به گزارش
گرداب، در دو سال گذشته پژوهشگران Palo Alto Networks گزارشهایی را درباره بدافزار شاهزاده ایرانی منتشر کردند که بنظر میرسد بیش از ۱۰ سال از فعالیتش می گذرد. در گزارش اول که Palo Alto Networks در سال ۲۰۱۶ منتشر کرد، این بدافزار با Infy و در گزارش دوم با Foudre نام گذاری شده است. در زمان انتشار این گزارش، Palo Alto Networks اظهار داشت که نسخههای ۱ و ۲ بدافزار Foudre مشاهده شده است. در گزارشی که Intezer به تازگی منتشر کرده است، شواهدی کشف شده است که نشان میدهد حملات بدافزار شاهزاده ایرانی همچنان فعال و در آن از نسخه ۸ بدافزار Foudre استفاده شده است. در این گزارش، ویژگیهای جدید و منحصر به فرد نسخه جدید بدافزار Foudre مورد بررسی قرار گرفتهاند.
نسخههای اولیه
گزارش اولیه Palo Alto Networks در سال ۲۰۱۶ منتشر شد که در آن بدافزار Infy تحلیل شده است. در حملات این بدافزار از ایمیلهای فیشینگ استفاده شده است و این ایمیلها حاوی پیوستهایی با فرمت اسناد Word یا PowerPoint مخرب هستند. این فایلها دارای یک فایل آرشیو اجرایی خود استخراج شونده (self-extracting) هستند که پس از اجرا محتوای مخرب را منتقل میکنند. در یک نمونه از فایل PowerPoint مخرب، تصویر یک فایل ویدئویی جعلی قرار داده شده که بنظر میرسد متوقف شده است، قربانی با کلیک بر روی پخش فیلم، فایل آرشیو را اجرا میکند.
در گزارش دوم که در سال ۲۰۱۷ منتشر شد، نسخه تکامل یافته Infy با نام Foudre (به معنای رعد و برق در زبان فرانسوی) بررسی شد. نسخه تکامل یافته Infy نیز با ایمیلهای فیشینگ با پیوست فایلهای اجرایی خود استخراج شونده توزیع میشود. در صورت اجرا یک بارگذار کننده اجرایی، یک DLL مخرب و یک فایل readme به سیستم قربانی منتقل میشود. نسخه تکامل یافته قابلیتهایی نظیر keylogger، دریافت محتوای کلیپبرد در یک چرخه ده ثانیهای و اطلاعات سیستم شامل لیست فرایندها، آنتیویروسهای نصب شده، کوکیها و سایر اطلاعات مرورگر را دارد.
نسخه جدید Foudre
مشابه نسخههای قبلی، نسخه جدید بدافزار Foudre یعنی نسخه ۸ نیز در یک آرشیو WinRAR خود استخراج شونده قرار داده شده است. در این آرشیو چندین فایل اجرایی مخرب و یک فایل ویدئویی وجود دارد. فایل ویدئویی دارای فرمت MP۴ و هدف اصلی درج ویدئو در فایل آرشیو منحرف کردن قربانی و نصب بدافزار حین پخش ویدئو است.
بدافزار Foudre یک ابزا با دسترسی از راه دور است که قابلیتهای اجرای دستور، سرقت اطلاعات سیستم (مانند کلیدهای وارد شده در صفحه کلید، اطلاعات فرایندهای پردازشی و غیره) و بروزرسانی خودکار را دارد. اکثر کد و عملکرد این نسخه مشابه Infy و نسخههای قبلی Foudre است. اما چندین ویژگی جدید و منحصر به فرد به آن اضافه شده است.
همانطور که گفته شد در فایل آرشیو WINRAR SFX سه فایل اجرایی وجود دارد. فایل اجرایی اصلی Foudre تقریبا در VirusTotal ناشناخته است و از ۶۷ مورد تنها ۳ مورد آنرا شناسایی میکنند.
در این نسخه Foudre، ۲ ماژول مختلف وجود دارد. ماژول اول (i۷۲۳۴.dll) تابع D۱ و ماژول دوم (d۳۸۸) تابع D۲ را در خروجی ارائه میدهد. فایل سوم تا کنون در بررسی ها اجرا نشده اما همچنان تحت تحلیل است. فایل فشرده و ماژول D۱ تنها یک بار اجرا میشوند.
فایل فشرده WINRAR SFX ویژگیهای زیر را دارد:
۱. دارای آیکون ویدئو است.
۲. فایلهای اجرایی را استخراج میکند.
۳. ماژولD۱) i۷۲۳۴.dll) را با rundll۳۲ اجرا میکند.
ویژگیهای ماژول D۱:
۱. فایل ویدئویی را اجرا میکند.
۲. در حال اجرا بودن TNRRDPKE۲ را بررسی میکند.
۳. ماژول D۲ و کلید آنرا در %APPDATA% کپی میکند و یک فایل میانبر با نام an.lnk به آدرس C:\WINDOWS\system۳۲\rundll۳۲.exe a.n D۲ ۸۳۸۲۳۸۱۲۵ ایجاد میکند.
۴. فایلهای گفته شده را از TEMP حذف میکند.
۵. کلید (D۲ (a.n را در HKEY_CURRENT_USER\Software\temp ذخیره میکند.
۶. در آدرس HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run وجود SnailDriver را بررسی میکند.
۷. فایل Autorun برای an.lnk را ایجاد میکند.
کن مسیر %PROGRAMFILES%\Kaspersky Lab را بررسی میکند.
۹. ماژول D۲ را با rundll۳۲ "C:\WINDOWS\system۳۲\rundll۳۲.exe a.n D۲ ۸۳۸۲۳۸۱۲۵” اجرا میکند.
ویژگیهای ماژول D۲ در جدول زیر ارائه شده است:
الگوریتم تولید دامنه استفاده شده در نسخه ۸ Foudre تفاوت کمی با نسخه قبلی دارد. الگوریتم نسخه قبلی بصورت زیر است:
ToHex(CRC۳۲("NRV۱” + year + month + week_number)) + (".space”|”.net”|”.top”)
الگوریتم نسخه جدید بصورت زیر است که در آن NRV۱ با NRTV۱ جابجا شده است و .dynu.net به دامنهها اضافه شده است:
ToHex(CRC۳۲("NRTV۱” + year + month + week_number)) + (".space”|”.net”|”.top”|”.dynu.net”)
برخی دامنههای ساخته شده در بخش IoCهای موجود در انتهای این گزارش ارائه شدهاند. قدیمیترین دامنهای که با این الگوریتم ساخته شدهاند در تاریخ ۵ نوامبر ۲۰۱۷ (۱۴ آبان ۱۳۹۶) ثبت شده است.
نتیجهگیری
با توجه به محتوای ویدئو و اطلاعات گزارش شده در مورد نسخه های قبلی Foudre، بنظر میرسد که اهداف این بدافزار عمدتا شهروندان ایرانی هستند.
IoCها:
فایلها:
WinRAR SFX c۳۸۵۳۳b۸۵e۴۷۵۰e۶f۶۴۹cc۴۰۷a۵۰۰۳۱de۰۹۸۴a۸f۳d۵b۹۰۶۰۰۸۲۴۹۱۵۴۳۳a۵e۲۱۸ •
D۱ DLL a۰۲ce۶۷۶۸۶۶۲ef۲۵۰d۲۴۸c۱۵۸f۲۶۱۲۹dd۴dfab۳۰۸۴۵d۰۷۹۶۲fbfe۷aa۱۹b۱۶db۹ •
D۲ DLL c۷۲۷۹a۳۲۳۲۹ebb۱ab۵c۱cdbfbddb۵a۱۶۷e۱۵۰۵۳۴۰c۳ca۷۲e۸۳۷a۲۲۲ff۹۲۶۶۵a۶ •
Unknown Binary cef۱۶۱a۲۲۰e۰۱۹acc۹ae۷۹۹۲۴a۴۷۷c۶۴aac۲d۶cc۰۴۱۲۶bb۳f۴a۹f۸۴۵۲۵۱۵f۴۰f •
MP۴ dbed۲ca۲e۹c۵۳dd۷۲c۳ed۳ce۶۰e۶۰۳c۶c۹۱c۸۰۱۵۲f۹۲۴d۹۷d۸۵۱۴۷۸۱e۶d۹e۲۶f •
lockbox۳ signature d۲۶۴۵d۱۶e۸۶۹addd۰۹۹۷۲۷c۳c۵۸۴۳۸c۲f۶۹۳۵d۹۲c۰۰f۹e۴b۲۳۷ef۴۹۸de۱dad۸۷ •
سرورهای C&C:
۱۸۵[.]۶۱[.]۱۵۴,۲۶ •
ns۱[.]cf۷۵d۸۹b[.]space •
ns۲[.]cf۷۵d۸۹b[.]space •
Week ۳۲ (Aug ۵) – fe۱۹f۹۷f[.]space •
Week ۳۳ (Aug ۱۲) – ۸۹۱ec۹e۹[.]space •
Week ۳۴ (Sept ۲) – ۱۷۷a۵c۴a[.]space •
Week ۳۵ (Sept ۹) – ۶۰۷d۶cdc[.]space •
Week ۳۶ (Sept ۱۶) – f۸b۶۵۷۵۱[.]space •
Week ۳۷ (Sept ۲۳) – ۸fb۱۶۷c۷[.]space •
Week ۳۸ (Sept ۳۰) – ۱f۰e۷a۵۶[.]space •
Week ۳۹ (Oct ۷) – ۶۸۰۹۴ac۰[.]space •
Week ۴۰ (Oct ۱۴) – ۱d۸bfc۲۰[.]space •
