ایران یکی از قربانیان RIG Exploit Kit

زمان مطالعه: 6 دقیقه

در این پست به بررسی گزارش  محققای Prodaft  از یکی از این اکسپلویت کیتهای معروف بنام RIG Exploit Kit پرداختیم، که ایران هم قربانی اون بوده.

 

 

اکسپلویت کیت چیه

اکسپلویت کیت ها در حقیقت یه جور Dropper هستن و معمولا برای توزیع بدافزار از طریق آسیب پذیری های موجود در مرورگرها ، برای حملات گسترده (Mass attack) مورد استفاده قرار میگیرن. وقتی قربانی از صفحه وب اکسپلویت کیت، دیدن میکنه ، نسخه مرورگر و سیستم عاملش شناسایی شده و با این اطلاعات یه اکسپلویت مناسب انتخاب و رو قربانی اجرا میشه.

 

تایم لاین فعالیت های RIG EK:

این برنامه اولین بار در سال 2014 در یسری فروم تبلیغ شد. یسری آسیب پذیری هم داشت از جمله CVE-2012-0507 و CVE-2013-0074 .

 

 

یکسال بعد از فعالیتش ، سورس کد اون لو رفت و در انجمن های مختلف منتشر شد. دو سال بعدش طی یه عملیاتی بنام Shadowfall که توسط RSA انجام شد، خیلی از زیرساخت های این اکسپلویت کیت هدف قرار گرفتن و بدین ترتیب فعالیت اون کاهش چشمگیری داشت.

این اکسپلویت کیت ، بدافزار Racoon Stealer رو توزیع میکرد، اما بعد از جنگ روسیه و اوکراین و کشته شدن یکی از توسعه دهندگان Racoon Stealer، این گروه فعالیت های خودش متوقف کرد، در نتیجه این اکسپلویت کیت به سمت توزیع Dridex رفت.

بعد از یه مدت فعالیت ، اپراتور RIG EK اعلام کرد که برای مدتی فعالیتهاشون رو متوقف میکنن.

 

 

یک سال بعد از اعلام توقف فعالیتها ، این اکسپلویت کیت با مجموعه جدیدی از اکسپلویتها دوباره ظاهر شد. در نسخه جدید دو آسیب پذیری جالب ، CVE-2021-26411 و CVE-2020-0674 رو اضافه کرده بودن. این پیشرفت فنی باعث افزایش اکسپلویتهای موفق با این ابزار شد و در نتیجه در سال 2022 به نرخ موفق 30 درصد رسید.

شکل زیر یه نمای کلی از فعالیت های این اکسپلویت کیت رو نشون میده :

 

 

بررسی فنی :

اکسپلویت کیتها اغلب بعنوان Dropper برای توزیع بدافزارها استفاده میشن. این اکسپلویت کیت بدافزارهای مختلفی مانند بدافزار بانکی RTM و Dridex و Raccoon Stealer و باج افزار CryptoBit و AZORult و SmokeLoader و Ursnif رو توزیع کرده.

با توجه به اینکه هدف این نوع ابزارها ، دسترسی به سیستم قربانی و بعدش دادن این دسترسی به سایر بازیگران تهدید هستش، در کل به یسری TTP برای توسعه منابع ، دسترسی اولیه و اجرا نیاز داره.

• در بحث توسعه منابع، این ابزار از یسری آسیب پذیری های شناخته شده در مرورگرها استفاده میکنه و این اکسپلویتهارو هم خودشون توسعه ندادن. اما اکسپلویتهایی که استفاده میکنن یکمی تغییرات دادن مثلا مبهم شدن. TTPهایی که در این دسته قرار میگیرن ، T1588 و T1584 هستش.
• دسترسی اولیه هم از دو طریق بوده، یا از طریق تبلیغات برای کشوندن قربانی ها به سایت های مخرب ، یا هک و تزریق کدهای جاوااسکریپت اکسپلویت کیت در سایتهای مختلف. TTP این بخش هم T1189 هستش.
• اگه دسترسی اولیه رخ بده و اکسپلویت بصورت موفق رو سیستم اجرا بشه ، یه اسکریپت پاورشل مبهم شده اجرا میشه که بدافزار مورد نظر رو از C2 اکسپلویت کیت که با نام RKIT هستش،  دانلود و اجرا میکنه. در این بخش هم TTPهای T1059 و T1203 رو داریم.

 

زیرساخت :

این اکسپلویت کیت اگرچه بروز شده، اما زیرساخت اون همونی هستش که افشا شده بود. زیرساختشون سه قسمت اصلی داره، سرور VDS  که سرور اکسپلویت هم میگن، سرور پروکسی و سرور API . شکل زیر این قسمتها رو نمایش میده:

 

 

سرور پروکسی یه reverse proxy برای سرور اکسپلویت هستش تا این سرور از اینترنت بصورت عمومی در دسترس نباشه .

سرور اکسپلویت اطلاعات مرورگر قربانی رو با هدر User-Agent شناسایی کرده و اگه اکسپلویتی براش بود بصورت رمزنگاری شده با یه نسخه خاصی از RC4 برمیگردونه.

 

لیست اکسپلویتهای موجود:

اکسپلویتهای موجود در این اکسپلویت کیت :

• CVE-2013-2551
• CVE-2014-6332
• CVE-2015-0313
• CVE-2015-2419
• CVE-2016-0189
• CVE-2019-0752
• CVE-2018-8174

و دو تا اکسپلویت زیر هم که نور چشم بودن و خیلی مورد استفاده قرار میگرفتن و از نسخه جدید به این ابزار اضافه شدن:

• CVE-2021-26411
• CVE-2020-0674

 

پنل مدیریت:

در پنل مدیریتی ، چندین کاربر ،با سطوح مختلف دسترسی وجود داشتن. محققا این پنل و کاربراشونم زیر نظر داشتن، جدول زیر، کاربران فعال و امتیازشون رو مشخص میکنه

کاربر admin یه کاربر ساختگی هستش و برای ایجاد کاربران ازش استفاده میکنن. مدیریت پنل هم با کاربر pitty هستش. پنل مدیریت هم از نوع مدل اشتراکی هستش. هر کاربری از زمان ایجادش تا یه تایمی اشتراک داره. مثلا کاربر pitty طبق تصویر زیر مشترک پنل هستش:

 

 

شکل زیر هم بخش آمار پنل رو نشون میده :

 

 

پنل امکان راه اندازی کمپین های مختلف رو فراهم میکنه و برای هر کمپین یه توکن منحصر به فرد رو ارائه میده تا اکسپلویتهای ارائه شده به قربانی های هر کمپین رو شناسایی کنن.

اسامی برخی از این کمپینها رو در زیر مشاهده میکنید:

• DanFuz Buba TOP 43к
• DanFuz Buba
• TEST MAGMA RIG
• ZWhttp
• godf WW 10k
• DanFuz WW 42k
• ANKL JP

شکل زیر هم نشون دهنده توکن هستش :

 

 

شکل زیر هم بخش فایلها رو نشون میده. در این بخش امکان مدیریت فایلها فراهم هستش. نکته ای که هست در خصوص آپلود فایل هستش. آپلود فایل به دو صورت انجام میشه، یکی اینکه بصورت مستقیم از دیسک یا یه آدرس آپلو کنید و یکی هم آپلود خودکار. در این روش پنل یه آدرس رو میگیره و در فواصل زمانی مختلف ، بصورت خودکار فایل دانلود و بروز میکنه.

 

 

آمار :

با بررسی که محققا انجام دادن تونستن ترافیک ورودی از 207 کشور رو شناسایی کنن. شکل زیر نمودار اکسپلویتهای موفق  رو نشون میده .

 

 

نمودار زیر هم نشون دهنده میزان تلاش و موفق بودن براساس ایام هفته هستش :

 

 

مهمترین چیز برای اکسپلویت کیتها ، نرخ اکسپلویت موفق هستش. نرخ موفقیتش برای دو ماه آخر فعالیتش در 2021 ، 22 درصد بوده ، از 81220 تلاش تونسته 17647 قربانی بگیره. با نسخه جدید نرخ موفق از 22 درصد به 30 درصد رسید. نمودار زیر نشون دهنده پراستفاده ترین آسیب پذیری ها برای اکسپلویت موفق هستن:

 

 

نمودار زیر هم نشون دهنده درصد بدافزارهای توزیع شده هستش :

 

 

IOCها :

لیست آی پی های پروکسی :

 

لیست آی پی های White-listed

سرور اکسپلویت:

 

هش بدافزارهای توزیع شده:

 

 

منبع