محققان حوزه امنیت سایبری نسبت به مجموعهای از حملات سایبری هشدار دادهاند که از جولای ۲۰۲۳ تاکنون، سازمانهای مالی در سرتاسر قاره آفریقا را هدف قرار دادهاند. این حملات با استفاده از ترکیبی از ابزارهای متنباز و ابزارهای عمومی در دسترس انجام شدهاند تا مهاجمان بتوانند دسترسی بلندمدت خود به شبکههای قربانی را حفظ کنند.
واحد تحقیقاتی Unit 42 از شرکت Palo Alto Networks این فعالیتها را تحت عنوان CL‑CRI‑۱۰۱۴ ردیابی میکند؛ واژه «CL» مخفف خوشه (Cluster) و «CRI» مخفف انگیزه مجرمانه (Criminal Motivation) است.
بر اساس تحلیلها، هدف نهایی این حملات، دستیابی اولیه به شبکه قربانی و سپس فروش این دسترسی به دیگر مهاجمان سایبری در فرومهای زیرزمینی است؛ این رویکرد مهاجم را به یک واسطه دسترسی اولیه (Initial Access Broker یا IAB) تبدیل میکند.
به گفتهی پژوهشگران تام فاکترمن و گای لوی:
«مهاجم سایبری برای پنهانسازی فعالیتهای خود، امضای فایلها را جعل کرده و ابزارهای خود را با امضای نرمافزارهای قانونی تطبیق میدهد تا از شناسایی در امان بماند. مهاجمان سایبری اغلب نرمافزارهای معتبر را برای اهداف مخرب جعل میکنند.»
این حملات عمدتاً با استفاده از ابزارهایی مانند PoshC2 برای فرماندهی و کنترل (C2)، Chisel برای تونلزنی ترافیک مشکوک، و Classroom Spy برای کنترل از راه دور شناخته میشوند.
روش دقیق نفوذ اولیه هنوز مشخص نیست، اما پس از بهدست آوردن جای پا در شبکه، مهاجمان ابتدا عامل MeshCentral Agent و سپس Classroom Spy را نصب میکنند تا کنترل سیستم را بهدست گیرند. در ادامه، ابزار Chisel برای عبور از فایروالها و گسترش ابزار PoshC2 به سایر سیستمهای ویندوزی در شبکه مورد استفاده قرار میگیرد.
برای جلوگیری از شناسایی، بارهای مخرب (Payload) با ظاهر نرمافزارهای معتبری همچون Microsoft Teams، Palo Alto Cortex و Broadcom VMware Tools ارائه میشوند. برای ماندگار ماندن (Persistence) در سیستمها، ابزار PoshC2 از سه روش استفاده میکند:
ایجاد یک سرویس (Service)
ذخیره یک فایل میانبر (LNK) در پوشهی Startup
تنظیم یک وظیفه زمانبندیشده (Scheduled Task) با نام «Palo Alto Cortex Services»
در برخی موارد، مهاجمان موفق به سرقت اطلاعات کاربری کاربران (Credential Theft) شدهاند و از آن برای راهاندازی پروکسی ارتباطی از طریق PoshC2 استفاده کردهاند.
محققان افزودند:
«PoshC2 میتواند برای ارتباط با سرور فرماندهی (C2) از پروکسی استفاده کند، و به نظر میرسد که مهاجم نسخههایی از این ابزار را برای محیط هدف، بهطور خاص سفارشیسازی کرده است.»
این نخستینبار نیست که PoshC2 در حملاتی علیه نهادهای مالی در آفریقا استفاده میشود. در سپتامبر ۲۰۲۲، شرکت Check Point کمپین فیشینگ هدفمندی را با نام DangerousSavanna گزارش کرد که شرکتهای مالی و بیمهای در کشورهای ساحل عاج، مراکش، کامرون، سنگال و توگو را هدف قرار داده بود. این کمپین از ابزارهایی مانند Metasploit، PoshC2، DWservice و AsyncRAT برای اجرای حملات خود بهره میبرد.
این افشاگریها در حالی منتشر میشود که گروه Trustwave SpiderLabs نیز بهتازگی درباره گروهی جدید از باجافزارها با نام Dire Wolf هشدار داده است. این گروه در مدت زمان کوتاهی موفق به آلودهسازی دستکم ۱۶ قربانی در کشورهای مختلفی چون ایالات متحده، تایلند، تایوان، استرالیا، بحرین، کانادا، هند، ایتالیا، پرو و سنگاپور شده است. اهداف اصلی این باجافزار، بخشهای فناوری، تولید و خدمات مالی بودهاند.
تحلیلها نشان میدهد که باجافزار Dire Wolf با زبان برنامهنویسی Golang نوشته شده و دارای قابلیتهایی از جمله:
غیرفعالسازی سیستم ثبت لاگ (System Logging)
متوقفسازی لیستی ثابتشده شامل ۷۵ سرویس و ۵۹ نرمافزار
حذف نسخههای پشتیبان (Shadow Copies) بهمنظور جلوگیری از بازیابی اطلاعات
شرکت Trustwave اعلام کرده است:
«اگرچه هنوز اطلاعات دقیقی از روشهای نفوذ اولیه، شناسایی یا حرکت جانبی Dire Wolf در دست نیست، اما توصیه میشود سازمانها با رعایت اصول امنیت سایبری و فعالسازی نظارت پیشگیرانه نسبت به مقابله با این تهدیدات اقدام کنند.»
گزارش رشد بدافزارهای متنباز در ۲۰۲۴ (IT Pro)
اتفاقات اخیر حمله بکدور XZ Utils و چالشهای نرمافزار متنباز
دیدگاهتان را بنویسید