شرکت مایکروسافت اعلام کرد که هکرها از سرویس Google Ads برای پیادهسازی باجافزار Royal روی سیستم قربانی سوء استفاده میکنند.
اختصاصی افتانا: شرکت مایکروسافت اعلام کرد که هکرها از سرویس Google Ads برای پیادهسازی باجافزار Royal روی سیستم قربانی سوء استفاده میکنند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات) به نقل از Cybersecurity News، بر اساس تجزیه و تحلیل اخیر تیم اطلاعات تهدید امنیتی مایکروسافت، هکرها در یکی از کمپینهای خود از سرویس گوگل ادز (Google Ads) برای پخش چندین باره یک آگهی شدهاند که منجر به بارگیری باجافزار رویال (Royal) روی سیستم قربانیها شده است.
مایکروسافت پس از کشف تکنیک پیادهسازی بدافزار بهروز شده در اواخر اکتبر ۲۰۲۲، گروه را با نام «DEV-0569» ردیابی میکند.
تیم اطلاعات تهدید امنیتی مایکروسافت در پستی نوشت: حملات مشاهده شده DEV-0569 الگویی از نوآوری مستمر را با ترکیب منظم تکنیکهای کشف جدید، فرار از دفاع و پیلودهای مختلف پس از سازش، در کنار افزایش تسهیلات باجافزاری نشان میدهد.
تکنیکهایی که DEV-0569 روی آن تمرکز میکند، تبلیغات بدافزار و فیشینگ هایپرلینکهایی است که منجر به این میشود که دانلودکنندگان بدافزار خود را به عنوان نصبکننده نرمافزار یا بهروزرسانیهای تعبیهشده در ایمیلهای اسپم، صفحات انجمن جعلی و نظرات وبلاگ پنهان کنند.
تاکتیکها، تکنیکها و رویههای DEV-0569 محققان می گویند عملیات DEV-0569 بارهای بدافزار را با استفاده از باینریهای احراز هویت شده توزیع میکند. این گروه عمدتاً بر تکنیکهای فرار از دفاع متکی هستند و همچنین از برنامه منبع باز Nsudo در کمپینهای بعدی برای آزمایش و غیرفعال کردن محصولات آنتیویروس استفاده میکنند.
دانلودکنندههای بدافزاری که به نام «BATLOADER» شناخته میشوند، خود را بهعنوان نصبکننده یا بهروزرسانی برنامههای قابل اعتماد مانند Microsoft Teams یا Zoom پنهان میکنند.
وقتی BATLOADER راهاندازی میشود، از اقدامات سفارشی MSI برای شروع فعالیتهای مخرب PowerShell یا اجرای اسکریپتهای دستهای استفاده میکند که به غیرفعال کردن ابزارهای امنیتی و ارائه انواع بارهای بدافزار رمزگذاریشده که رمزگشایی شده و با دستورات PowerShell راهاندازی میشوند، کمک میکند.
بر اساس این گزارش، BATLOADER از طریق لینکهای مخرب در ایمیلهای فیشینگ تحویل داده میشود و به عنوان نصبکنندههای قانونی برای برنامههای متعددی مانند TeamViewer، Adobe Flash Player، Zoom و AnyDesk معرفی میشود.
علاوه بر این، لینک مخرب در دامنههای ایجاد شده توسط مهاجمان که به عنوان سایتهای دانلود نرمافزار قانونی معرفی میشوند (به عنوان مثال anydeskos.com) و در مخازن قانونی مانند GitHub و OneDrive میزبانی میشود.
گروه DEV-0569 در سپتامبر ۲۰۲۲ شناسایی شد، جایی که سایت لندینگ میزبان BATLOADER بود که خود را به عنوان یک Teamviewer Installer نشان میداد.
مایکروسافت همچنین متوجه استفاده از فرمتهای فایل مانند Virtual Hard Disk (VHD) برای پنهان کردن بارهای اولیه به عنوان نرمافزار قانونی شده است.
علاوه بر این، این VHDها دارای اسکریپتهای مخربی هستند که بارگیری بدافزارهای مرتبط با DEV-0569 را آغاز میکنند.
این بدافزار همچنین از انواع زنجیرههای آلوده، از جمله PowerShell و اسکریپتهای دستهای استفاده کرد که در نهایت منجر به دانلود فایلهای بدافزار از جمله دزدیدن اطلاعات یا ابزار مدیریت از راه دور قانونی مورد استفاده برای تداوم شبکه شد.
مایکروسافت متوجه شد که DEV-0569 از ابزار منبع باز NSudo برای غیرفعال کردن آنتیویروس استفاده کرده است. علاوه بر این، آنها همچنین از فرمهای تماس در وبسایتهای سازمانهای هدف برای ارائه لینکهای فیشینگ استفاده کردند.
بر اساس تاکتیکهای مشاهده شده توسط مایکروسافت، مهاجمان باجافزاری احتمالاً از طریق ایمپلنت Cobalt Strike Beacon تحویلشده توسط BATLOADER به شبکههای در معرض خطر دسترسی پیدا کردهاند. علاوه بر این، باند را در موقعیت بهتری قرار میدهد تا به عنوان یک واسطه دسترسی اولیه برای سایر عملیات باجافزاری عمل کند و به بدافزارهایی مانند Emotet، IcedID و Qakbot بپیوندد.
مایکروسافت اعلام کرد که راه حلهایی مانند حفاظت از شبکه و Microsoft Defender SmartScreen میتوانند به جلوگیری از دسترسی به لینکهای مخرب کمک کنند. Microsoft Defender برای آفیس ۳۶۵ با بررسی بدنه ایمیل و URL برای الگوهای شناخته شده به محافظت در برابر فیشینگ کمک میکند.