هک ابزارهای متن‌باز: چگونه مجرمین سایبری مؤسسات مالی آفریقا را هدف قرار می‌دهند

محققان حوزه امنیت سایبری نسبت به مجموعه‌ای از حملات سایبری هشدار داده‌اند که از جولای ۲۰۲۳ تاکنون، سازمان‌های مالی در سرتاسر قاره آفریقا را هدف قرار داده‌اند. این حملات با استفاده از ترکیبی از ابزارهای متن‌باز و ابزارهای عمومی در دسترس انجام شده‌اند تا مهاجمان بتوانند دسترسی بلندمدت خود به شبکه‌های قربانی را حفظ کنند.

واحد تحقیقاتی Unit 42 از شرکت Palo Alto Networks این فعالیت‌ها را تحت عنوان CL‑CRI‑۱۰۱۴ ردیابی می‌کند؛ واژه «CL» مخفف خوشه (Cluster) و «CRI» مخفف انگیزه مجرمانه (Criminal Motivation) است.

بر اساس تحلیل‌ها، هدف نهایی این حملات، دستیابی اولیه به شبکه قربانی و سپس فروش این دسترسی به دیگر مهاجمان سایبری در فروم‌های زیرزمینی است؛ این رویکرد مهاجم را به یک واسطه دسترسی اولیه (Initial Access Broker یا IAB) تبدیل می‌کند.

به گفته‌ی پژوهشگران تام فاکترمن و گای لوی:
«مهاجم سایبری برای پنهان‌سازی فعالیت‌های خود، امضای فایل‌ها را جعل کرده و ابزارهای خود را با امضای نرم‌افزارهای قانونی تطبیق می‌دهد تا از شناسایی در امان بماند. مهاجمان سایبری اغلب نرم‌افزارهای معتبر را برای اهداف مخرب جعل می‌کنند.»

این حملات عمدتاً با استفاده از ابزارهایی مانند PoshC2 برای فرماندهی و کنترل (C2)، Chisel برای تونل‌زنی ترافیک مشکوک، و Classroom Spy برای کنترل از راه دور شناخته می‌شوند.

روش دقیق نفوذ اولیه هنوز مشخص نیست، اما پس از به‌دست آوردن جای پا در شبکه، مهاجمان ابتدا عامل MeshCentral Agent و سپس Classroom Spy را نصب می‌کنند تا کنترل سیستم را به‌دست گیرند. در ادامه، ابزار Chisel برای عبور از فایروال‌ها و گسترش ابزار PoshC2 به سایر سیستم‌های ویندوزی در شبکه مورد استفاده قرار می‌گیرد.

برای جلوگیری از شناسایی، بارهای مخرب (Payload) با ظاهر نرم‌افزارهای معتبری همچون Microsoft Teams، Palo Alto Cortex و Broadcom VMware Tools ارائه می‌شوند. برای ماندگار ماندن (Persistence) در سیستم‌ها، ابزار PoshC2 از سه روش استفاده می‌کند:

1. ایجاد یک سرویس (Service)

2. ذخیره یک فایل میانبر (LNK) در پوشه‌ی Startup

3. تنظیم یک وظیفه زمان‌بندی‌شده (Scheduled Task) با نام «Palo Alto Cortex Services»

در برخی موارد، مهاجمان موفق به سرقت اطلاعات کاربری کاربران (Credential Theft) شده‌اند و از آن برای راه‌اندازی پروکسی ارتباطی از طریق PoshC2 استفاده کرده‌اند.
محققان افزودند:
«PoshC2 می‌تواند برای ارتباط با سرور فرماندهی (C2) از پروکسی استفاده کند، و به نظر می‌رسد که مهاجم نسخه‌هایی از این ابزار را برای محیط هدف، به‌طور خاص سفارشی‌سازی کرده است.»

این نخستین‌بار نیست که PoshC2 در حملاتی علیه نهادهای مالی در آفریقا استفاده می‌شود. در سپتامبر ۲۰۲۲، شرکت Check Point کمپین فیشینگ هدفمندی را با نام DangerousSavanna گزارش کرد که شرکت‌های مالی و بیمه‌ای در کشورهای ساحل عاج، مراکش، کامرون، سنگال و توگو را هدف قرار داده بود. این کمپین از ابزارهایی مانند Metasploit، PoshC2، DWservice و AsyncRAT برای اجرای حملات خود بهره می‌برد.

این افشاگری‌ها در حالی منتشر می‌شود که گروه Trustwave SpiderLabs نیز به‌تازگی درباره گروهی جدید از باج‌افزارها با نام Dire Wolf هشدار داده است. این گروه در مدت زمان کوتاهی موفق به آلوده‌سازی دست‌کم ۱۶ قربانی در کشورهای مختلفی چون ایالات متحده، تایلند، تایوان، استرالیا، بحرین، کانادا، هند، ایتالیا، پرو و سنگاپور شده‌ است. اهداف اصلی این باج‌افزار، بخش‌های فناوری، تولید و خدمات مالی بوده‌اند.

تحلیل‌ها نشان می‌دهد که باج‌افزار Dire Wolf با زبان برنامه‌نویسی Golang نوشته شده و دارای قابلیت‌هایی از جمله:

• غیرفعال‌سازی سیستم ثبت لاگ (System Logging)

• متوقف‌سازی لیستی ثابت‌شده شامل ۷۵ سرویس و ۵۹ نرم‌افزار

• حذف نسخه‌های پشتیبان (Shadow Copies) به‌منظور جلوگیری از بازیابی اطلاعات

شرکت Trustwave اعلام کرده است:
«اگرچه هنوز اطلاعات دقیقی از روش‌های نفوذ اولیه، شناسایی یا حرکت جانبی Dire Wolf در دست نیست، اما توصیه می‌شود سازمان‌ها با رعایت اصول امنیت سایبری و فعال‌سازی نظارت پیشگیرانه نسبت به مقابله با این تهدیدات اقدام کنند.»

گزارش رشد بدافزارهای متن‌باز در ۲۰۲۴ (IT Pro)

اتفاقات اخیر حمله بک‌دور XZ Utils و چالش‌های نرم‌افزار متن‌باز