خبرکاو:

یک عامل تهدید که قبلا ناشناخته بود، شرکت‌هایی را در ایالات متحده و آلمان با بدافزار سفارشی که برای سرقت اطلاعات محرمانه طراحی شده بود، هدف قرار داده است.

شرکت امنیتی Enterprise Proofpoint که در حال ردیابی خوشه فعالیت تحت نام Screentime است، بيان کرد که این گروه که TA866 نام دارد احتمالا انگیزه مالی دارد.

این شرکت ارزیابی کرد: «TA866 یک بازیگر سازمان‌یافته است که می‌تواند حملات سنجیده‌ای را در مقیاس بر اساس در دسترس بودن ابزارهای سفارشی، توانایی و اتصالات برای خرید ابزار و خدمات از سایر فروشندگان و افزایش حجم فعالیت انجام دهد.

گفته می‌شود که کمپین‌های راه‌اندازی شده توسط دشمن از حدود 3 اکتبر 2022، با حملات از طریق ایمیل‌هایی که حاوی یک پیوست بمب‌گذاری شده یا URL است که منجر به بدافزار می‌شود، آغاز شده‌اند. پیوست‌ها از فایل‌های ماکرو ناشر مایکروسافت گرفته تا فایل‌های پی‌دی‌اف با نشانی‌های اینترنتی که به فایل‌های جاوا اسکریپت اشاره می‌کنند، هستند.

نفوذها همچنین از ربودن مکالمه برای ترغیب گیرندگان به کلیک بر روی URL های ظاهراً بی ضرری که زنجیره حمله چند مرحله ای را آغاز می کنند، استفاده کرده است.

دیگر اخبار

هوش مصنوعی در چه مشاغلی نمی‌تواند جایگزین انسان شود و در چه مواردی می‌تواند؟

صرف نظر از روش استفاده شده، اجرای فایل جاوا اسکریپت دانلود شده منجر به نصب کننده MSI می شود که یک VBScript با نام WasabiSeed را باز می کند، که به عنوان ابزاری برای دریافت بدافزار مرحله بعدی از یک سرور راه دور عمل می کند.

یکی از محموله های دانلود شده توسط WasabiSeed Screenshotter است، ابزاری که وظیفه دارد به صورت دوره ای از دسکتاپ قربانی عکس بگیرد و آن اطلاعات را به سرور فرمان و کنترل (C2) منتقل کند.

اکسل اف، محقق Proofpoint گفت: "این برای عامل تهدید در مرحله شناسایی و شناسایی قربانی مفید است. "

یک مرحله شناسایی موفق با توزیع بدافزارهای بیشتری برای پس از بهره برداری دنبال می شود، با حملات منتخبی که یک ربات مبتنی بر AutoHotKey (AHK) را برای رها کردن یک دزد اطلاعات به نام Rhadamanthys به کار می گیرند.

Proofpoint بيان کرد URL های مورد استفاده در این کمپین شامل یک سیستم هدایت ترافیک (TDS) به نام 404 TDS است که به دشمن امکان می دهد تنها در سناریوهایی که قربانیان دارای مجموعه ای از معیارها هستند، مانند جغرافیا، برنامه مرورگر و سیستم عامل، به بدافزار سرویس دهد.

منشا TA866 هنوز نامشخص است، اگرچه نام‌ها و نظرات متغیرهای زبان روسی در کد منبع AHK Bot شناسایی شده‌اند که یک نوع 2020 از آن در حملاتی به بانک‌های کانادا و ایالات متحده استفاده شده است. همچنین گمان می رود که این بدافزار تا آوریل 2019 مورد استفاده قرار گرفته باشد.

Proofpoint گفت: «استفاده از Screenshotter برای جمع‌آوری اطلاعات روی یک میزبان آسیب‌دیده قبل از استقرار محموله‌های اضافی نشان می‌دهد که عامل تهدید به‌طور دستی عفونت‌ها را برای شناسایی اهداف با ارزش تحلیل می‌کند».

توجه به این نکته مهم است که برای موفقیت یک سازش، کاربر باید روی یک پیوند مخرب کلیک کند و در صورت فیلتر شدن موفقیت آمیز، با یک فایل جاوا اسکریپت تعامل داشته باشد تا بارهای اضافی را دانلود و اجرا کند.

پس از اینکه مایکروسافت ماکروها را به طور پیش‌فرض در فایل‌های آفیس دانلود شده از اینترنت مسدود کرد، این یافته‌ها در بحبوحه افزایش عوامل تهدیدکننده در تلاش برای یافتن راه‌های جدید برای اجرای کد در دستگاه‌های هدف به دست آمد.

این شامل استفاده از مسمومیت بهینه سازی موتور جستجو (SEO)، تبلیغات نادرست، و جعل برند برای توزیع بدافزار با بسته بندی محموله ها به عنوان نرم افزارهای محبوب مانند برنامه های دسکتاپ از راه دور و پلت فرم های جلسات آنلاین است.

علاوه بر این، طبق کمپین جدیدی که توسط SentinelOne مستند شده است، از تبلیغات سرکش در نتایج جستجوی Google برای هدایت کاربران ناآگاه به وب‌سایت‌های فیشینگ اعتبار تقلبی استفاده می‌شود که برای سرقت لاگین‌های خدمات وب آمازون (AWS) طراحی شده‌اند.

این شرکت امنیت سایبری گفت: «تکثیر تبلیغات مخرب Google که منجر به وب‌سایت‌های فیشینگ AWS می‌شود، نه تنها برای کاربران عادی، بلکه برای مدیران شبکه و ابر تهدیدی جدی است.

سهولت انجام این حملات، همراه با مخاطبان زیاد و متنوعی که Google Ads می‌تواند به آنها دسترسی پیدا کند، آنها را به یک تهدید بسیار قوی تبدیل می‌کند.»

تکنیک دیگری که در ماه‌های اخیر شاهد افزایش بوده است، سوء استفاده از فرمت‌های فایل جدید مانند اسناد Microsoft OneNote و Publisher برای ارسال بدافزار است.

این حملات هیچ تفاوتی با حملاتی که از انواع دیگر فایل‌های مخرب آفیس استفاده می‌کنند، ندارند، که در آن گیرنده ایمیل فریب داده می‌شود تا سند را باز کند و روی یک دکمه جعلی کلیک کند، که منجر به اجرای کد HTA تعبیه‌شده برای بازیابی بدافزار Qakbot می‌شود.

بیشتر بخوانید

دیجیاتو 1970-01-01 03:00:00

اندرو برانت، محقق Sophos گفت: «مدیران ایمیل در طول سال‌ها قوانینی را وضع کرده‌اند که به طور کامل از پیام‌های ورودی خارج از سازمان با انواع فرمت‌های فایل‌های قابل سوءاستفاده ضمیمه شده جلوگیری می‌کنند، یا هشدارهای شدید می‌فرستند.

به نظر می‌رسد که نوت‌بوک‌های OneNote .one فرمت فایل بعدی باشد که در بلوک قطع کردن پیوست ایمیل قرار می‌گیرد، اما در حال حاضر، این یک خطر دائمی است.

این مقاله جالب بود؟ ما را در توییتر  و لینکدین دنبال کنید تا محتوای اختصاصی بیشتری را که پست می کنیم بخوانید.

خبرکاو