اخبار فناوری

استفاده هکرها از سرورهای Exchange به عنوان مرکز کنترل بدافزارها

استفاده هکرها از سرورهای Exchange به عنوان مرکز کنترل بدافزارها

حتما می‌دانید که Microsoft Exchange Server چیست؟ هک سرورهای Exchange و بهره‌برداری از آسیب‌پذیری‌های این پلتفرم تمامی ندارد. ظاهراً این بار مشخص شده که هکرها از سرورهای Exchange به عنوان مرکزی برای کنترل بدافزارها استفاده می‌کنند. به تازگی مایکروسافت و گروه پاسخ‌گویی حوادث رایانه‌ای اوکراین پی برده‌اند که گروه هکری Turla در حال هدف قرار دادن صنایع دفاعی غربی  و سرورهای مایکروسافت Exchange است. گویا این گروه هکری، از یک بدافزار جدید به نام DeliveryCheck استفاده می‌کند تا یک در پشتی را بر روی سرورهای Exchange باز کند. با ما برای خواندن جزئیات این خبر در هنر توسعه و ارتباطات شایگان همراه باشید.

گروه هکری Turla چه کسانی هستند؟

این گروه هکری که از آن با نام‌های Secret Blizzard، KRYPTON و UAC-0003 هم یاد می‌شود، یک گروه هکری است که دولت روسیه از آن برای انجام حملات پیشرفته و مستمر علیه سازمان‌ها و دولت‌های دشمن o,n استفاده می‌کند. این گروه هکری با سرویس امنیت فدرال روسیه در ارتباط است و تاکنون حملات سایبری مختلفی به آن‌ها نسبت داده شده است. ساخت بات نت (Botnet) جاسوسی Snake که برای حمله به یکی از سازمان‌های مجری قوانین بین‌المللی استفاده شده بود نیز به همین گروه هکری نسبت داده شده بود. حال که با این گروه هکری آشنا شدیم، به جزئیات هک سرورهای Exchange توسط این آن‌ها اشاره می‌کنیم.

هک مایکروسافت Exchange با استفاده از بدافزار DeliveryCheck

رشته توییتی توسط مایکروسافت و گروه پاسخ‌گویی حوادث رایانه‌ای اوکراین (CERT-UA) منتشر شده که در آن به حمله به سامانه‌های دفاعی اوکراین و اروپای شرقی توسط گروه هکری روسی Turla اشاره شده است.

هکرها با ارسال ایمیل‌های فیشینگ (Phishing) که فایل‌های اکسل XLSM حاوی ماکروهای آلوده به آن‌ها ضمیمه شده، کار خود را شروع می‌کنند. با باز کردن این فایل‌ها، ماکروها می‌توانند یک دستور PowerShell را اجرا کرده و برنامه‌ای را بسازند که خود را به جای برنامه به‌روزرسان مرورگر فایرفاکس جا می‌زند.

این برنامه، می‌تواند بدافزار DeliveryCheck را دانلود کرده و آن را در حافظه اجرا کند تا دستورات سرور کنترل را دریافت کرده و کدهای مخرب بعدی را در سیستم قربانی اجرا کند. روند دانلود و نصب DeliveryCheck را می‌توانید در تصویر زیر مشاهده کنید:

هک مایکروسافت Exchange با استفاده از بدافزار DeliveryCheck

مایکروسافت توضیح داده است که این فایل‌های مخرب در فایل‌های XSLT جاسازی شده‌اند و از طریق آن‌ها اجرا می‌شوند. پس از آلوده شدن دستگاه‌های قربانی، بدافزار یک در پشتی را باز می‌کند تا با هک سرورهای Exchange، فایل‌های موجود در دستگاه قربانی را استخراج کند. این کار به کمک ابزار Rclone انجام می‌شود (ابزار Rclone یک ابزار منبع‌باز مبتنی بر خط فرمان است که برای مدیریت فایل‌ها در فضای ابری استفاده می‌شود).

چه چیزی عملکرد بدافزار DeliveryCheck را متمایز می‌کند؟

هکرها می‌توانند به کمک این بدافزار و با هک سرورهای Exchange، این سرورها را تبدیل به یک مرکز فرماندهی و کنترل برای مدیریت بدافزارها کنند. این کار به کمک یک مؤلفه که در سمت سرور Microsoft Exchange قرار دارد، انجام می‌شود. مایکروسافت می‌گوید که این مؤلفه، یک ماژول PowerShell است که به مدیران سیستم، امکان ساخت یک پیکربندی استانداردشده و اعمال آن به دستگاه‌های مختلف را می‌دهد.

در واقع مدیر سیستم می‌تواند یک تنظیمات پیش‌فرض را به کمک این ماژول بسازد و آن را به صورت اتوماتیک، بر روی دستگاه‌های مختلف اعمال کند. استفاده از این ماژول در DeliveryCheck را می‌توانید در تصویر زیر مشاهده کنید:

چه چیزی عملکرد بدافزار DeliveryCheck را متمایز می‌کند؟ در واقع مدیر سیستم می‌تواند یک تنظیمات پیش‌فرض را به کمک این ماژول بسازد و آن را به صورت اتوماتیک، بر روی دستگاه‌های مختلف اعمال کند. استفاده از این ماژول در DeliveryCheck را می‌توانید در این تصویر مشاهده کنید.

پس از هک مایکروسافت Exchange، بدافزار می‌تواند با به‌کارگیری پلتفرم مدیریتی DSC موجود در ویندوز، فایل‌های اجرایی رمزنگاری شده با الگوریتم base64 را به صورت اتوماتیک اجرا کرده و سرور Exchange را به یک سرور توزیع بدافزار تبدیل کند. در این حمله مشخص شد که هکرهای روسی از ابزار پیشرفته‌تری استفاده می‌کنند که در واقع نسخه قدرتمندتر Secret Blizzard است.

این بدافزار پیشرفته، یک ابزار جاسوسی سایبری است که به هکر اجازه اجرای کدهای جاوا اسکریپت بر روی دستگاه قربانی را می‌دهد. هکر به کمک این کدها می‌تواند فایل‌های سیستمی، لاگ فایل‌های ویندوز (Event Logs)، توکن‌های احراز هویت و کوکی‌ها را از برنامه‌هایی مانند مرورگرها، کلاینت‌های FTP، شبکه‌های مجازی خصوصی و نرم‌افزارهایی شامل Azure، AWS و اوت لوک، سرقت کند.

تیم امنیتی مایکروسافت متذکر شده که هکرهای روسی می‌توانند با هک سرورهای Exchange، به فایل‌ها، تصاویر و اسناد آرشیو شده روی سیستم‌های قربانی، دسترسی پیدا کنند. آن‌ها حتی می‌توانند پیام‌های موجود در نسخه دسکتاپ پیام‌رسان محبوب سیگنال را هم بخوانند.

سخن آخر

هکرهای روسی توانسته‌اند با هک سرورهای Exchange، حملات مختلفی را به سازمان‌های مختلف انجام دهند. از بین ۷۰ ضدویروس موجود در سایت ویروس توتال (VirusTotal، مرجعی برای بررسی بدافزارها) تنها ۱۴ عدد از آن‌ها تاکنون DeliveryCheck را به عنوان یک بدافزار در نظر گرفته‌اند. البته اخبار استفاده از این بدافزار به تازگی منتشر شده و با گذشت زمان، ضدویروس‌های بیشتری برای مقابله با این بدافزار، به‌روزرسانی می‌شوند. بهره‌برداری از آسیب‌پذیری‌های موجود در سرورهای مایکروسافت Exchange تبدیل به عادت هکرهای چینی و روسی و حتی ایرانی شده است. چندی پیش هکرهای ایرانی توانسته بودند با یک بدافزار جدید، سرورهای Exchange را هک کنند. مقاله آن حمله را نیز می‌توانید در هنر توسعه و ارتباط شایگان مطالعه کنید.

منبع: bleepingcomputer.com

سوالات متداول

۱. هک سرورهای Exchange توسط هکرهای روسی با چه هدفی انجام می‌شود؟

این کار با هدف تبدیل سرورهای Exchange به یک مرکز مدیریت توزیع بدافزارها و سرقت اسناد، تصاویر و اطلاعات مختلف انجام می‌شود.

۲. هک سرورهای Exchange توسط هکرهای روسی به چه صورتی انجام می‌شود؟

هکرها می‌توانند با ارسال ایمیل‌هایی که فایل‌های آلوده به ماکروهای مخرب ضمیمه آن‌ها است، بدافزار را بر روی سرورهای Exchange نصب کرده و به کمک ابزارهای مدیریتی موجود در سرور، آن را تبدیل به مرکزی برای توزیع بدافزار و سرقت اطلاعات کنند.