت اطلاعات احرازهویت (Credential)، ضبط ویدئو، استخراج فایل‌های موسوم به Cookie، اجرای حملات معروف به مرد میانی(Man-in-the-Middle) و نصب بدافزارهای دیگر بر روی دستگاه آلوده شده‌است. قابلیت‌های مخرب آن نیز تقریباً بر روی تمامی نسخ سیستم عامل Windows قابل اجرا گزارش شده‌است.

دلیل انتخاب نام PyXie RAT کامپایل شدن کد توسط بدافزار در قالب فایل pyx – بجای فایل pyc – عنوان شده‌است.

PyXie RAT حداقل از سال ۲۰۱۸ فعال بوده است. ویژگی‌ها و تکینک‌های استفاده شده در آن از صرف زمان و منابع فراوان برای توسعه آن حکایت دارد. ضمن اینکه مخفی ماندن طولانی‌مدت آن از دید شرکت‌های امنیتی نشانه‌ای از سطح بالای مبهم‌سازی (Obfuscation)، معدوم‌سازی ردپاهای آلودگی و حرفه‌ای بودن مهاجمان پشت پرده آن است.

PyXie RAT معمولاً از طریق تکنیک موسوم به Sideloading که در جریان آن از برنامه‌های مجاز برای آلوده‌سازی استفاده می‌شود بهره گرفته و فایل مخرب را نه به‌صورت یکجا که در چندین مرحله دریافت می‌کند. یکی از این برنامه‌ها که در گزارش Blackberry Cylance به آن اشاره شده نسخه‌ای تغییر یافته از یک بازی منبع باز (Open-source) با نام Tetris است که پس از دریافت شدن، به‌طور مخفیانه اقدام به نصب کد مخرب با استفاده از پروسه معتبر PowerShell برای ترفیع سطح دسترسی و ماندگار کردن خود بر روی ماشین می‌کند.

در مرحله بعدی، از بخشی از PyXie RAT که با عنوان Cobalt Mode در کد آن یاد شده برای برقراری ارتباط با سرور فرمان و کنترل (Command and Control) و دریافت کد نهایی استفاده‌می‌شود.

در این مرحله از دریافت، از قابلیت‌های Cobalt Strike که ابزاری معتبر و مورد استفاده در آزمون‌های نفوذ (Penetration Test) است برای نصب تروجان بهره گرفته‌می‌شود.

در دریافت‌کننده PyXie RAT شباهت‌هایی نیز با تروجان Shifu به چشم می‌خورد. به‌کارگیری ابزارهای معتبر و بدافزارهای دیگر یکی از روش های مورد استفاده مهاجمان حرفه‌ای برای مخفی کردن هویت و ملیت واقعی گردانندگان حملات است. برای مثال، در این مورد مشخص نیست که وجود شباهت با Shifu به معنای یکسان بودن توسعه‌دهندگان این تروجان و PyXie RAT است و یا گروهی دیگر اقدام به خدمت گرفتن Shifu در جریان آلوده‌سازی اهداف خود به PyXie RAT کرده‌است.

به‌محض نصب موفقیت‌آمیز PyXie RAT بر روی دستگاه هدف، مهاجمان قادر به کاوش اطلاعات در سیستم و اجرای فرامین موردنظر خود هستند. علاوه بر استفاده از آن برای سرقت نام‌های کاربری، گذرواژه‌ها و سایر اطلاعات بر روی سیستم، محققان اشاره کرده‌اند که در برخی مواقع از PyXie برای توزیع باج‌افزار در سطح شبکه استفاده شده است.

قابلیت‌های متعدد و متنوع این تروجان، مهاجمان آن را قادر می‌سازد تا بسته به ساختار و حوزه فعالیت شبکه قربانی، اهدافی متفاوت را دنبال کنند. توانایی انتشار باج‌افزار نیز می‌تواند بیانگر وجود انگیزه‌های مالی در مهاجمان باشد.

دامنه هدف، هویت و ملیت گردانندگان کارزار PyXie RAT گرچه هنوز کاملاً روشن نیست اما محققان به اجرای حمله بر ضد ۳۰ سازمان با صدها ماشین که فعالیت اکثر آن‌ها در حوزه‌های درمان یا آموزش بوده‌است، اشاره کرده‌اند.

علی‌رغم ساختار پیچیده این بدافزار، به‌کارگیری راهکارهای امنیتی معمول و اتخاذ سیاست‌های امنیتی شامل مقاوم‌سازی سیستم‌های عامل، به‌کارگیری راهکارهای مدیریت اصلاحیه‌های امنیتی، فناوری‌های حفاظت از نقاط پایانی، ممیزی، بررسی سوابق، پایش فعالیت نقاط پایانی و شبکه و رصد اصالت‌سنجی‌های مورد استفاده در ایمن نگاه داشتن سازمان‌ها از گزند این تهدیدات مؤثر دانسته شده‌است.