اختصاصی افتانا: شرکت مایکروسافت اعلام کرد که هکرها از سرویس Google Ads برای پیاده‌سازی باج‌افزار Royal روی سیستم قربانی سوء استفاده می‌کنند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات) به نقل از Cybersecurity News، بر اساس تجزیه و تحلیل اخیر تیم اطلاعات تهدید امنیتی مایکروسافت، هکرها در یکی از کمپین‌های خود از سرویس گوگل ادز (Google Ads) برای پخش چندین باره یک آگهی شده‌اند که منجر به بارگیری باج‌افزار رویال (Royal) روی سیستم قربانی‌ها شده است.

مایکروسافت پس از کشف تکنیک پیاده‌سازی بدافزار به‌روز شده در اواخر اکتبر ۲۰۲۲، گروه را با نام «DEV-0569» ردیابی می‌کند.

تیم اطلاعات تهدید امنیتی مایکروسافت در پستی نوشت: حملات مشاهده شده DEV-0569 الگویی از نوآوری مستمر را با ترکیب منظم تکنیک‌های کشف جدید، فرار از دفاع و پی‌لودهای مختلف پس از سازش، در کنار افزایش تسهیلات باج‌افزاری نشان می‌دهد.

تکنیک‌هایی که DEV-0569 روی آن تمرکز می‌کند، تبلیغات بدافزار و فیشینگ هایپرلینک‌هایی است که منجر به این می‌شود که دانلودکنندگان بدافزار خود را به عنوان نصب‌کننده نرم‌افزار یا به‌روزرسانی‌های تعبیه‌شده در ایمیل‌های اسپم، صفحات انجمن جعلی و نظرات وبلاگ پنهان کنند.

تاکتیک‌ها، تکنیک‌ها و رویه‌های DEV-0569
محققان می گویند عملیات DEV-0569 بارهای بدافزار را با استفاده از باینری‌های احراز هویت شده توزیع می‌کند. این گروه عمدتاً بر تکنیک‌های فرار از دفاع متکی هستند و همچنین از برنامه منبع باز Nsudo در کمپین‌های بعدی برای آزمایش و غیرفعال کردن محصولات آنتی‌ویروس استفاده می‌کنند.

دانلودکننده‌های بدافزاری که به نام «BATLOADER» شناخته می‌شوند، خود را به‌عنوان نصب‌کننده یا به‌روزرسانی برنامه‌های قابل اعتماد مانند Microsoft Teams یا Zoom پنهان می‌کنند.

وقتی BATLOADER راه‌اندازی می‌شود، از اقدامات سفارشی MSI برای شروع فعالیت‌های مخرب PowerShell یا اجرای اسکریپت‌های دسته‌ای استفاده می‌کند که به غیرفعال کردن ابزارهای امنیتی و ارائه انواع بارهای بدافزار رمزگذاری‌شده که رمزگشایی شده و با دستورات PowerShell راه‌اندازی می‌شوند، کمک می‌کند.

بر اساس این گزارش، BATLOADER از طریق لینک‌های مخرب در ایمیل‌های فیشینگ تحویل داده می‌شود و به عنوان نصب‌کننده‌های قانونی برای برنامه‌های متعددی مانند TeamViewer، Adobe Flash Player، Zoom و AnyDesk معرفی می‌شود.


علاوه بر این، لینک مخرب در دامنه‌های ایجاد شده توسط مهاجمان که به عنوان سایت‌های دانلود نرم‌افزار قانونی معرفی می‌شوند (به عنوان مثال anydeskos.com) و در مخازن قانونی مانند GitHub و OneDrive میزبانی می‌شود.

گروه DEV-0569 در سپتامبر ۲۰۲۲ شناسایی شد، جایی که سایت لندینگ میزبان BATLOADER بود که خود را به عنوان یک Teamviewer Installer نشان می‌داد.

مایکروسافت همچنین متوجه استفاده از فرمت‌های فایل مانند Virtual Hard Disk (VHD) برای پنهان کردن بارهای اولیه به عنوان نرم‌افزار قانونی شده است.


علاوه بر این، این VHDها دارای اسکریپت‌های مخربی هستند که بارگیری بدافزارهای مرتبط با DEV-0569 را آغاز می‌کنند.

این بدافزار همچنین از انواع زنجیره‌های آلوده، از جمله PowerShell و اسکریپت‌های دسته‌ای استفاده کرد که در نهایت منجر به دانلود فایل‌های بدافزار از جمله دزدیدن اطلاعات یا ابزار مدیریت از راه دور قانونی مورد استفاده برای تداوم شبکه شد.

مایکروسافت متوجه شد که DEV-0569 از ابزار منبع باز NSudo برای غیرفعال کردن آنتی‌ویروس استفاده کرده است. علاوه بر این، آن‌ها همچنین از فرم‌های تماس در وب‌سایت‌های سازمان‌های هدف برای ارائه لینک‌های فیشینگ استفاده کردند.

بر اساس تاکتیک‌های مشاهده شده توسط مایکروسافت، مهاجمان باج‌افزاری احتمالاً از طریق ایمپلنت Cobalt Strike Beacon تحویل‌شده توسط BATLOADER به شبکه‌های در معرض خطر دسترسی پیدا کرده‌اند. علاوه بر این، باند را در موقعیت بهتری قرار می‌دهد تا به عنوان یک واسطه دسترسی اولیه برای سایر عملیات باج‌افزاری عمل کند و به بدافزارهایی مانند Emotet، IcedID و Qakbot بپیوندد.

مایکروسافت اعلام کرد که راه حل‌هایی مانند حفاظت از شبکه و Microsoft Defender SmartScreen می‌توانند به جلوگیری از دسترسی به لینک‌های مخرب کمک کنند. Microsoft Defender برای آفیس ۳۶۵ با بررسی بدنه ایمیل و URL برای الگوهای شناخته شده به محافظت در برابر فیشینگ کمک می‌کند.

منبع: Cybersecurity News