محققان امنیت سایبری یک کمپین جدید را کشف کرده اند که از یک خانواده باج افزار قبلاً بدون مدارک به نام Charon استفاده می کند تا بخش عمومی و صنعت حمل و نقل هوایی خاورمیانه را هدف قرار دهد.
بازیگر تهدید در پشت این فعالیت ، به گفته Pattern Micro ، تاکتیک هایی را نشان می دهد که از گروه های Superior Menace Tasure (APT) ، مانند بارگیری جانبی DLL ، تزریق فرآیند و امکان فرار از نرم افزار تشخیص و پاسخ (EDR) استفاده می کند.
تکنیک های بارگذاری جانبی DLL شبیه آنهایی است که قبلاً به عنوان بخشی از حملات ثبت شده توسط یک گروه هک شده مرتبط با چین ثبت شده اند باکسی زمین، که توسط شرکت امنیت سایبری به عنوان هدف قرار دادن نهادهای دولتی در تایوان و منطقه آسیا و اقیانوسیه پرچم گذاری شد تا پس از بهره برداری از یک نقص امنیتی در حال حاضر در حال تأثیرگذاری بر Geotools Osgeo Geoserver ، یک پشتی معروف به Eagledoor را ارائه دهد.
“زنجیره حمله یک پرونده مربوط به مرورگر مشروع ، Edge.exe (که در ابتدا به نام Cookie_exporter.exe نامگذاری شده است) ، برای ایجاد یک msedge مخرب. dll (Swordldr) (که متعاقباً آن را به عنوان بار باجگاه چارون مستقر کرد ،” محققان Jacob Santos ، Ted Lee ، احمد Kamal ، and Optored LaD گفته شدهبشر
مانند سایر باینری های باج افزار ، چارون قادر به اقدامات مختل کننده ای است که خدمات مربوط به امنیت را خاتمه می دهد و فرآیندهای اجرای آن را حذف می کند ، و همچنین نسخه های سایه و نسخه پشتیبان را حذف می کند و از این طریق شانس بازیابی را به حداقل می رساند. همچنین استخدام می شود چند رشته و تکنیک های رمزگذاری جزئی برای سریع تر و کارآمدتر کردن روال قفل کردن پرونده.
یکی دیگر از جنبه های قابل توجه باج افزار ، استفاده از درایور است که از منبع باز تهیه شده است پروژه کشتار برای غیرفعال کردن راه حل های EDR با استفاده از آنچه نامیده می شود حمله راننده آسیب پذیر خود (BYOVD) را وارد کنید. با این حال ، این عملکرد هرگز در حین اجرای انجام نمی شود ، نشان می دهد که این ویژگی احتمالاً در دست توسعه است.
شواهدی وجود دارد که نشان می دهد این کمپین به جای فرصت طلب هدف قرار گرفته است. این ناشی از استفاده از یک باج سفارشی است که به طور خاص سازمان قربانی را با نام فراخوانی می کند ، تاکتیکی که در حملات باج افزار سنتی مشاهده نمی شود. در حال حاضر مشخص نیست که چگونه دسترسی اولیه به دست آمده است.
با وجود همپوشانی فنی با Baxia Earth ، Pattern Micro تأکید کرده است که این می تواند به معنای یکی از سه چیز باشد –
- درگیری مستقیم باکسی زمین
- یک عملیات پرچم کاذب برای تقلید عمدی از تجارت Baxia Earth ، یا
- یک بازیگر تهدید جدید که به طور مستقل تاکتیک های مشابهی را توسعه داده است
Pattern Micro خاطرنشان کرد: “بدون تأیید شواهد مانند زیرساخت های مشترک یا الگوهای هدفمند ، ما ارزیابی می کنیم که این حمله همگرایی فنی محدود اما قابل توجه را با عملیات شناخته شده Baxia زمین نشان می دهد.”
صرف نظر از انتساب ، این یافته ها نمونه ای از روند مداوم اپراتورهای باج افزار را به طور فزاینده ای اتخاذ می کند که روشهای پیشرفته ای را برای استقرار بدافزارها و فرار دفاعی اتخاذ می کنند ، و بیشتر خطوط بین جرایم سایبری و فعالیت کشور را محو می کنند.
محققان نتیجه گرفتند: “این همگرایی تاکتیک های APT با عملیات باج افزار ، خطر بالایی را برای سازمان ها ایجاد می کند و تکنیک های پیشرفته فرار را با تأثیر فوری تجارت رمزگذاری باج افزار ترکیب می کند.”
افشای اطلاعات در حالی صورت می گیرد که Esentire به تفصیل باج افزار Interlock کمپین هایی که ClickFix را به کار می برد ، برای رها کردن یک پشتی مبتنی بر PHP که به نوبه خود ، NodesNake (AKA Interlock Rat) را برای سرقت اعتبار و یک ایمپلنت مبتنی بر C که از دستورات تأمین کننده مهاجم برای شناسایی بیشتر و استقرار باجوه پشتیبانی می کند ، مستقر می کند.
“گروه Interlock Group از یک فرآیند پیچیده چند مرحله ای استفاده می کند که شامل اسکریپت های PowerShell ، PHP/NodeJS/C Backdoors ، برجسته کردن اهمیت نظارت بر فعالیت فرآیند مشکوک ، LOLBINS و سایر TTP ها است.” گفته شدهبشر
یافته ها نشان می دهد که باج افزار همچنان یک است تهدید در حال تحول، حتی در حالی که قربانیان برای بازیابی سریع دسترسی به سیستم ها به پرداخت باج خود ادامه می دهند. از طرف دیگر ، مجرمان سایبری به عنوان راهی برای فشار بر قربانیان ، متوسل شدن به تهدیدهای جسمی و حملات DDOS را آغاز کرده اند.
آماری که توسط باراکودا به اشتراک گذاشته شده است نشان دادن 57 ٪ سازمانها در 12 ماه گذشته حمله باج افزار موفق را تجربه کردند که از این تعداد 71 ٪ که نقض ایمیل را تجربه کرده بودند نیز با باج افزار مورد اصابت قرار گرفتند. علاوه بر این ، 32 ٪ باج پرداخت می کردند ، اما تنها 41 ٪ از قربانیان تمام داده های خود را پس گرفتند.
