شرکت اطلاعاتی تهدیدات و پاسخ به تهاجنات سایبری Volexity گزارش می‌دهد که طی سال گذشته، مشاهده شده است که کیمسوکی (Kimsuky)، عامل تهدید مداوم پیشرفته کره شمالی (APT)، از یک بد افزار و افزونه مرورگر برای سرقت محتوا از حساب‌های‌ ایمیل قربانیان استفاده می‌کند.

کیمسوکی که حداقل از سال ۲۰۱۲ فعال بوده و با نام‌های Black Banshee، Thallium، SharpTonge، و Velvet Chollima نیز ردیابی می‌شود، به‌خاطر هدف قرار دادن نهاد‌ها در کره جنوبی، و همچنین برخی از آن‌ها در اروپا و ایالات متحده نیز شناخته شده است.

بیش از یک سال است که Volexity مهاجم را با استفاده از یک افزونه مرورگر مخرب برای Google Chrome، Microsoft Edge و Naver Whale (یک مرورگر مبتنی بر کروم که در کره جنوبی استفاده می‌شود) دنبال می‌کند که داده‌ها را مستقیماً از حساب‌ ایمیل قربانیان سرقت کند.

مجموعه Volexity می‌گوید این برنامه افزودنی که Sharpext نام دارد از سرقت داده‌ها از Gmail و AOL وب‌میل پشتیبانی می‌کند، به طور فعال توسعه یافته است و در حملات هدفمند به افراد مختلف، از جمله حملاتی در بخش سیاست خارجی و هسته‌ای، استفاده شده است.

طبق گفته‌های Volexity، «مهاجم با استقرار بد افزار توانست هزاران‌ ایمیل از چندین قربانی را با موفقیت به سرقت ببرد. »

برنامه افزودنی به صورت دستی در سیستم‌هایی که قبلاً در معرض خطر قرار گرفته‌اند مستقر می‌شود و مهاجم باید فایل‌های پرفرنس قانونی مرورگر را با فایل‌های تغییریافته جایگزین کند.

«استقرار Sharpext بسیار سفارشی شده است، زیرا مهاجم ابتدا باید به فایل تنظیمات امنیتی مرورگر اصلی قربانی دسترسی پیدا کند. سپس این فایل تغییر می‌یابد و برای استقرار پسوند مخرب استفاده می‌شود. Volexity مشاهده کرده است که SharpTongue شارپکس را در برابر اهداف به مدت بیش از یک سال مستقر می‌کند. و در هر مورد، یک پوشه اختصاصی برای کاربر آلوده ایجاد می‌شود که حاوی فایل‌های مورد نیاز برای افزونه است.»

یک اسکریپت PowerShell برای از بین بردن فرآیند مرورگر استفاده می‌شود تا امکان استخراج فایل‌های مورد نیاز فراهم شود. پس از استقرار برنامه افزونه، PowerShell دیگری DevTools را قادر می‌سازد تا محتویات تب را که کاربر به آن دسترسی دارد بررسی کند و داده‌های مورد علاقه را استخراج کند.

در ادامه Volexity خاطرنشان می‌کند، از آنجایی که برنامه افزودنی شامل کد‌های بدیهی مخرب نمی‌شود، احتمالاً از شناسایی توسط راه حل‌های ضدبدافزار جلوگیری می‌کند. این برنامه افزونه همچنین به مهاجمان اجازه می‌دهد تا به صورت پویا کد خود را بدون نیاز به نصب مجدد آن بر روی دستگاه آلوده به روز کنند.

بد افزار Sharpext لیستی از آدرس‌های‌ ایمیل را برای ایگنور کردن، ایمیل‌ها و پیوست‌های دزدیده شده قبلی، و تب‌های نظارت شده برای جلوگیری از استخراج چندین بار داده‌های یکسان نگهداری می‌کند. همچنین دامنه‌هایی را که قربانی بازدید می‌کند نظارت می‌کند.

«با سرقت داده‌های‌ ایمیل در چارچوب session که کاربر از قبل وارد شده است، حمله از ارائه‌دهنده‌ ایمیل پنهان می‌شود و تشخیص را بسیار چالش برانگیز می‌کند. به طور مشابه، روشی که در آن افزونه کار می‌کند به این معنی است که اگر کاربر آن را بررسی کند، فعالیت مشکوک در صفحه وضعیت «فعالیت حساب»‌ ایمیل کاربر ثبت نمی‌شود. »

یک عامل تهدید مرتبط با عملیات باج‌ افزار LockBit 3.0 از ابزار کامند لاین Windows Defender برای بارگذاری بیکون‌های Cobalt Strike در سیستم‌های آسیب‌دیده و فرار از شناسایی توسط نرم‌افزار امنیتی سواستفاده می‌کند.

بدافزار Cobalt Strike یک مجموعه تست نفوذ قانونی با ویژگی‌های گسترده است که در بین عوامل تهدید برای انجام شناسایی پنهان شبکه و حرکت جانبی قبل از سرقت داده‌ها و رمزگذاری آن‌ها، محبوب است.

با این حال، راه‌حل‌های امنیتی در تشخیص بیکون‌های Cobalt Strike بهتر شده‌اند و عاملان تهدید را وادار می‌کنند که به دنبال راه‌های نوآورانه برای استقرار toolkit خود باشند.

در یک مورد اخیر پاسخ حادثه برای یک حمله باج‌ افزار LockBit، محققان در Sentinel Labs متوجه سواستفاده از ابزار کامند لاین Microsoft Defender «MpCmdRun.exe» برای بارگذاری جانبی DLL‌های مخربی شدند که بیکون‌های Cobalt Strike را رمزگشایی و نصب می‌کنند.

به خطر انداختن اولیه شبکه در هر دو مورد با بهره‌برداری از یک نقص Log4j در سرور‌های آسیب‌پذیر VMWare Horizon برای اجرای کد PowerShell انجام شد.

بارگذاری جانبی بیکون‌های Cobalt Strike در سیستم‌های در معرض خطر برای LockBit چیز جدیدی نیست، زیرا گزارش‌هایی در مورد زنجیره‌های آلودگی مشابه با تکیه بر سواستفاده از ابزار‌های کامند لاین VMware وجود دارد.

سواستفاده از Microsoft Defender
پس از ایجاد دسترسی به یک سیستم هدف و به دست آوردن اختیارات کاربر مورد نیاز، عوامل تهدید از PowerShell برای بارگیری سه فایل استفاده می‌کنند:  یک کپی تمیز از یک ابزار Windows CL، یک فایل DLL و یک فایل LOG.

مشخصاً MpCmdRun. exe یک ابزار کامند لاین برای انجام وظایف Microsoft Defender است و از دستوراتی برای اسکن بدافزار، جمع‌آوری اطلاعات، بازیابی موارد مورد نیاز، انجام ردیابی تشخیصی و غیره پشتیبانی می‌کند.

وقتی که اجرا شد،  MpCmdRun.exe یک DLL قانونی به نام «mpclient.dll» را بارگیری می‌کند که برای عملکرد صحیح برنامه لازم است.

در موردی که توسط SentinelLabs تجزیه و تحلیل شده است، عوامل تهدید نسخه تسلیح شده خود از mpclient.dll را ایجاد کرده‌اند و آن را در مکانی قرار داده‌اند که بارگذاری نسخه مخرب فایل DLL را در اولویت قرار می‌دهد.

کد اجرا شده یک payload رمزگذاری شده Cobalt Strike را از فایل «c0000015.log» بارگیری و رمزگشایی می‌کند، که همراه با دو فایل دیگر از مرحله اولیه حمله حذف شده است.

در حالی که مشخص نیست چرا شرکت وابسته LockBit از VMware به ابزار‌های کامند لاین Windows Defender برای بارگذاری جانبی بیکون‌های Cobalt Strike تغییر رویکرد داده است، ممکن است به دلیل دور زدن حفاظت‌های هدفمند اجرا شده در پاسخ به روش قبلی باشد.

استفاده از ابزار‌های “living off the land” برای فرار از تشخیص EDR و AV این روز‌ها بسیار رایج است. از این رو سازمان‌ها باید کنترل‌های امنیتی خود را بررسی کنند و با ردیابی استفاده از فایل‌های اجرایی قانونی که می‌توانند توسط مهاجمان استفاده شوند، از خود هوشیاری کافی و وافی را نشان دهند.

یک خانواده باج‌ افزار جدید به نام Luna می‌تواند برای رمزگذاری دستگاه‌های دارای سیستم عامل‌هایی از جمله سیستم‌های ویندوز، لینوکس و ESXi استفاده شود.

باج‌ افزار Luna که توسط محققان امنیتی Kaspersky از طریق یک تبلیغ انجمن باج‌افزار دارک‌وب که توسط سیستم نظارت فعال اطلاعات Darknet Threat این شرکت شناسایی شده است، کشف شد. به نظر می‌رسد که باج‌افزار Luna به‌طور خاص برای استفاده تنها توسط عوامل تهدید روسی‌زبان طراحی شده است.

کسپرسکی گفت: “در این آگهی آمده است که Luna فقط با وابستگان روسی زبان کار می‌کند. همچنین، یادداشت پیش‌نویسی شده باج در داخل باینری حاوی اشتباهات املایی است.

به همین دلیل، ما با اطمینان متوسط ​​فرض می‌کنیم که بازیگران پشت سر لونا به زبان روسی صحبت می‌کنند.

بدافزار Luna (به روسی ماه) باج‌افزار بسیار ساده‌ای است که هنوز در دست توسعه است و با قابلیت‌های محدود بر اساس گزینه‌های کامند لاین موجود است.

با این حال، از یک طرح رمزگذاری نه چندان رایج استفاده می‌کند، که منحنی بیضوی سریع و ایمن X25519 Diffie-Hellman را با استفاده از Curve25519 با الگوریتم رمزگذاری متقارن رمزگذاری پیشرفته (AES) ترکیب می‌کند.

باج‌ افزار کراس پلتفرمی مبتنی بر Rust
گروهی که پشت این باج‌ افزار جدید قرار دارد، این نوع جدید را در Rust توسعه داده و از ماهیت پلتفرم-آگنوستیک آن برای انتقال آن به پلتفرم‌های متعدد با تغییرات بسیار کمی در سورس‌کد استفاده کرده است.

استفاده از یک زبان بین پلتفرمی همچنین باج‌افزار Luna را قادر می‌سازد تا از تلاش‌های تجزیه و تحلیل کد استاتیک خودکار فرار کرده و بگریزد.

محققان افزودند: “هر دو نمونه لینوکس و ESXi با استفاده از کد منبع یکسان با برخی تغییرات جزئی نسبت به نسخه ویندوز کامپایل شده‌اند. بقیه کد‌ها هیچ تغییر قابل توجهی نسبت به نسخه ویندوز ندارند.”

بدافزار Luna همچنین آخرین روند اتخاذ شده توسط باند‌های جرایم سایبری را تأیید می‌کند که باج‌افزار‌های چند پلتفرمی را توسعه می‌دهند که از زبان‌هایی مانند Rust و Golang برای ایجاد بدافزار‌هایی استفاده می‌کنند که قادر به هدف قرار دادن چندین سیستم عامل بدون تغییر اندک هستند.

کسپرسکی می‌گوید با توجه به اینکه این گروه به تازگی کشف شده و فعالیت‌های آن همچنان تحت نظارت است، داده‌های بسیار کمی در مورد اینکه چه قربانیانی با استفاده از باج‌افزار Luna رمزگذاری شده‌اند، وجود دارد.

دیگر خانواده‌های باج‌افزار جدید
بلیپینگ کامپیوتر در این ماه گزارشی درباره Lilith، باج‌افزار مبتنی بر کنسول C/C++ که دستگاه‌های Windows 64 بیتی را هدف قرار می‌دهد، و 0mega، یک عملیات باج‌افزار جدید که شرکت‌ها را از ماه می‌هدف قرار می‌دهد و میلیون‌ها دلار باج می‌خواهد، منتشر کرد.

و همچنین هر دو به سرقت داده‌ها از شبکه‌های قربانیان قبل از رمزگذاری سیستم‌هایشان برای پشتیبانی از حملات اخاذی مضاعف معروف هستند.