گروه لازاروس و باج‌افزار جدیدش

12 مرداد 1399 گروه لازاروس و باج‌افزار جدیدش

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ گروه لازاروس[1] همیشه در استفاده از متودهای معمول حملات APT سردمدار بوده؛ اما در جرایم سایبریِ مالی تخصص اساسی دارد. همین اواخر، متخصصین ما بدافزار VHD تازه‌ای شناسایی کردند که تا پیش از این کشف‌نشده باقیمانده بود. به نظر می‌رسد لازاروس دارد روی این بدافزار آزمایشاتی انجام می‌دهد. VHD به لحاظ کارکرد، یک ابزار نسبتاً استاندارد باج‌افزار است که به درایوهای متصل به کامپیوتر قربانی رخنه کرده، فایل‌ها را رمزگذاری نموده و تمامی فولدرهای System Volume Information را پاک می‌کند (در نتیجه، حملات سیستم ریستور در ویندوز صورت می‌گیرد). افزون بر این، این ابزار می‌تواند فرآیندهایی را که می‌توانند به طور بالقوه فایل‌های مهم را در مقابل دستکاری‌ها (از جمله Microsoft Exchange یا SQL Server) محافظت کنند به حالت تعلیق درآورد. اما جالبیِ کار، نحوه‌ی رخنه کردن VHD به کامپیوترهای هدف است؛ زیرا مکانیزم‌های تحویل آن بیشتر به حملات APT شبیه است. متخصصین ما اخیراً دو پرونده‌ی VHD را مورد بررسی قرر داده و اقدامات مهاجمین را در هر یک تحلیل کردند.

حرکت جانبی از طریق شبکه‌ی قربانی

در اولین رخداد، توجه متخصصین ما به کد مخرب مسئول توزیع VHD روی سراسر شبکه‌ی مورد هدف جلب شد. کاشف بعمل آمد که این باج‌افزار فهرستی از آدرس‌های IP کامپیوترهای قربانی و نیز اطلاعات محرمانه‌ در خصوص اکانت‌هایی با حقوق ادمین در اختیار داشت. از این داده‌ها در حقیقت به منظور پیش بردن حملات جستجوی فراگیر روی سرویس SMB استفاده می‌شده است. اگر این بدافزار تصمیم می‌گرفت با استفاده از پروتکل SMB به فولدر شبکه‌ی کامپیوتر دیگری وصل شود، خودش را کپی و اجرا  و آن دستگاه را نیز رمزگذاری می‌کرد. چنین رفتاری، رفتار معمول توده‌ی باج‌افزارها نیست. این دست‌کم نشان‌دهنده‌ی شناسایی مقدماتی زیرساخت قربانی است که بیشتر در خود مشخصه‌های کمپین‌های APT را دارد.

زنجیره‌ی ابتلا

بار بعد که تیم Global Emergency Response ما به این باج‌افزار –در طول تحقیقات- برخوردند، محققین توانستند کل زنجیره ابتلا را ردیابی کنند. اینطور که آن‌ها گزارش دادند، مجرمان سایبری:

  1. با اکسپلویت کردن یک درگاه آسیب‌پذیر وی‌پی‌ان، به سیستم‌های قربانی دسترسی پیدا کردند،
  2. روی دستگاه‌های دستکاری‌شده حقوق ادمین گرفتند،
  3. بک‌در نصب کردند،
  4. کنترل سرور Active Directory را به دست گرفتند،
  5. همه‌ی کامپیوترهای روی شبکه را درحالیکه باج‌افزار VHD داشت از لودری –مشخصاً برای این امر نوشته‌شده- استفاده می‌کرد آلوده کردند.

تحلیل‌های بعدی این ابزارها نشان داد بک‌در بخشی از این فریم‌ورک چندین پلت‌فرمه‌ بوده است (که برخی از همکاران ما آن را Dacls می‌نامند). ما اینطور نتیجه گرفته‌ایم که این ابزار دیگریست از لازاروس.

چطور از کامپیوتر خود محافظت کنیم؟

عاملین باج‌افزار VHD وقتی صحبت از آلوده کردن کامپیوترهای سازمانی با کریپتور به میان می‌آید شاید بهترین نباشند اما از حد متوسط بالاترند. این بدافزار به طور کلی فقط روی تالارهای گفت‌وگوی هکرها موجود نیست؛ بلکه به طور خاص مخصوص حملات هدف‌دار توسعه داده شده است. تکنیک‌های بکار گرفته‌شده برای نفوذ به زیرساخت قربانی و تبلیغ در داخل شبکه یادآور حملات پیچیده‌ی APT هستند. این زوال تدریجی مرزهای بین ابزارهای مالی جرایم سایبری و حملات APT ثابت می‌کند حتی شرکت‌های کوچک‌تر هم می‌بایست از فناوری‌های پیشرفته‌تری استفاده کنند. با این تفاسیر، ما به تازگی از راهکاری یکپارچه با دو کارکرد [2]EPP و EDR[3] پرده برداشته است. شما می‌توانید در این پیج اختصاصی در مورد این راهکار بیشتر بدانید.

 

[1] Lazarus

[2] Endpoint Protection Platform

[3] Endpoint Detection and Response

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.

محصولات مرتبط

  • Kaspersky Internet Security

    هنگام خرید آنلاین و یا انجام تراکنش‌های بانکی از طریق اینترنت، از اطلاعات حساب بانکی و پولتان مراقبت می‌کنیم. وقتی در فضای سایبری مشغول معاشرت هستید از هویت‌تان حراست می‌کنیم... وقتی در اینترنت ...

    9,447,000 ریال
    خرید
  • Kaspersky Internet Security for Android

    تلفن هوشمند و تبلت شما نیز به اندازه ی کامپیوترتان در برابر حمله های دیجیتالی آسیب پذیرند. به همین خاطر هنگام وب گردی یا استفاده از شبکه های اجتماعی، باید از آنها مراقبت کنید. ...

    3,147,000 ریال
    خرید
  • Kaspersky Total Security

    خانواده، نهادی ارزشمند است؛ پس بالاترین سطح امنیتی خود را به آن اختصاص داده‌ایم. توتال سکیوریتی کسپرسکی به خانواده‌ی شما کمک می‌کند: وقتی دارند در اینترنت گشت می‌زنند، خرید ...

    12,597,000 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    4,722,000 ریال
    خرید
  • Kaspersky Safe Kids

    شما می توانید بر ارتباطات اینترنتی کودکان از قبیل فعالیتهای عمومی در فیسبوک، کنترل تماسها و پیامها از طریق دستگاههای اندرویدی نظارت داشته باشید. کمک شما به کودکان بهترین راهنمایی برای آنها ...

    4,722,000 ریال
    خرید
  • Kaspersky Antivirus

    ایجاد فضای امن سایبری ابتدا با محافظت از دستگاه پی‌سی‌تان شروع می‌شود. از همین رو آنتی‌ویروس کسپرسکی دستگاه پی‌سی شما را در برابر ویروس‌ها، باج‌افزارها، عملیات‌های فیشینگ، جاسوس‌افزار، وبسایت‌ها ...

    6,297,000 ریال
    خرید
  • Kaspersky Small Office Security

    محافظت در حین کار Kaspersky Small Office Security به طور خاص برای سازمان‌هایی طراحی شده است که 5 تا 25 دستگاه کامپیوتر در خود جای داده‌اند. نصب آن بسیار آسان است؛ مدیریت آن ...

    11,340,000 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد