بر اساس گزارش شرکت Blackberry Cylance، مهاجمان در کارزاری پیچیده و پیشرفته در حال رخنه به مراکز درمانی و مؤسسات آموزشی و آلودهسازی آنها به یک تروجان مبتنی بر Python هستند.
به گزارش پایداری ملی به نقل از افتانا، تروجان پیچیده مذکور که از آن با عنوان PyXie RAT یاد شده است دارای قابلیتهای مخربی از جمله ثبت کلیدهای فشرده شده توسط کاربر (Keylogging)، سرقت اطلاعات احرازهویت (Credential)، ضبط ویدئو، استخراج فایلهای موسوم به Cookie، اجرای حملات معروف به مرد میانی(Man-in-the-Middle) و نصب بدافزارهای دیگر بر روی دستگاه آلوده شدهاست. قابلیتهای مخرب آن نیز تقریباً بر روی تمامی نسخ سیستم عامل Windows قابل اجرا گزارش شدهاست.
دلیل انتخاب نام PyXie RAT کامپایل شدن کد توسط بدافزار در قالب فایل pyx – بجای فایل pyc – عنوان شدهاست.
PyXie RAT حداقل از سال ۲۰۱۸ فعال بوده است. ویژگیها و تکینکهای استفاده شده در آن از صرف زمان و منابع فراوان برای توسعه آن حکایت دارد. ضمن اینکه مخفی ماندن طولانیمدت آن از دید شرکتهای امنیتی نشانهای از سطح بالای مبهمسازی (Obfuscation)، معدومسازی ردپاهای آلودگی و حرفهای بودن مهاجمان پشت پرده آن است.
PyXie RAT معمولاً از طریق تکنیک موسوم به Sideloading که در جریان آن از برنامههای مجاز برای آلودهسازی استفاده میشود بهره گرفته و فایل مخرب را نه بهصورت یکجا که در چندین مرحله دریافت میکند. یکی از این برنامهها که در گزارش Blackberry Cylance به آن اشاره شده نسخهای تغییر یافته از یک بازی منبع باز (Open-source) با نام Tetris است که پس از دریافت شدن، بهطور مخفیانه اقدام به نصب کد مخرب با استفاده از پروسه معتبر PowerShell برای ترفیع سطح دسترسی و ماندگار کردن خود بر روی ماشین میکند.
در مرحله بعدی، از بخشی از PyXie RAT که با عنوان Cobalt Mode در کد آن یاد شده برای برقراری ارتباط با سرور فرمان و کنترل (Command and Control) و دریافت کد نهایی استفادهمیشود.
در این مرحله از دریافت، از قابلیتهای Cobalt Strike که ابزاری معتبر و مورد استفاده در آزمونهای نفوذ (Penetration Test) است برای نصب تروجان بهره گرفتهمیشود.
در دریافتکننده PyXie RAT شباهتهایی نیز با تروجان Shifu به چشم میخورد. بهکارگیری ابزارهای معتبر و بدافزارهای دیگر یکی از روش های مورد استفاده مهاجمان حرفهای برای مخفی کردن هویت و ملیت واقعی گردانندگان حملات است. برای مثال، در این مورد مشخص نیست که وجود شباهت با Shifu به معنای یکسان بودن توسعهدهندگان این تروجان و PyXie RAT است و یا گروهی دیگر اقدام به خدمت گرفتن Shifu در جریان آلودهسازی اهداف خود به PyXie RAT کردهاست.
بهمحض نصب موفقیتآمیز PyXie RAT بر روی دستگاه هدف، مهاجمان قادر به کاوش اطلاعات در سیستم و اجرای فرامین موردنظر خود هستند. علاوه بر استفاده از آن برای سرقت نامهای کاربری، گذرواژهها و سایر اطلاعات بر روی سیستم، محققان اشاره کردهاند که در برخی مواقع از PyXie برای توزیع باجافزار در سطح شبکه استفاده شده است.
قابلیتهای متعدد و متنوع این تروجان، مهاجمان آن را قادر میسازد تا بسته به ساختار و حوزه فعالیت شبکه قربانی، اهدافی متفاوت را دنبال کنند. توانایی انتشار باجافزار نیز میتواند بیانگر وجود انگیزههای مالی در مهاجمان باشد.
دامنه هدف، هویت و ملیت گردانندگان کارزار PyXie RAT گرچه هنوز کاملاً روشن نیست اما محققان به اجرای حمله بر ضد ۳۰ سازمان با صدها ماشین که فعالیت اکثر آنها در حوزههای درمان یا آموزش بودهاست، اشاره کردهاند.
علیرغم ساختار پیچیده این بدافزار، بهکارگیری راهکارهای امنیتی معمول و اتخاذ سیاستهای امنیتی شامل مقاومسازی سیستمهای عامل، بهکارگیری راهکارهای مدیریت اصلاحیههای امنیتی، فناوریهای حفاظت از نقاط پایانی، ممیزی، بررسی سوابق، پایش فعالیت نقاط پایانی و شبکه و رصد اصالتسنجیهای مورد استفاده در ایمن نگاه داشتن سازمانها از گزند این تهدیدات مؤثر دانسته شدهاست.