هدف شهروندان ایرانی هستند

شاهزاده ایرانی یک بدافزار است

شاهزاده ایرانی یک بدافزار است
تاریخ انتشار : ۳۰ مرداد ۱۳۹۷

در دو سال گذشته پژوهشگران Palo Alto Networks گزارش‌هایی را درباره بدافزار شاهزاده ایرانی منتشر کردند که بنظر می‌رسد بیش از ۱۰ سال از فعالیتش می گذرد.

به گزارش گرداب، در دو سال گذشته پژوهشگران Palo Alto Networks گزارش‌هایی را درباره بدافزار شاهزاده ایرانی منتشر کردند که بنظر می‌رسد بیش از ۱۰ سال از فعالیتش می گذرد. در گزارش اول که Palo Alto Networks در سال ۲۰۱۶ منتشر کرد، این بدافزار با Infy و در گزارش دوم با Foudre نام گذاری شده است. در زمان انتشار این گزارش، Palo Alto Networks اظهار داشت که نسخه‌های ۱ و ۲ بدافزار Foudre مشاهده شده است. در گزارشی که Intezer به تازگی منتشر کرده است، شواهدی کشف شده است که نشان می‌دهد حملات بدافزار شاهزاده ایرانی همچنان فعال و در آن از نسخه ۸ بدافزار Foudre استفاده شده است. در این گزارش، ویژگی‌های جدید و منحصر به فرد نسخه جدید بدافزار Foudre مورد بررسی قرار گرفته‌اند.

نسخه‌های اولیه
گزارش اولیه Palo Alto Networks در سال ۲۰۱۶ منتشر شد که در آن بدافزار Infy تحلیل شده است. در حملات این بدافزار از ایمیل‌های فیشینگ استفاده شده است و این ایمیل‌ها حاوی پیوست‌هایی با فرمت اسناد Word یا PowerPoint مخرب هستند. این فایل‌ها دارای یک فایل آرشیو اجرایی خود استخراج شونده (self-extracting) هستند که پس از اجرا محتوای مخرب را منتقل می‌کنند. در یک نمونه از فایل PowerPoint مخرب، تصویر یک فایل ویدئویی جعلی قرار داده شده که بنظر می‌رسد متوقف شده است، قربانی با کلیک بر روی پخش فیلم، فایل آرشیو را اجرا می‌کند.
در گزارش دوم که در سال ۲۰۱۷ منتشر شد، نسخه تکامل یافته Infy با نام Foudre (به معنای رعد و برق در زبان فرانسوی) بررسی شد. نسخه تکامل یافته Infy نیز با ایمیل‌های فیشینگ با پیوست فایل‌های اجرایی خود استخراج شونده توزیع می‌شود. در صورت اجرا یک بارگذار کننده اجرایی، یک DLL مخرب و یک فایل readme به سیستم قربانی منتقل می‌شود. نسخه تکامل یافته قابلیت‌هایی نظیر keylogger، دریافت محتوای کلیپ‌برد در یک چرخه ده ثانیه‌ای و اطلاعات سیستم شامل لیست فرایندها، آنتی‌ویروس‌های نصب شده، کوکی‌ها و سایر اطلاعات مرورگر را دارد.

نسخه جدید Foudre
مشابه نسخه‌های قبلی، نسخه جدید بدافزار Foudre یعنی نسخه ۸ نیز در یک آرشیو WinRAR خود استخراج شونده قرار داده شده است. در این آرشیو چندین فایل اجرایی مخرب و یک فایل ویدئویی وجود دارد. فایل ویدئویی دارای فرمت MP۴ و هدف اصلی درج ویدئو در فایل آرشیو منحرف کردن قربانی و نصب بدافزار حین پخش ویدئو است.
بدافزار Foudre یک ابزا با دسترسی از راه دور است که قابلیت‌های اجرای دستور، سرقت اطلاعات سیستم (مانند کلیدهای وارد شده در صفحه کلید، اطلاعات فرایندهای پردازشی و غیره) و بروزرسانی خودکار را دارد. اکثر کد و عملکرد این نسخه مشابه Infy و نسخه‌های قبلی Foudre است. اما چندین ویژگی جدید و منحصر به فرد به آن اضافه شده است.
همانطور که گفته شد در فایل آرشیو WINRAR SFX سه فایل اجرایی وجود دارد. فایل اجرایی اصلی Foudre تقریبا در VirusTotal ناشناخته است و از ۶۷ مورد تنها ۳ مورد آن‌را شناسایی می‌کنند.

شاهزاده ایرانی یک بدافزار است

در این نسخه Foudre، ۲ ماژول مختلف وجود دارد. ماژول اول (i۷۲۳۴.dll) تابع D۱ و ماژول دوم (d۳۸۸) تابع D۲ را در خروجی ارائه می‌دهد. فایل سوم تا کنون در بررسی ها اجرا نشده اما همچنان تحت تحلیل است. فایل فشرده و ماژول D۱ تنها یک بار اجرا می‌شوند.

فایل فشرده  WINRAR SFX ویژگی‌های زیر را دارد:
۱.    دارای آیکون ویدئو است.
۲.    فایل‌های اجرایی را استخراج می‌کند.
۳.    ماژولD۱) i۷۲۳۴.dll) را با rundll۳۲ اجرا می‌کند.

ویژگی‌های ماژول D۱:
۱.    فایل ویدئویی را اجرا می‌کند.
۲.    در حال اجرا بودن TNRRDPKE۲ را بررسی می‌کند.
۳.    ماژول D۲ و کلید آنرا در %APPDATA% کپی می‌کند و یک فایل میانبر با نام an.lnk به آدرس C:\WINDOWS\system۳۲\rundll۳۲.exe a.n D۲ ۸۳۸۲۳۸۱۲۵ ایجاد می‌کند.
۴.    فایل‌های گفته شده را از TEMP حذف می‌کند.
۵.    کلید (D۲ (a.n را در HKEY_CURRENT_USER\Software\temp ذخیره می‌کند.
۶.    در آدرس HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run وجود SnailDriver را بررسی می‌کند.
۷.    فایل Autorun برای an.lnk را ایجاد می‌کند.
کن    مسیر %PROGRAMFILES%\Kaspersky Lab را بررسی می‌کند.
۹.    ماژول D۲ را با  rundll۳۲ "C:\WINDOWS\system۳۲\rundll۳۲.exe a.n D۲ ۸۳۸۲۳۸۱۲۵” اجرا می‌کند.

ویژگی‌های ماژول D۲ در جدول زیر ارائه شده است:

شاهزاده ایرانی یک بدافزار است

الگوریتم تولید دامنه استفاده شده در نسخه ۸ Foudre تفاوت کمی با نسخه قبلی دارد. الگوریتم نسخه قبلی بصورت زیر است:
ToHex(CRC۳۲("NRV۱” + year + month + week_number)) + (".space”|”.net”|”.top”)

الگوریتم نسخه جدید بصورت زیر است که در آن NRV۱ با NRTV۱ جابجا شده است و .dynu.net به دامنه‌ها اضافه شده است:
ToHex(CRC۳۲("NRTV۱” + year + month + week_number)) + (".space”|”.net”|”.top”|”.dynu.net”)

برخی دامنه‌های ساخته شده در بخش IoCهای موجود در انتهای این گزارش ارائه شده‌اند. قدیمی‌ترین دامنه‌ای که با این الگوریتم ساخته شده‌اند در تاریخ ۵ نوامبر ۲۰۱۷ (۱۴ آبان ۱۳۹۶) ثبت شده است.

شاهزاده ایرانی یک بدافزار است

نتیجه‌گیری
با توجه به محتوای ویدئو و اطلاعات گزارش شده در مورد نسخه های قبلی Foudre، بنظر می‌رسد که اهداف این بدافزار عمدتا شهروندان ایرانی هستند.
IoCها:
فایل‌ها:
 
    WinRAR SFX c۳۸۵۳۳b۸۵e۴۷۵۰e۶f۶۴۹cc۴۰۷a۵۰۰۳۱de۰۹۸۴a۸f۳d۵b۹۰۶۰۰۸۲۴۹۱۵۴۳۳a۵e۲۱۸   •
    D۱ DLL a۰۲ce۶۷۶۸۶۶۲ef۲۵۰d۲۴۸c۱۵۸f۲۶۱۲۹dd۴dfab۳۰۸۴۵d۰۷۹۶۲fbfe۷aa۱۹b۱۶db۹   •
    D۲ DLL c۷۲۷۹a۳۲۳۲۹ebb۱ab۵c۱cdbfbddb۵a۱۶۷e۱۵۰۵۳۴۰c۳ca۷۲e۸۳۷a۲۲۲ff۹۲۶۶۵a۶   •
    Unknown Binary cef۱۶۱a۲۲۰e۰۱۹acc۹ae۷۹۹۲۴a۴۷۷c۶۴aac۲d۶cc۰۴۱۲۶bb۳f۴a۹f۸۴۵۲۵۱۵f۴۰f   •
    MP۴ dbed۲ca۲e۹c۵۳dd۷۲c۳ed۳ce۶۰e۶۰۳c۶c۹۱c۸۰۱۵۲f۹۲۴d۹۷d۸۵۱۴۷۸۱e۶d۹e۲۶f   •
    lockbox۳ signature d۲۶۴۵d۱۶e۸۶۹addd۰۹۹۷۲۷c۳c۵۸۴۳۸c۲f۶۹۳۵d۹۲c۰۰f۹e۴b۲۳۷ef۴۹۸de۱dad۸۷   •

سرورهای C&C:
    ۱۸۵[.]۶۱[.]۱۵۴,۲۶   •
    ns۱[.]cf۷۵d۸۹b[.]space   •
    ns۲[.]cf۷۵d۸۹b[.]space   •
    Week ۳۲ (Aug ۵) – fe۱۹f۹۷f[.]space   •
   Week ۳۳ (Aug ۱۲) – ۸۹۱ec۹e۹[.]space   •
   Week ۳۴ (Sept ۲) – ۱۷۷a۵c۴a[.]space   •
    Week ۳۵ (Sept ۹) – ۶۰۷d۶cdc[.]space   •
    Week ۳۶ (Sept ۱۶) – f۸b۶۵۷۵۱[.]space   •
   Week ۳۷ (Sept ۲۳) – ۸fb۱۶۷c۷[.]space   •
    Week ۳۸ (Sept ۳۰) – ۱f۰e۷a۵۶[.]space   •
    Week ۳۹ (Oct ۷) – ۶۸۰۹۴ac۰[.]space   •
   Week ۴۰ (Oct ۱۴) – ۱d۸bfc۲۰[.]space   •