به گزارش مرکز مدیریت راهبردی افتا، محققان امنیتی شرکت سیسکو گزارشی را منتشر کردهاند که در آن حملات اخیر گروه هکری روسی زبان به نام Silence، بررسی شده است. این گروه از مهاجمان ضمن بهکارگیری یک ابزار جدید سفارشی به نام Teleport برای استخراج دادهها از دستگاههای هک شده، از یک دانلود کننده بدافزار به نام Truebot (که به Silence Downloader نیز معروف است) نیز استفاده میکنند.
تحلیل حملات Silence در ماههای گذشته نشان میدهد که این گروه، باجافزار Clop را منتشر کردهاند که معمولاً توسط هکرهای TA505 که با گروه FIN11 مرتبط هستند.
بدافزار Truebot
هکرهای Silence برای توزیع Shellcode مخرب، ابزار Cobalt Strike، بدافزار Grace، ابزار استخراج داده Teleport و باجافزار Clop، بدافزار Truebot را در بیش از 1500 سیستم در سراسر جهان بارگذاری کردهاند.
تحلیل کارزارهای جدید توسط محققان سیسکو نشاندهنده بهکارگیری چندین بردار حمله جدید از مرداد 1401 است.
در تعداد کمی از حملات در بازه زمانی مرداد و شهریور 1401، هکرها پس از بهرهجویی از آسیبپذیری حیاتی CVE-2022-31199 در سرورهای Netwrix Auditor، سیستمها را باTruebot آلوده کردند.
در مهر 1401، این مهاجمان به استفاده از درایوهای USB برای آلودهکردن سیستمها به کرم Raspberry Robin روی آوردهاند که اغلب کدهای مخرب IcedID، Bumblebee و Truebot را بارگذاری میکند.
شرکت مایکروسافت نیز در مهر 1401 در گزارشی از بهکارگیری کرم Raspberry Robin برای توزیع باجافزار Clop توسط گروهی به نام DEV-0950 خبر داد که فعالیت مخرب آنها با هکرهای TA505 و گروه FIN11 شباهت دارد.
محققان سیسکو، تاکنون دو باتنت مختلف که از بدافزار Truebot استفاده کردهاند را شناسایی کردهاند. یکی از اینها علاوه بر بهکارگیری بدافزار Truebot از کرم Raspberry Robin استفاده کرده که منجر به ایجاد یک شبکه مخرب (Botnet) و آلودگی بیش از 1000 سیستم در سراسر جهان شده است؛
همانطور که در تصویر مشاهده میشود، باتنت اول در ایران نیز قربانی داشته است.
به نظر میرسد باتنت دوم، روی آمریکا متمرکز شده بهنحویکه از میان بیش از 500 آلودگی شناسایی شده، حدود 75 درصد آنها در آمریکا بوده است.
درحالیکه دستگاه قربانیان باتنت اول بیشتر سیستمهای از نوع Desktop که مستقیماً از طریق اینترنت در دسترس نبودند است، باتنت دوم صرفاً آن دسته از سرورهای تحت Windows را هدف قرار داده است که مستقیماً به اینترنت متصل هستند. ضمن آنکه باتنت دوم بر روی این سرورهای تحت Windows به سرویسهای SMB، RDP و WinRM حمله کرده اما جالب است که Netwrix Auditor در فهرست اهداف باتنت دوم نیست.
این نشان میدهد که مهاجمان Silence برای انتشار باجافزار Clop از ترفندهای دیگری برای آلودگی و انتشار باجافزار در شبکه استفاده میکنند؛ اگرچه هنوز محققان بردار حمله مرتبط با آن را شناسایی نکردهاند.
بدافزار Truebot ماژول مرحله اول است که اطلاعات پایه را جمعآوری کرده و توانایی گرفتن تصویر از صفحهنمایش (Screenshot) را دارد. همچنین اطلاعات ارتباطات امن Active Directory را رمزگشایی کرده و این به مهاجمان کمک میکند تا فعالیتهای خود را پس از انتشار آلودگی برنامهریزی کنند.
سپس سرور کنترل و فرماندهی (Command and Control – بهاختصار C2) میتواند به Truebot فرمانی صادر کند تا shellcode یا DLL را در حافظه بارگذاری کرده، ماژولهای اضافی را اجرا ، خودش را حذف یا فایلهای DLL، EXE، BAT و PS1 را دانلود کند.
Teleport؛ ابزار جدید استخراج داده
در فاز پس از آلودگی، هکرها از بدافزار Truebot برای دریافتCobalt Strike یا بدافزار Grace (که با نامهای FlawedGrace و GraceWire نیز شناخته میشود) استفاده میکنند که این عملیات به گروه مجرمان سایبری TA505 نسبتدادهشده است.
پس از آن مهاجمان، Teleport را مستقر میکنند که سیسکو آن را یک ابزار سفارشی جدید مبتنی بر C++ توصیف میکند؛ این ابزار به هکرها اجازه میدهد تا دادهها را بدون جلبتوجه سرقت کنند. علاوه بر این کانال ارتباطی بین Teleport و سرور C2 رمزگذاری شده است.
مهاجمان میتوانند سرعت آپلود را محدود کنند، برای سرقت تعداد بیشتری از فایلها، آنها را بر اساس اندازه فیلتر یا Payload را حذف کنند. تمامی این موارد برای مخفی ماندن ردپای مهاجمان بر روی دستگاه قربانی طراحی شده است.
بنا بر اظهارات محققان سیسکو، در طول مراحل اکتشاف و توسعه آلودگی به سیستمهای مجاور، مهاجمان سرورها و ایستگاههای کاری کلیدی را بررسی کرده، به پایگاههای داده SQL متصل میشدند و دادهها را که با استفاده از ابزار Teleport جمعآوری میکردند به سرور تحت کنترل مهاجم ارسال میکردند.
فعالیت گروه هکری Silence
محققان در شرکت امنیت سایبری Group-IB از سال 2016 فعالیت گروه هکری Silence/Truebot را ردیابی میکنند؛ در ابتدا این هکرها مخفیانه به یک بانک نفوذ کرده؛ اما به دلیل مشکل و خطا در عملیات پرداخت موفق به سرقت و انتقال پول نشدند.
مهاجمان با حمله مجدد به همان هدف، برای نظارت بر فعالیت کارکنان بانک، از صفحهنمایش سیستمهای هک شده، ویدئو و عکس گرفتند تا نحوه انتقال پول را بیاموزند.
بنا بر اظهارات این شرکت، گروه هکری Silence/Truebot اولین سرقت موفق خود را در سال 2017 انجام داد و به سیستمهای خودپرداز حمله کرده و بیش از 100 هزار دلار را در یک شب به سرقت برد. Silence به حملات خود ادامه داد و طی سه سال – بین سالهای 2016 تا 2019 – حداقل 4.2 میلیون دلار از بانکهای کشورهای مختلف به سرقت برد.
محققان Group-IB هکرهای Silence را بسیار ماهر میدانند؛ این هکرها میتوانند با مهندسی معکوس، بدافزار را بر اساس اهداف خود تغییر داده و دستکاری کنند یا از بهرهجو (Exploit) در سطح اسمبلر (Assembler) استفاده کنند.
در ابتدا، مهاجمان Silence تنها سازمانهایی را در روسیه هدف قرار میدادند، اما اکنون دامنه حملات خود را در سطح جهانی گسترش دادهاند.
مشروح گزارش سیسکو و نشانههای آلودگی (Indicators-of-Compromise – بهاختصار IoC) در لینک زیر قابلمطالعه است:
https://blog.talosintelligence.com/breaking-the-silence-recent-truebot-activity/
منبع:
https://techna.news/
استاتوس در واتساپ که عملکردی مشابه استوری در اینستاگرام دارد اکنون به قابلیت جدیدی مجهز شده است. به گزارش تکنا، کاربران واتساپ اکنون می توانند استاتوس صوتی منتشر کنند. استاتوس چه تنها ۲۴ ساعت قابل مشاهده است در بین کاربران محبوبیت دارد. اکنون واتساپ قابلیت جدید استاتوس صوتی را نیز به آن اضافه کرده است. علاوه بر […]
وینتوف سرف، که پدر اینترنت خوانده میشود در مورد سرمایه گذاری های عجولانه اخیر روی هوش مصنوعی هشدار داد. به گزارش تکنا، در هفته های اخیر شاهد استفاده هیجان انگیز مردم از چت بات هایی مانند ChatGPT بوده ایم. در این بین خالق اینترنت با اشاره به محبوبیت هوش مصنوعی میان مردم خواستار احتیاط بیشتر در استفاده […]
کوالکام قصد دارد ارسال پیام ماهواره ای را با قابلیت جدید خود در گوشی های اندرویدی ایجاد کند. به گزارش سرویس تکنا، قابلیت جدید کوالکام به نام Snapdragon Satellite می تواند در مناطق بدون پوشش تلفن همراه امکان ارسال پیام از طریق ماهواره را فراهم کند. در حال حاضر آیفون ۱۴ اپل به این ویژگی مجهز است و […]
دیدگاهتان را بنویسید