آشنایی با گروه لازاروس و باجافزار جدیدش
گروه لازاروس[1] همیشه در استفاده از متودهای معمول حملات APT سردمدار بوده؛ اما در جرایم سایبریِ مالی تخصص اساسی دارد. همین اواخر، متخصصین ما بدافزار VHD تازهای شناسایی کردند که تا پیش از این کشفنشده باقیمانده بود. به نظر میرسد لازاروس دارد روی این بدافزار آزمایشاتی انجام میدهد. VHD به لحاظ کارکرد، یک ابزار نسبتاً استاندارد باجافزار است که به درایوهای متصل به کامپیوتر قربانی رخنه کرده، فایلها را رمزگذاری نموده و تمامی فولدرهای System Volume Information را پاک میکند (در نتیجه، حملات سیستم ریستور در ویندوز صورت میگیرد). افزون بر این، این ابزار میتواند فرآیندهایی را که میتوانند به طور بالقوه فایلهای مهم را در مقابل دستکاریها (از جمله Microsoft Exchange یا SQL Server) محافظت کنند به حالت تعلیق درآورد. اما جالبیِ کار، نحوهی رخنه کردن VHD به کامپیوترهای هدف است؛ زیرا مکانیزمهای تحویل آن بیشتر به حملات APT شبیه است. متخصصین ما اخیراً دو پروندهی VHD را مورد بررسی قرر داده و اقدامات مهاجمین را در هر یک تحلیل کردند.
حرکت جانبی از طریق شبکهی قربانی
در اولین رخداد، توجه متخصصین ما به کد مخرب مسئول توزیع VHD روی سراسر شبکهی مورد هدف جلب شد. کاشف بعمل آمد که این باجافزار فهرستی از آدرسهای IP کامپیوترهای قربانی و نیز اطلاعات محرمانه در خصوص اکانتهایی با حقوق ادمین در اختیار داشت. از این دادهها در حقیقت به منظور پیش بردن حملات جستجوی فراگیر روی سرویس SMB استفاده میشده است. اگر این بدافزار تصمیم میگرفت با استفاده از پروتکل SMB به فولدر شبکهی کامپیوتر دیگری وصل شود، خودش را کپی و اجرا و آن دستگاه را نیز رمزگذاری میکرد. چنین رفتاری، رفتار معمول تودهی باجافزارها نیست. این دستکم نشاندهندهی شناسایی مقدماتی زیرساخت قربانی است که بیشتر در خود مشخصههای کمپینهای APT را دارد.
زنجیرهی ابتلا
بار بعد که تیم Global Emergency Response ما به این باجافزار –در طول تحقیقات- برخوردند، محققین توانستند کل زنجیره ابتلا را ردیابی کنند. اینطور که آنها گزارش دادند، مجرمان سایبری:
1. با اکسپلویت کردن یک درگاه آسیبپذیر ویپیان، به سیستمهای قربانی دسترسی پیدا کردند،
2. روی دستگاههای دستکاریشده حقوق ادمین گرفتند،
3. بکدر نصب کردند،
4. کنترل سرور Active Directory را به دست گرفتند،
5. همهی کامپیوترهای روی شبکه را درحالیکه باجافزار VHD داشت از لودری –مشخصاً برای این امر نوشتهشده- استفاده میکرد آلوده کردند.
تحلیلهای بعدی این ابزارها نشان داد بکدر بخشی از این فریمورک چندین پلتفرمه بوده است (که برخی از همکاران ما آن را Dacls مینامند). ما اینطور نتیجه گرفتهایم که این ابزار دیگریست از لازاروس.
چطور از کامپیوتر خود محافظت کنیم؟
عاملین باجافزار VHD وقتی صحبت از آلوده کردن کامپیوترهای سازمانی با کریپتور به میان میآید شاید بهترین نباشند اما از حد متوسط بالاترند. این بدافزار به طور کلی فقط روی تالارهای گفتوگوی هکرها موجود نیست؛ بلکه به طور خاص مخصوص حملات هدفدار توسعه داده شده است. تکنیکهای بکار گرفتهشده برای نفوذ به زیرساخت قربانی و تبلیغ در داخل شبکه یادآور حملات پیچیدهی APT هستند. این زوال تدریجی مرزهای بین ابزارهای مالی جرایم سایبری و حملات APT ثابت میکند حتی شرکتهای کوچکتر هم میبایست از فناوریهای پیشرفتهتری استفاده کنند. با این تفاسیر، ما به تازگی از راهکاری یکپارچه با دو کارکرد [2]EPP و EDR[3] پرده برداشته است. شما میتوانید در این پیج اختصاصی در مورد این راهکار بیشتر بدانید.
[1] Lazarus
[2] Endpoint Protection Platform
[3] Endpoint Detection and Response
منبع: کسپرسکی آنلاین
تنظیم: روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛
- ۹۹/۰۵/۱۳