محققان می‌گویند هکر‌ها می‌توانند ابزار اتوماسیون ویندوز ۱۱ را به راحتی هک کرده و از طریق باج‌افزار از کاربران سوءاستفاده کنند.

در چند سال گذشته، خودکار کردن کار‌های روزمره ساده‌تر شده است. با استفاده از نرم‌افزار اتوماسیون، می‌توانید ساعات کاری خود را در صفحه‌گسترده ردیابی کنید یا زمانی که شخصی از شما در ایمیل نام می‌برد، به‌طور خودکار یک مورد از فهرست کار‌ها را ایجاد کنید. ابزار‌ها می‌توانند زندگی شما را آسان‌تر کنند، اما خطراتی را نیز به همراه دارند. ویندوز ۱۱

یک محقق امنیتی راهی برای ربودن ابزار اتوماسیون نرم افزاری مایکروسافت برای ارسال باج افزار به ماشین‌های متصل و سرقت داده‌ها از دستگاه‌ها یافته است.

مایکل بارگوری، موسس و مدیر ارشد فناوری شرکت امنیتی Zenity که پشت این کار است، گفت: این حمله از ابزار اتوماسیون، همان طور که طراحی شده است، استفاده می‌کند؛ اما به جای ارسال اقدامات قانونی، می‌توان از آن برای استقرار بدافزار استفاده کرد.

بارگوری گفت: تحقیق من نشان داد که شما به‌عنوان یک مهاجم می‌توانید به راحتی از تمام این زیرساخت‌ها استفاده کنید تا دقیقا همان کاری را که قرار است انجام دهد، انجام دهید. شما از آن برای اجرای محموله‌های خود به جای محموله‌های سازمانی استفاده می‌کنید.

این حمله مبتنی بر Power Automate مایکروسافت است. یک ابزار اتوماسیون که در ویندوز ۱۱ تعبیه شده است. Power Automate از نوعی اتوماسیون فرآیند روباتیک استفاده می‌کند که به عنوان RPA نیز شناخته می‌شود که در آن رایانه از اقدامات انسان برای تکمیل وظایف تقلید می‌کند. اگر می‌خواهید هر بار که فید RSS به‌روزرسانی می‌شود، یک اعلان دریافت کنید، می‌توانید یک فرآیند RPA سفارشی برای تحقق آن ایجاد کنید. هزاران مورد از این اتوماسیون‌ها وجود دارد و نرم افزار مایکروسافت می‌تواند Outlook، Teams، Dropbox و سایر برنامه‌ها را به هم مرتبط کند.
این نرم‌افزار بخشی از یک جنبش گسترده‌تر کم‌کد/بدون کد است که هدف آن ایجاد ابزار‌هایی است که افراد می‌توانند از آن برای ایجاد مواردی بدون داشتن دانش کدنویسی استفاده کنند.

تحقیقات بارگوری از موقعیتی شروع می‌شود که در آن یک هکر قبلا به رایانه شخصی دسترسی پیدا کرده است؛ چه از طریق فیشینگ و چه از طریق یک تهدید داخلی.

هنگامی که یک مهاجم به رایانه دسترسی پیدا می‌کند، باید چند مرحله اضافی را برای سوء استفاده از تنظیمات RPA انجام دهد؛ اما این‌ها نسبتا ساده هستند.

بارگوری که کل فرآیند را Power Pwn نامیده و در حال مستندسازی آن در GitHub است، گفت: این جا هک زیاد نیست. یک مهاجم ابتدا باید یک حساب ابری مایکروسافت که به عنوان مستاجر شناخته می‌شود، راه‌اندازی کرده و آن را طوری تنظیم کند که کنترل‌های مدیریتی بر روی ماشین‌هایی که به او اختصاص داده می‌شود، داشته باشد. این اساسا به حساب مخرب اجازه می‌دهد تا فرآیند‌های RPA را در دستگاه کاربر نهایی اجرا کند. در دستگاهی که قبلا در معرض خطر قرار گرفته بود، اکنون تنها کاری که یک هکر باید انجام دهد این است که آن را به حساب مدیریت جدید اختصاص دهد، این کار با استفاده از یک خط فرمان ساده به نام ثبت نام خاموش انجام می‌شود.

بارگوری گفت: هنگامی که این کار را انجام دادید، یک URL دریافت خواهید کرد که به شما به عنوان یک مهاجم امکان ارسال محموله‌ها را به دستگاه می‌دهد. قبل از سخنرانی خود در DefCon، او چندین نسخه نمایشی ایجاد کرد که نشان می‌داد چگونه می‌توان از Power Automate برای خروج باج‌افزار به ماشین‌های آسیب‌دیده استفاده کرد. دمو‌های دیگر نشان می‌دهند که چگونه یک مهاجم می‌تواند توکن‌های احراز هویت را از یک ماشین بدزدد.

او گفت: شما می‌توانید از طریق این تونل قابل اعتماد، داده‌ها را خارج از شبکه‌های شرکتی استخراج کنید، می‌توانید کی لاگر بسازید یا اطلاعات را از کلیپ بورد گرفته و مرورگر را کنترل کنید.

سخنگوی مایکروسافت پتانسیل این حمله را کم اهمیت جلوه داد و اشاره کرد که قبل از استفاده از یک حساب، مهاجم باید به آن دسترسی داشته باشد. هیچ مکانیزمی وجود ندارد که به وسیله آن یک دستگاه کاملا به روز شده با محافظت‌های آنتی ویروس از راه دور با استفاده از این تکنیک به خطر بیفتد. این تکنیک بر یک سناریوی فرضی متکی است که در آن یک سیستم از قبل در معرض خطر یا مستعد به خطر افتادن با استفاده از تکنیک‌های موجود مانند مهندسی اجتماعی هم برای حمله اولیه و هم برای هر حمله بعدی شبکه است.

به گفته بارگوری شناسایی این نوع حمله ممکن است سخت باشد؛ زیرا از سیستم‌ها و فرآیند‌های رسمی در سراسر آن استفاده می‌کند. وقتی به معماری فکر می‌کنید، این یک ابزار اجرای کد از راه دور است که توسط مایکروسافت ساخته شده و در تمام طول مسیر توسط مایکروسافت امضا شده است.

بارگوری گفت که قبل از سخنرانی او در DefCon، تیم مایکروسافت با او تماس گرفته و اشاره کرده اند که مدیران شبکه‌های تجاری می‌توانند با «افزودن یک ورودی رجیستری» به دستگاه‌های خود دسترسی به ابزار‌های Power Automate را محدود کنند. این فرآیند کنترل‌هایی را بر روی انواع حساب‌هایی که می‌توانند به Power Automate وارد شوند، اعمال می‌کند؛ بنابراین احتمال سوء استفاده از سیستم را کاهش می‌دهد.

با این حال بارگوری گفت: برای موفقیت‌آمیز بودن، این حرکت به تیم‌های امنیتی متکی است که سیاست‌های منسجم و روشنی را در سراسر سازمان‌های خود داشته باشند که همیشه این طور نیست.

در حالی که محبوبیت ابزار‌های RPA در حال افزایش است، قبلا حملاتی در دنیای واقعی برای سوء استفاده از پلتفرم‌ها طراحی شده‌اند. در اوایل سال ۲۰۲۰، تیم امنیتی مایکروسافت شش گروه هکر از جمله یک APT چینی را در شبکه یک شرکت پیدا کرد. یکی از گروه‌های هکر از سیستم‌های خودکار برای حذف داده‌ها استفاده کرد.

مایکروسافت در گزارش حادثه نوشت: “در اقدامی غیر معمول، مهاجم از سیستم‌های موجود مشتری، از جمله eDiscovery، ویژگی Compliance Search و Microsoft Flow برای سرقت خودکار نتایج جست و جوی خود استفاده کرد.”

بیشتر بخوانید
Diverse computer hacking shoot

مرکز مدیریت راهبردی افتا با توجه به بهره‌جویی باج‌افزار DeadBolt از ضعف امنیتی در Photo Station، از همه راهبران امنیتی سازمان‌های دارای زیرساخت حیاتی خواست تا تجهیزات QNAP خود را آپدیت کنند.

به گزارش کارگروه امنیت بهپارت به نقل از مرکز مدیریت راهبردی افتا، گردانندگان باج‌افزار DeadBolt این بار از یک آسیب‌پذیری در Photo Station برای رمزگذاری دستگاه‌های ذخیره‌سازی متصل به اینترنت ساخت شرکت QNAP، سوءاستفاده می‌کنند.

با توجه به هشدار شرکت کیونپ، کارشناسان امنیتی مرکز افتا از سازمان‌های دارای تجهیزات QNAP خواسته‌اند دستگاه‌ها و تجهیزات ذخیره‌ساز معروف به NAS را به‌طور مستقیم به اینترنت متصل نکنند و همچنین از قابلیت myQNAPcloud Link ارائه شده توسط QNAP استفاده کرده یا سرویس VPN را فعال کنند.

شرکت کیونپ به کاربران خود توصیه اکید کرده است Photo Station تجهیزات خود را به آخرین نسخه‌های غیرآسیب‌پذیر، به‌روز کنند و یا از محصول QuMagie به‌عنوان جایگزینی قدرتمند به‌جای Photo Station برای مدیریت ذخیره‌سازی تصاویر در تجهیزات NAS ساخت این شرکت استفاده کنند.

مهاجمان باج‌افزار DeadBolt دی ۱۴۰۰ نیز با بهره‌جویی از یک آسیب‌پذیری روز صفر دستگاه‌های NAS را در سرتاسر جهان هدف قرار دادند و اطلاعات این سیستم‌ها را رمزگذاری کردند.

در این حملات مهاجمان، پس از رمزگذاری تجهیزات NAS، در اطلاعیه باج‌گیری، خواستار پرداخت ۰.۰۳ باج بیت‌کوین (تقریباً ۱۲۷۷ دلار) به‌ازای یک کلید رمزگشایی برای بازیابی فایل‌ها شدند.

مهاجمان سایبری، کلید رمزگشایی اصلی را به قیمت ۵۰ بیت‌کوین عرضه می‌کنند که می‌تواند به همه قربانیان این باج‌افزار اجازه رمزگشایی فایل‌ها را بدهد.

بنا به گفته کارشناسان مرکز افتا، شرکت کیونپ، از دوازدهم شهریور در واکنش به موج جدیدی از حملات باج‌افزار DeadBolt در توصیه‌نامه‌ای به راهبران امنیتی توصیه کرده است علاوه بر به‌روزرسانی تجهیزات خود، به‌صورت جدی از رمزهای عبور قوی در تمام حساب‌های کاربری NAS استفاده و از اطلاعات و داده‌های خود به‌صورت منظم نسخه‌های پشتیبان تهیه کنند.

شرکت کیونپ ضمن انتشار هشداری، از مشتریان توصیه کرده است که دستگاه‌ها و تجهیزات NAS را مستقیماً به اینترنت متصل نکنند؛ همچنین از قابلیت myQNAPcloud Link ارائه شده توسط QNAP استفاده کرده یا سرویس VPN را فعال کنند.
به مشتریان شرکت کیونپ توصیه اکید شده است که Photo Station را به آخرین نسخه‌های غیر آسیب‌پذیر زیر، به‌روز کنند:

QTS 5.0.1: Photo Station 6.1.2 +
QTS 5.0.0/4.5.x: Photo Station 6.0.22 +
QTS 4.3.6: Photo Station 5.7.18 +
QTS 4.3.3: Photo Station 5.4.15 +
QTS 4.2.6: Photo Station 5.2.14 +

کیونپ به کاربران پیشنهاد می‌کند که از محصول QuMagie به‌عنوان جایگزینی قدرتمند به‌جای Photo Station برای مدیریت ذخیره‌سازی تصاویر در تجهیزات NAS ساخت این شرکت استفاده کنند.
مهاجمان باج‌افزار DeadBolt در دی 1400 نیز با بهره‌جویی از یک آسیب‌پذیری روز صفر دستگاه‌های NAS را در سرتاسر جهان هدف قرار دادند‌ و اطلاعات این سیستم‌ها را رمزگذاری کردند.
در این حملات مهاجمان باج‌افزاری،  پس از رمزگذاری تجهیزات NAS، پسوند .deadbolt را به نام فایل‌ها اضافه کرده و پیام رمزگذاری فایل‌ها توسط باج‌افزار DeadBolt را به‌صورت زیر در صفحه ورود دستگاه‌های NAS به کاربران نمایش می‌دهند:

“WARNING: Your files have been locked by DeadBolt”

بیشتر بخوانید

یک ارائه‌دهنده اطلاعات تهدید جهانی، Evilcoder را در قالب پروژه‌ای که برای فروش ابزار‌های مخرب برای اجرای آنلاین ماژول‌های HNVC مخرب و حملات باج‌افزار طراحی شده، مطالعه کرده است. علاوه بر این، XWorm RAT در حال توزیع نیز یافت شد.

جزییات کشف بدافزار
تحت این پروژه، یک توسعه‌دهنده بدافزار در حال فروش ابزار‌هایی برای ایجاد بدافزار، مخفی کردن بدافزار‌های موجود، و دور زدن بررسی‌های UAC و همچنین تبلیغ RAT‌های قدرتمند Windows کشف شدند.
توسعه دهنده بدافزار هفت ابزار با قیمتی بین ۳۰ تا ۱۵۰ دلار ارسال کرده است. با این حال، توسعه‌دهنده در وب‌سایت Evilcoder تصریح می‌کند که این ابزار‌ها فقط برای اهداف آموزشی و تست امنیتی طراحی شده‌اند و نه برای هیچ فعالیت دیگری.
محققان نمونه‌های پروژه Evilcoder را تجزیه و تحلیل کردند و چند گونه مختلف از XWorm را شناسایی کردند که از تکنیک‌های پایداری و فرار دفاعی متعدد استفاده می‌کند.

تحلیل تکنیکال
بدافزار XWorm می‌تواند چندین payload مخرب را در نقاط مختلف سیستم ر‌ها کند، ورودی‌های رجیستری را اضافه یا تغییر دهد و دستورات را اجرا کند. پس از اجرا، بدافزار یک ثانیه به خواب رفته و mutexes، ماشین‌های مجازی، اشکال‌زدا‌ها، شبیه‌ساز‌ها، محیط‌های sandbox و Anyrun را بررسی می‌کند. در صورت عدم رعایت هر یک از این شرایط، بدافزار فعالیت خود را خاتمه می‌دهد.
بدافزار XWorm خود را در پوشه راه‌اندازی اولیه نصب می‌کند و یک ورودی وظیفه برنامه‌ریزی شده در پوشه AppData ایجاد می‌کند. بدافزار یک ورودی autorun در رجیستری ایجاد می‌کند تا اطمینان حاصل کند که هر زمان که سیستم مجدداً راه‌اندازی شود به طور خودکار اجرا می‌شود.
پس از ایجاد پایداری، با سرور C2 تماس می‌گیرد. سپس سیستم دامنه C&C از طریق یک رشته جدید از اطلاعات سیستم جدید مطلع می‌شود. این روال Read() را در بر می‌گیرد که دستورات رمزگذاری شده AES را از C&C دریافت می‌کند و قبل از اجرای عملیات لازم آن‌ها را رمزگشایی می‌کند.

قابلیت‌های XWorm
این بدافزار می‌تواند وظایف مختلفی از جمله ثبت کلید ورودی، ضبط صفحه، به‌روزرسانی خودکار، خود تخریبی، اجرای اسکریپت و عملیات باج‌افزار را انجام دهد.
عملیات پوشه فایل که توسط بدافزار انجام می‌شود عبارتند از افزودن و حذف فایل‌ها، پنهان کردن و نمایش فایل‌ها و انتقال فایل‌ها.
علاوه بر این، بدافزار یک حمله محاسبات شبکه مجازی مخفی (HVNC) را راه‌اندازی می‌کند که به آن اجازه می‌دهد یک ماشین راه دور را بدون اطلاع قربانی کنترل کند.

نتیجه‌گیری
توسعه‌دهندگان بدافزار با مسئولیت کم یا بدون مسئولیت می‌توانند برنامه‌های مخرب ایجاد کنند و آن‌ها را در انجمنهای مختلف برای کسب سود مالی بفروشند. عوامل تهدید با ویژگی‌های بسیار تأثیرگذار و خطرناک مانند ماژول‌های باج‌افزار و HVNC برای جذب مشتریان بیشتر ارائه می‌شوند. شما باید سیستمی داشته باشید تا با TTP‌های تهدیدات تازه راه‌اندازی شده یا اگر تکنیک‌های حمله جدیدی توسط گروه‌های مجرم سایبری موجود اتخاذ شده است، خود را در جریان دفاعیات سایبری قرار دهید.

بیشتر بخوانید

تحلیلگران تهدید یک کمپین بدافزار جدید به نام «GO#WEBBFUSCATOR» را مشاهده کرده‌اند که بر‌ایمیل‌های فیشینگ، اسناد مخرب و تصاویر فضایی تلسکوپ جیمز وب برای انتشار بدافزار متکی است.

این بدافزار به زبان Golang  که در بین مجرمان سایبری محبوبیت پیدا کرده، نوشته شده است. زیرا این بدافزار میان پلتفرمی (ویندوز، لینوکس، مک) است و مقاومت بیشتری در برابر مهندسی معکوس و تجزیه و تحلیل را ارائه می‌کند.
در کمپین اخیری که توسط محققان Securonix کشف شد، عامل تهدید، payload‌هایی را که در حال حاضر توسط موتور‌های آنتی ویروس در پلتفرم اسکن VirusTotal به عنوان مخرب علامت‌گذاری نشده‌اند، مستقر می‌کند.

زنجیره آلودگی
آلودگی با یک‌ ایمیل فیشینگ با یک سند مخرب پیوست شده،”Geos-Rates.docx” شروع می‌شود که یک فایل تمپلیت را دانلود می‌کند.

آن فایل حاوی یک ماکرو VBS مبهم است که در صورت فعال بودن ماکرو‌ها در مجموعه آفیس، به صورت خودکار اجرا می‌شود. سپس کد یک تصویر JPG (“OxB36F8GEEC634.jpg”) را از یک منبع راه دور (“xmlschemeformat[.]com” دانلود می‌کند، آن را با استفاده از certutil. exe به یک فایل اجرایی (“msdllupdate.exe”) رمزگشایی کرده و راه‌اندازی می‌کند.

hackers hide malware in james webb telescope

در یک نمایشگر تصویر، JPG. خوشه کهکشانی SMACS 0723 را نشان می‌دهد که توسط ناسا در جولای ۲۰۲۲ منتشر شد.
با این حال، اگر با یک ویرایشگر متن باز شود، تصویر محتوای اضافی را نشان می‌دهد که به‌عنوان یک گواهی ارائه‌شده پنهان شده است، که یک payload با کد Base64 است که به فایل اجرایی مخرب ۶۴ بیتی تبدیل می‌شود.

hackers hide malware in james webb telescope

رشته‌های payload با استفاده از ROT25 بیشتر مبهم می‌شوند، در حالی که باینری از XOR برای مخفی کردن مجموعه‌های Golang از تحلیلگران استفاده می‌کند. علاوه بر این، مجموعه‌ها از تغییر کیس استفاده می‌کنند تا از تشخیص مبتنی بر امضا توسط ابزار‌های امنیتی جلوگیری کنند.

فانکشن‌های بدافزار
بر اساس آنچه از تجزیه و تحلیل بدافزار دینامیک استنباط می‌شود، فایل اجرایی با کپی کردن خود در «%%localappdata%%\\microsoft\\vault» و افزودن کلید رجیستری جدید به ماندگاری دست می‌یابد.
پس از اجرا، بدافزار یک اتصال DNS به سرور command-and-control (C2) برقرار می‌کند و پرس و جو‌های رمزگذاری شده را ارسال می‌کند.
مجموعه Securonix در گزارش توضیح می‌دهد: «پیام‌های رمزگذاری‌شده در سرور C2 خوانده می‌شوند و رمزگذاری نمی‌شوند، بنابراین محتوای اصلی آن آشکار می‌شود. »
“در مورد GO#WEBBFUSCATOR، ارتباط با سرور C2 با استفاده از درخواست‌های TXT-DNS با استفاده از درخواست‌های nslookup به name server کنترل‌شده توسط مهاجم اجرا می‌شود. تمام اطلاعات با استفاده از Base64 کدگذاری شده است.”
سرور C2 ممکن است با تنظیم فواصل زمانی بین درخواست‌های اتصال، تغییر زمان‌بندی nslookup یا ارسال دستوراتی برای اجرا از طریق ابزار cmd.exe به بدافزار پاسخ دهد.
در طول آزمایش، Securonix مشاهده کرد که عامل‌های تهدید در سیستم‌های آزمایشی خود فرمان‌های شمارش دلخواه را اجرا می‌کردند که اولین مرحله شناسایی استاندارد بود.
محققان خاطرنشان می‌کنند که دامنه‌های مورد استفاده برای کمپین اخیراً ثبت شده‌اند و قدیمی‌ترین دامنه متعلق به ۲۹ مه ۲۰۲۲ است.
مجموعه Securonix، مجموعه‌ای از شاخص‌های خطرآفرینی (IoCs) را ارائه کرده است که شامل هر دو شاخص شبکه و مبتنی بر هاست است.

بیشتر بخوانید

اپراتور‌های بد افزار Gootkit access-as-a-service (AaaS) با تکنیک‌های به روز شده برای به خطر انداختن قربانیان ناآگاه دوباره در فضای سایبری ظاهر شده‌اند.

بادی تانسیو و جید والدراما، محققان Trend Micro هفته گذشته در گزارشی گفتند: «در گذشته، Gootkit از نصب‌کننده‌های نرم‌افزار رایگان برای پوشاندن فایل‌های مخرب استفاده می‌کرد؛ اما اکنون از اسناد قانونی برای فریب کاربران برای دانلود این فایل‌ها استفاده می‌کند.»

این یافته‌ها بر اساس گزارش قبلی از eSentire است که در ژانویه حملات گسترده‌ای را با هدف استقرار بد افزار در سیستم‌های آلوده به کارمندان حسابداری و شرکت‌های حقوقی فاش کرد.

بد افزار Gootkit بخشی از اکوسیستم زیرزمینی در حال گسترش دسترسی بروکر‌ها است، که برای سایر عاملان مخرب راهی برای ورود به شبکه‌های شرکتی با یک قیمت اندک فراهم می‌کند و راه را برای حملات آسیب‌رسان واقعی مانند باج‌افزار هموار می‌نماید.

لودر از نتایج موتور جستجوی مخرب استفاده می‌کند، تکنیکی به نام آلودگی SEO، تا کاربران ناآگاه را به بازدید از وب‌سایت‌های آسیب‌دیده که میزبان فایل‌های پکیج ZIP با بدافزار هستند که ظاهراً مربوط به توافق‌نامه‌های افشای معاملات املاک و مستغلات هستند، جذب کند.

محققان خاطرنشان کردند: «ترکیبی از آلودگی سئو و وب سایت‌های قانونی در معرض خطر می‌تواند شاخص‌های فعالیت مخربی را که معمولاً برای کاربرانی که مراقب فعالیت‌های خود هستند، پنهان کند.»

فایل ZIP، به نوبه خود، شامل یک فایل جاوا اسکریپت است که یک باینری Cobalt Strike را بارگذاری می‌کند، ابزاری که برای فعالیت‌های پس از بهره‌برداری که مستقیماً بدون فایل در حافظه اجرا می‌شود، استفاده می‌شود.

محققان گفتند: «Gootkit هنوز فعال است و تکنیک‌های خود را بهبود می‌بخشد. این نشان می‌دهد که این عملیات مؤثر بوده است، زیرا به نظر می‌رسد دیگر عوامل تهدید به استفاده از آن روی آورده و ادامه می‌دهند.»

بیشتر بخوانید

یک عامل تهدید مرتبط با عملیات باج‌ افزار LockBit 3.0 از ابزار کامند لاین Windows Defender برای بارگذاری بیکون‌های Cobalt Strike در سیستم‌های آسیب‌دیده و فرار از شناسایی توسط نرم‌افزار امنیتی سواستفاده می‌کند.

بدافزار Cobalt Strike یک مجموعه تست نفوذ قانونی با ویژگی‌های گسترده است که در بین عوامل تهدید برای انجام شناسایی پنهان شبکه و حرکت جانبی قبل از سرقت داده‌ها و رمزگذاری آن‌ها، محبوب است.

با این حال، راه‌حل‌های امنیتی در تشخیص بیکون‌های Cobalt Strike بهتر شده‌اند و عاملان تهدید را وادار می‌کنند که به دنبال راه‌های نوآورانه برای استقرار toolkit خود باشند.

در یک مورد اخیر پاسخ حادثه برای یک حمله باج‌ افزار LockBit، محققان در Sentinel Labs متوجه سواستفاده از ابزار کامند لاین Microsoft Defender «MpCmdRun.exe» برای بارگذاری جانبی DLL‌های مخربی شدند که بیکون‌های Cobalt Strike را رمزگشایی و نصب می‌کنند.

به خطر انداختن اولیه شبکه در هر دو مورد با بهره‌برداری از یک نقص Log4j در سرور‌های آسیب‌پذیر VMWare Horizon برای اجرای کد PowerShell انجام شد.

بارگذاری جانبی بیکون‌های Cobalt Strike در سیستم‌های در معرض خطر برای LockBit چیز جدیدی نیست، زیرا گزارش‌هایی در مورد زنجیره‌های آلودگی مشابه با تکیه بر سواستفاده از ابزار‌های کامند لاین VMware وجود دارد.

سواستفاده از Microsoft Defender
پس از ایجاد دسترسی به یک سیستم هدف و به دست آوردن اختیارات کاربر مورد نیاز، عوامل تهدید از PowerShell برای بارگیری سه فایل استفاده می‌کنند:  یک کپی تمیز از یک ابزار Windows CL، یک فایل DLL و یک فایل LOG.

مشخصاً MpCmdRun. exe یک ابزار کامند لاین برای انجام وظایف Microsoft Defender است و از دستوراتی برای اسکن بدافزار، جمع‌آوری اطلاعات، بازیابی موارد مورد نیاز، انجام ردیابی تشخیصی و غیره پشتیبانی می‌کند.

وقتی که اجرا شد،  MpCmdRun.exe یک DLL قانونی به نام «mpclient.dll» را بارگیری می‌کند که برای عملکرد صحیح برنامه لازم است.

در موردی که توسط SentinelLabs تجزیه و تحلیل شده است، عوامل تهدید نسخه تسلیح شده خود از mpclient.dll را ایجاد کرده‌اند و آن را در مکانی قرار داده‌اند که بارگذاری نسخه مخرب فایل DLL را در اولویت قرار می‌دهد.

کد اجرا شده یک payload رمزگذاری شده Cobalt Strike را از فایل «c0000015.log» بارگیری و رمزگشایی می‌کند، که همراه با دو فایل دیگر از مرحله اولیه حمله حذف شده است.

در حالی که مشخص نیست چرا شرکت وابسته LockBit از VMware به ابزار‌های کامند لاین Windows Defender برای بارگذاری جانبی بیکون‌های Cobalt Strike تغییر رویکرد داده است، ممکن است به دلیل دور زدن حفاظت‌های هدفمند اجرا شده در پاسخ به روش قبلی باشد.

استفاده از ابزار‌های “living off the land” برای فرار از تشخیص EDR و AV این روز‌ها بسیار رایج است. از این رو سازمان‌ها باید کنترل‌های امنیتی خود را بررسی کنند و با ردیابی استفاده از فایل‌های اجرایی قانونی که می‌توانند توسط مهاجمان استفاده شوند، از خود هوشیاری کافی و وافی را نشان دهند.

بیشتر بخوانید

یک خانواده باج‌ افزار جدید به نام Luna می‌تواند برای رمزگذاری دستگاه‌های دارای سیستم عامل‌هایی از جمله سیستم‌های ویندوز، لینوکس و ESXi استفاده شود.

باج‌ افزار Luna که توسط محققان امنیتی Kaspersky از طریق یک تبلیغ انجمن باج‌افزار دارک‌وب که توسط سیستم نظارت فعال اطلاعات Darknet Threat این شرکت شناسایی شده است، کشف شد. به نظر می‌رسد که باج‌افزار Luna به‌طور خاص برای استفاده تنها توسط عوامل تهدید روسی‌زبان طراحی شده است.

کسپرسکی گفت: “در این آگهی آمده است که Luna فقط با وابستگان روسی زبان کار می‌کند. همچنین، یادداشت پیش‌نویسی شده باج در داخل باینری حاوی اشتباهات املایی است.

به همین دلیل، ما با اطمینان متوسط ​​فرض می‌کنیم که بازیگران پشت سر لونا به زبان روسی صحبت می‌کنند.

بدافزار Luna (به روسی ماه) باج‌افزار بسیار ساده‌ای است که هنوز در دست توسعه است و با قابلیت‌های محدود بر اساس گزینه‌های کامند لاین موجود است.

با این حال، از یک طرح رمزگذاری نه چندان رایج استفاده می‌کند، که منحنی بیضوی سریع و ایمن X25519 Diffie-Hellman را با استفاده از Curve25519 با الگوریتم رمزگذاری متقارن رمزگذاری پیشرفته (AES) ترکیب می‌کند.

باج‌ افزار کراس پلتفرمی مبتنی بر Rust
گروهی که پشت این باج‌ افزار جدید قرار دارد، این نوع جدید را در Rust توسعه داده و از ماهیت پلتفرم-آگنوستیک آن برای انتقال آن به پلتفرم‌های متعدد با تغییرات بسیار کمی در سورس‌کد استفاده کرده است.

استفاده از یک زبان بین پلتفرمی همچنین باج‌افزار Luna را قادر می‌سازد تا از تلاش‌های تجزیه و تحلیل کد استاتیک خودکار فرار کرده و بگریزد.

محققان افزودند: “هر دو نمونه لینوکس و ESXi با استفاده از کد منبع یکسان با برخی تغییرات جزئی نسبت به نسخه ویندوز کامپایل شده‌اند. بقیه کد‌ها هیچ تغییر قابل توجهی نسبت به نسخه ویندوز ندارند.”

بدافزار Luna همچنین آخرین روند اتخاذ شده توسط باند‌های جرایم سایبری را تأیید می‌کند که باج‌افزار‌های چند پلتفرمی را توسعه می‌دهند که از زبان‌هایی مانند Rust و Golang برای ایجاد بدافزار‌هایی استفاده می‌کنند که قادر به هدف قرار دادن چندین سیستم عامل بدون تغییر اندک هستند.

کسپرسکی می‌گوید با توجه به اینکه این گروه به تازگی کشف شده و فعالیت‌های آن همچنان تحت نظارت است، داده‌های بسیار کمی در مورد اینکه چه قربانیانی با استفاده از باج‌افزار Luna رمزگذاری شده‌اند، وجود دارد.

دیگر خانواده‌های باج‌افزار جدید
بلیپینگ کامپیوتر در این ماه گزارشی درباره Lilith، باج‌افزار مبتنی بر کنسول C/C++ که دستگاه‌های Windows 64 بیتی را هدف قرار می‌دهد، و 0mega، یک عملیات باج‌افزار جدید که شرکت‌ها را از ماه می‌هدف قرار می‌دهد و میلیون‌ها دلار باج می‌خواهد، منتشر کرد.

و همچنین هر دو به سرقت داده‌ها از شبکه‌های قربانیان قبل از رمزگذاری سیستم‌هایشان برای پشتیبانی از حملات اخاذی مضاعف معروف هستند.

بیشتر بخوانید
error: شما اجازه کپی کردن ندارید !!