روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ گروه BlueNoroff که با نام‌های دیگری نیز شناخته می‌شود، از زمان ظهور خود بیشتر با هدف کسب درآمد مالی فعالیت کرده است. این گروه در طول زمان روش‌های نفوذ و مجموعه بدافزارهای خود را تغییر داده اما همچنان توسعه‌دهندگان حوزه بلاکچین، مدیران ارشد و مدیران فعال در صنعت وب‌[1]۳ را هدف قرار می‌دهد. این فعالیت‌ها بخشی از عملیات گسترده‌ای است که ما آن را SnatchCrypto می‌نامیم.  ما نام این دو کمپین مخرب را GhostCall و GhostHire گذاشتیم. پیشتر آن دو را در مقاله ای مورد بررسی قرار دادیم و در این مقاله قرار است کمی بیشتر به ساز و کار آن‌ها بپردازیم. با ما همراه باشید.

بگذارید باری دیگر معرفی کوتاهی داشته باشیم بر این دو کمپین:

GhostCall  مدیران شرکت‌های فناوری و سرمایه‌گذاری را هدف قرار می‌دهد، به‌ویژه کاربران دستگاه‌های مک. مهاجمان با استفاده از پیام‌رسان‌هایی مانند تلگرام، تماس برقرار می‌کنند و از قربانی دعوت می‌کنند تا در جلسه‌های مرتبط با سرمایه‌گذاری شرکت کند. لینک جلسه، در ظاهر یک سایت شبیه به سرویس‌های تماس آنلاین است اما در حقیقت یک صفحه فیشینگ است.در این صفحه، قربانی وارد یک تماس ساختگی می‌شود. ویدئوهای نمایش داده شده زنده نیستند؛ مهاجمان از فیلم‌هایی استفاده می‌کنند که پیش‌تر از قربانیان دیگر ضبط شده است. پس از شروع تماس، به قربانی پیام داده می‌شود که برای رفع مشکل صوتی یا تصویری، باید برنامه تماس را به‌روزرسانی کند. این اقدام باعث اجرای یک اسکریپت مخرب می‌شود که در نهایت چندین فایل فشرده بارگیری کرده و زنجیره آلودگی را در سیستم قربانی آغاز می‌کند.

GhostHire  توسعه‌دهندگان حوزه وب‌۳ را هدف قرار می‌دهد. مهاجمان خود را به‌عنوان نیروهای جذب نیروی شرکت‌ها معرفی می‌کنند و از قربانی می‌خواهند با اجرای یک پروژه آزمایشی مهارت خود را نشان دهد. پس از تماس اولیه، قربانی به ربات تلگرامی این گروه اضافه می‌شود. ربات یک فایل فشرده یا لینک مخزن کد ارسال می‌کند و به قربانی مدت زمان محدودی برای اجرای آن می‌دهد. پروژه در ظاهر واقعی به نظر می‌رسد اما اجرای آن باعث بارگیری و نصب بدافزار می‌شود.نوع بدافزاری که دانلود می‌شود به سیستم‌عامل قربانی بستگی دارد. مهاجمان با این روش می‌توانند ابزارهای مناسب برای ویندوز، مک یا لینوکس را نصب کنند.

استفاده گسترده از هوش مصنوعی

ما مشاهده کردیم که این گروه از هوش مصنوعی برای بهبود فرآیندهای مختلف حمله استفاده کرده است؛ از جمله افزایش سرعت تولید کدهای مخرب و ارتقای کیفیت عملیات فریب. در دو کمپین GhostCall و GhostHire، ساختار زنجیره آلودگی بسیار شبیه است و حتی بخش‌هایی از بدافزارها کاملاً یکسان هستند.تصاویر پروفایل کاربران جعلی که در تماس‌های ساختگی دیده می‌شوند، از شبکه‌هایی مانند لینکدین و ایکس جمع‌آوری شده و با ابزارهای هوش مصنوعی تقویت شده‌اند. برخی از این تصاویر دارای داده‌های ویژه هستند که نشان می‌دهد با ابزارهای تولید تصویر ساخته شده‌اند.

شگردهای اصلی GhostCallو نحوه‌ی دسترسی اولیه در آن

این کمپین حداقل از اوایل سال ۲۰۲۳ فعال بوده است و پس از یک کمپین قدیمی‌تر، تمرکز خود را کاملاً روی دستگاه‌های مک قرار داده است. با توجه به اینکه بسیاری از مدیران در محیط‌های کاری از مک استفاده می‌کنند، هدف گرفتن این سیستم‌عامل شانس نفوذ را بالا می‌برد.

مهاجمان ابتدا ظاهر سرویس‌های تماس آنلاین را شبیه‌سازی کردند و با ایجاد مشکلات ساختگی، قربانی را به دانلود یک اسکریپت مخرب متقاعد می‌کردند. در مرحله‌های جدیدتر، آن‌ها حتی رابط سرویس تماس دیگری را نیز تقلید کردند تا دامنه بیشتری از قربانیان را جذب کنند.در طول این تحقیق، ما هفت زنجیره چندمرحله‌ای آلودگی شناسایی کردیم که شامل مجموعه‌ای از ابزارهای سرقت اطلاعات و یک کی‌لاگر می‌شد. این ابزارها داده‌های بسیار حساسی از جمله اطلاعات کیف پول‌های دیجیتال، رمزهای ذخیره‌شده، داده‌های زیرساخت، ابزارهای همکاری، یادداشت‌ها و اطلاعات حساب‌های کاربری را جمع‌آوری می‌کنند.ابتدا افراد هدف در تلگرام شناسایی می‌شوند. مهاجمان با استفاده از هویت جعلی یا حساب‌های واقعی هک‌شده، پیام‌هایی درباره فرصت‌های سرمایه‌گذاری ارسال می‌کنند. سپس جلسه‌ای تنظیم و لینک آن از طریق دامنه‌هایی که ظاهر معتبر دارند به قربانی فرستاده می‌شود.پس از ورود قربانی به صفحه جعلی، دوربین فعال شده و تصاویر او ضبط می‌شود. این ویدئوها در تماس‌های جعلی برای فریب دیگر قربانیان استفاده می‌شود. سپس صفحه خطایی نمایش می‌دهد که کاربر را به دانلود فایل به‌روزرسانی هدایت می‌کند. این فایل آغازگر اجرای مرحله‌های بعدی بدافزار است.

تغییر پلت‌فرم هدف

در نسخه‌های جدیدتر این حمله، مهاجمان به‌جای تقلید یک سرویس تماس، از ظاهر سرویس دیگری استفاده کرده‌اند. روش نصب بدافزار همان است اما طراحی ظاهری تغییر کرده است.پس از ورود به جلسه جعلی، برای سیستم‌عامل‌های مختلف پیام‌های متفاوتی نمایش داده می‌شود و قربانی را به دانلود اسکریپت هدایت می‌کند. این اسکریپت ده‌ها هزار خط خالی دارد تا تحلیل آن دشوار شود. در نهایت برنامه‌ای جعلی روی سیستم نصب می‌شود که از کاربر رمز می‌خواهد تا مراحل بعدی بدافزار اجرا شود.

زنجیره‌های چندمرحله‌ای

در این عملیات، بدافزارها از سرورهای مرکزی مهاجمان دانلود می‌شوند. ما هفت زنجیره چندمرحله‌ای شناسایی کردیم که هرکدام شامل نصب‌کننده‌ها، بارگذارها، تزریق‌کننده‌ها و ابزارهای جمع‌آوری داده هستند. این ساختار ماژولار باعث می‌شود شناسایی فعالیت مخرب سخت‌تر شود.در ابتدا بسیاری از این ابزارها با زبان برنامه‌نویسی خاصی نوشته شده بودند، اما مهاجمان به مرور زبان‌های مختلفی را به کار گرفته‌اند تا تحلیل کد دشوار شود.

مجموعه جمع‌آوری اطلاعات  SilentSiphon

در برخی از آلودگی‌ها، اسکریپت‌هایی شناسایی شد که وظیفه جمع‌آوری و انتقال داده را بر عهده داشتند. این داده‌ها به سرورهای مهاجمان ارسال می‌شود و شامل انواع اطلاعات شخصی و سازمانی است.

زنجیره  SysPhon

در این زنجیره، نسخه‌ای سبک از بدافزارهای قدیمی‌تر استفاده شده است. این زنجیره شامل اسکریپت‌هایی است که رمزهای کاربر را سرقت می‌کنند و در نهایت ابزارهای پیشرفته‌تری را نصب می‌کنند.

استفاده دقیق از هوش مصنوعی در فریب قربانی

علاوه بر تقویت تصاویر پروفایل، مهاجمان از هوش مصنوعی برای طراحی حملات هدفمندتر بهره می‌برند. آن‌ها با تحلیل داده‌های به سرقت رفته، حملات بعدی خود را دقیق‌تر انجام می‌دهند و از روابط اعتماد بین افراد یا سازمان‌ها برای نفوذ بیشتر استفاده می‌کنند.گوست‌فایرمهاجمان خود را به عنوان نیروهای جذب شرکت‌های مالی معرفی می‌کنند. پس از تماس اولیه، قربانی به ربات تلگرام اضافه می‌شود و یک پروژه آزمایشی دریافت می‌کند. پروژه واقعی به نظر می‌رسد اما به یک وابستگی مخرب متصل است که پس از اجرا، بدافزار را دانلود می‌کند.این پروژه‌ها در مخازن عمومی بارگذاری شده‌اند و تحلیل آن‌ها نشان می‌دهد که برای جلب اعتماد قربانی و فریب او طراحی شده‌اند.پس از دریافت لینک مخرب، بر اساس سیستم‌عامل قربانی، فایل مناسب دانلود می‌شود. این فایل همان بدافزاری است که در کمپینهای دیگر این گروه نیز دیده شده است. DownTroy بدافزارهای مرحله بعد را از سرور مهاجمان دریافت و نصب می‌کند.

قربانیان

براساس داده‌های ما، قربانیان این کمپین‌ها در کشورهای مختلفی از جمله ژاپن، ایتالیا، فرانسه، سنگاپور، ترکیه، اسپانیا، سوئد، هند و هنگ‌کنگ شناسایی شده‌اند. بسیاری از آن‌ها مدیران شرکت‌های فناوری و صندوق‌های سرمایه‌گذاری در حوزه بلاکچین هستند. با بررسی روش‌ها، زیرساخت، بدافزارها و هدف‌های مشترک، ما با اطمینان بالا این حملات را به گروه BlueNoroff  نسبت می‌دهیم.

جمع‌بندی

بررسی‌های ما نشان می‌دهد این گروه در حال توسعه مستمر ابزارهای خود برای حمله به سیستم‌های ویندوز و مک است و از یک زیرساخت واحد استفاده می‌کند. هوش مصنوعی به آن‌ها امکان داده است که کدهای مخرب را سریع‌تر توسعه دهند، روش‌های حمله را بهبود دهند و با دقت بیشتری قربانیان را فریب دهند.این گروه پس از ورود به سیستم قربانی، تنها به سرقت ارز دیجیتال یا رمزهای مرورگر بسنده نمی‌کند. آن‌ها زیرساخت‌ها، ابزارهای همکاری، یادداشت‌ها، محیط‌های توسعه و پیام‌رسان‌ها را نیز بررسی و اطلاعات را جمع‌آوری می‌کنند. این داده‌ها نه‌تنها علیه قربانی فعلی، بلکه برای حملات زنجیره‌ای بعدی نیز استفاده می‌شود.

[1]به نسل جدید اینترنت گفته می‌شود که بر تمرکززدایی، بلاکچین و مالکیت داده توسط کاربران تأکید دارد.

 کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.