«إسيت» تكتشف تحسن أدوات مجموعة البرنامج الضار Turla في التسلل و الثبات
حلل باحثو «إسيت» ESET الأدوات الجديدة المستندة إلى PowerShell التي يستخدمها البرنامج الضار Turla ، وهي مجموعة APT السيئة السمعة، والتي تعمل على تحسين التسلل و الثبات. بدأت Turla، المعروفة أيضًا باسم Snake، في استخدام البرامج النصية لـ PowerShell التي توفر التحميل المباشر في الذاكرة وتنفيذ البرامج الضارة. بفضل هذه الأدوات المستندة إلى PowerShell تمكن Turla من تجاوز تقنيات الكشف التي يتم تشغيلها عند تسقيط ملف ضار على قرص التخزين.
والبرنامج الضار Turla عبارة عن مجموعة تجسس سيئة السمعة معروفة كبرامج ضارة معقدة. ويُعتقد بأنه نشط في العام 2008، عندما قام بهجوم خبيث ناجح على الجيش الأمريكي. كما شارك في هجمات كبيرة ضد العديد من الهيئات الحكومية في أوروبا والشرق الأوسط – ومن بينها وزارة الخارجية الألمانية والجيش الفرنسي.
وفي الآونة الأخيرة اكتشف الباحثون في «إسيت» عدة هجمات ضد الكيانات الدبلوماسية في أوروبا الشرقية باستخدام البرامج النصية PowerShell. يقول “ماتثيو فو”، الباحث لدى شركة «إسيت»، الذي أجرى التحقيق: “إنها نفس النصوص المستخدمة على الصعيد العالمي للأهداف التقليدية الأخرى للبرنامج الضار Turla”.
ونشر باحثو «إسيت» مدونة إلكترونية مع نتائج تحليلهم لنصوص PowerShell لدى البرنامج اضار Turla لمساعدة المدافعين على مواجهتها. يقول “فو”: “إلى جانب حمولة PowerShell الجديدة من Turla، اكتشفنا وحللنا العديد من الحمولات المثيرة للاهتمام، بما في ذلك backdoors الذي يستند إلى RPC و PowerShell backdoorالمستفيد من خدمة التخزين السحابية من مايكروسوفت OneDrive ، كخادم للقيادة و التحكم لها”.
إن حمولة PowerShell التي اكتشفت من قبل «إسيت» تحت مظلة الاسم PowerShell / Turla ، تختلف في قدرتها على الثبات على النظام وقت يتم تحميلها بانتظام في ذاكرة الملفات التنفيذية المدمجة. قام مطورو Turla في بعض العينات بتعديل البرامج النصية PowerShell لتجاوز واجهة مكافحة البرامج الضارة (AMSI). هذه التقنية التي تم الكشف عنها لأول مرة في مؤتمر “بلاك هات اَسيا 2018″، تؤدي إلى عدم قدرة منتج الحماية من استلام البيانات من واجهة AMSI للقيام بعملية المسح.
وأوضح “فو”: “ورغم ذلك، فإن هذه التقنيات لا تمنع اكتشاف الحمولات الخبيثة الفعلية في الذاكرة”.
من بين الحمولات التي استخدمتها Turla مؤخرًا برز اثنتان منها. واحد هو مجموعة كاملة من backdoors معتمدة على بروتوكول RPC. يتم استخدام هذه الـ backdoors لأداء الحركة الجانبية والتحكم في الأجهزة الأخرى في الشبكة المحلية دون الاعتماد على خادم C&C خارجي. و أيضاً PowerStallion ، وهو PowerShell backdoor الخفيف الذي يستخدم خدمة التخزين السحابية من مايكروسوفت OneDrive ، كخادم للقيادة و للتحكم.
و أبان “فو”:”نعتقد أن هذا الـbackdoor هو أداة للوصول إلى الإصلاح في حالة إزالة Turla backdoors الرئيسي ولم يعد بإمكان المشغلين الوصول إلى أجهزة الكمبيوتر المعرضة للخطر”.
ويلتزم باحثو «إسيت» بمتابعة عن كثب مجموعة Turla APT وغيرها من الجهات الفاعلة الرئيسية للتهديدات، ويقوم الباحثون بمراقبة أساليبهم وتكتيكاتهم وإجراءاتهم لمساعدة المدافعين في حماية الشبكات المسؤولين عنها.
ويمكن قراءة المزيد من التفاصيل في المدونة المنشورة على موقع WeLiveSecurity.com
