اپراتور‌های بدافزار مخرب TrickBot با ترفند‌های جدیدی ظاهر شده‌اند و قصد دارند با گسترش کانال‌های توزیع، جایگاه خود را افزایش داده و نهایتاً باعث استقرار باج‌افزار‌هایی مانند Conti شوند.

عامل تهدید که تحت عناوین ITG23 و Wizard Spider شناخته می‌شود با سایر گروه‌های جرایم سایبری شناخته شدهٔ Hive0105، Hive0106 (معروف به TA551 یا Shathak) و Hive0107 در حال همکاری هستند و به تعداد فزاینده‌ای از کمپین‌هایی که مهاجمان در حال انجام آن‌ها هستند، پیوسته‌اند و بر اساس گزارش IBM X-Force، در تلاشند تا بدافزار اختصاصی را مستقر کنند.

محققین اوله ویلادسن و شارلوت هاموند گفتند: “این‌ها و دیگر تأمین‌کنندگان جرایم سایبری با ربودن محتوای‌ایمیل، استفاده از فرم‌های جعلی پاسخ مشتریان و مهندسی اجتماعی کارکنان توسط یک مرکز تماس جعلی معروف به BazarCall، شبکه‌های شرکت‌ها را با بدافزار آلوده می‌کنند”.

از زمان ظهور این مسأله در چشم انداز تهدید سایبری در سال ۲۰۱۶، TrickBot از یک تروجان بانکی به یک راهکار جاسوسی مبتنی بر ویندوز ماژولار تبدیل شده و از نظر مقاومت نیز رشد داشته است و توانایی حفظ و بروزرسانی مجموعه ابزار‌ها و زیرساخت‌های خود را با وجود تلاش‌های متعدد توسط نیرو‌های سایبری و صنعتی برای حذف آن، به عرصه ظهور رسانده است. علاوه بر TrickBot، گروه Wizard Spider با توسعه BazarLoader و یک Backdoor به نام Anchor معرفی گردیده است.

در حالی که حملات انجام شده در اوایل سال جاری با تکیه بر ارسال‌ایمیل شامل فایل‌های Excel و استفاده از مرکز تماس به اسم “BazarCall” برای استقرار بدافزار به کاربران شرکت‌ها بوده اس، نفوذ‌های اخیر از ماه ژوئن سال ۲۰۲۱ با مشارکت دو مجموعه وابسته به جرایم سایبری جهت تقویت زیرساخت‌های توزیع آن‌ها، انجام شده است. آن‌ها با استفاده از محتوای‌ایمیل سرقت شده و فرم‌های تقلبی اعلام نیاز مشتری در وب سایت‌های سازمان برای استقرار payload‌های Cobalt Strike استفاده کرده‌اند.

محققان می‌گویند: “این حرکت نه تنها باعث افزایش حجم حملات گردیده است، بلکه روش‌های دلیوری متنوع را با هدف آلوده شدن بیش از پیش قربانیان افزایش داده است”.

در یکی از زنجیره‌های آلودگی که توسط IBM در اواخر آگوست ۲۰۲۱ مشاهده شده، بیان می‌شود که موارد وابسته به Hive0107 یک تاکتیک جدید را اتخاذ کرده‌اند که شامل ارسال پیام های‌ایمیل به شرکت‌های هدف شده و به آن‌ها اینگونه گفته می‌شود که سرور وب سایت‌های آن‌ها تحت حمله distributed denial-of-service (DDoS) قرار گرفته است و گیرندگان را ترغیب می‌کند تا برای دریافت شواهد و مستندات بیشتر، روی لینک کلیک کنند. پس از کلیک، لینک مورد نظر در عوض یک فایل ZIP حاوی بارگیری‌کننده جاوا اسکریپت (JS) مخرب را بارگیری می‌کند که به طور خودکار با یک آدرس اینترنتی از راه دور ارتباط می‌گیرد تا بدافزار BazarLoader را دریافت کرده و Cobalt Strike و TrickBot را در سیستم مستقر کند.

محققان در انتها افزوده‌اند: “ITG23 همچنین از طریق ایجاد Conti ransomware-as-a-service (RaaS) و استفاده از payload‌های BazarLoader و Trickbot خود برای دستیابی به پایگاهی برای اقدامبه حملات باج‌افزار‌ها، با ساز و کار باج‌افزار منطبق شده است. آخرین پیشرفت و توسعه، قدرت ارتباطات آن را در اکوسیستم مجرمان سایبری و توانایی آن در استفاده از این ارتباطات برای گسترش تعداد سازمان‌های آلوده به بدافزار‌های این مجرمان را نشان می‌دهد″.

پست های پیشنهاد شده

هنوز نظری ثبت نشده،نظر خود را ثبت کنید!


افزودن نظر

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

پانزده − 1 =