گروه Cisco Talos یک کمپین سایبری فعال را شناسایی کرده که توسط گروه تهدیدگر Gamaredon علیه کاربران اوکراینی در حال اجراست. در این حملات، از فایلهای مخرب LNK استفاده میشود تا بدافزار Remcos backdoor را بر روی سیستم قربانیان نصب کنند.
این کمپین که از نوامبر ۲۰۲۴ فعال بوده، از روشهای فیشینگ هدفمند بهره میبرد و با استفاده از موضوعاتی مرتبط با جنگ در اوکراین قربانیان را فریب میدهد تا فایلهای آلوده را اجرا کنند.
📁 فایلهای LNK که در قالب فایلهای Word یا Office جعلی بستهبندی شدهاند، درون آرشیوهایی با فرمت ZIP قرار دارند و نامهایی تحریککننده همچون “مختصات پرواز دشمن در ۸ روز گذشته” یا “موقعیتهای دشمن در غرب و جنوبغربی” دارند. این فایلها با زبان روسی یا اوکراینی نامگذاری شدهاند.
🧪 فرآیند حمله با اجرای اسکریپت PowerShell که درون فایل LNK جاسازی شده آغاز میشود. این اسکریپت با سرورهایی که موقعیت جغرافیایی قربانی را بررسی میکنند (geo-fenced) و در روسیه و آلمان میزبانی میشوند ارتباط برقرار کرده و payload مرحله دوم را که شامل Remcos است، دانلود میکند.
🔍 این payload بهصورت ZIP دانلود شده و از تکنیکهای DLL Sideloading برای اجرای backdoor استفاده میکند. در این روش، DLL مخرب در کنار فایلهای اجرایی قانونی اجرا میشود تا از تشخیص توسط آنتیویروسها فرار کند.
📨 ایمیلهای فیشینگ احتمالی این کمپین شامل ضمیمه ZIP یا لینکی برای دانلود آن هستند. تحلیل متادیتای shortcutها نشان میدهد که این فایلها تنها توسط دو ماشین خاص ساخته شدهاند که با الگوهای عملیاتی قبلی Gamaredon همراستا هستند.
🛠 اسکریپتهای PowerShell از تکنیکهای obfuscation مثل استفاده از Get-Command برای پنهانسازی کد خود از آنتیویروسها استفاده میکنند. این اسکریپتها payload را در پوشه %TEMP% دانلود و استخراج کرده و DLL مخرب را به همراه فایل اجرایی تمیز بارگذاری میکنند. سپس backdoor در حافظه فرآیند Explorer.exe تزریق شده و با سرورهای فرمان و کنترل (C2) ارتباط برقرار میکند.
🌍 سرورهای C2 مورد استفاده در این حمله توسط شرکتهای ارائهدهنده خدمات اینترنتی نظیر GTHost و HyperHosting میزبانی میشوند. این زیرساخت بهصورت جغرافیایی محدود شده و فقط به کاربران در اوکراین اجازه اتصال میدهد.
📡 تحلیلهای DNS معکوس (Reverse DNS) از این سرورها، نشانههایی منحصربهفرد فراهم کرده که به شناسایی IPهای مرتبط بیشتر با این عملیات کمک کردهاند. Backdoor Remcos به مهاجمان قابلیتهای پیشرفتهای برای کنترل از راه دور سیستم قربانی، استخراج دادهها و دستکاری سیستم میدهد.
👨💻 همچنین Talos شواهدی مشاهده کرده که نشان میدهد فایل اجرایی تمیز مثل TivoDiag.exe در این کمپین برای انجام DLL sideloading مورد سوءاستفاده قرار گرفته است.
🚨 این حمله، ترکیبی از تکنیکهای پیشرفتهای مانند DLL sideloading، زیرساخت محدودشده جغرافیایی و فیشینگ با موضوعات حساس را بهکار گرفته و نشاندهنده تداوم تلاشهای گروه Gamaredon برای هدفگیری زیرساختهای اوکراینی است.
یک نظر