مایکروسافت نسبت به موج جدیدی از حملات باجافزار CACTUS هشدار داده است که از تبلیغات مخرب و فریبدهنده برای استقرار DanaBot بهعنوان یک بردار دسترسی اولیه استفاده میکند.
تیم Threat Intelligence از مایکروسافت در مجموعهای از پستها در X (توییتر سابق) گفت[۱] آلودگی DanaBot منجر به “فعالیت hands-on-keyboard توسط اپراتور باجافزار یعنی Storm-0216 یا Twisted Spider میشود که منجر به استقرار باجافزار CACTUS خواهد شد.
DanaBot که توسط غول فناوری با نام Storm-1044 ردیابی میشود[۲]، یک ابزار چندمنظوره در امتداد خطوط Emotet، TrickBot، QakBot و IcedID است که میتواند بهعنوان stealer و نقطه ورود برای محمولههای مرحله بعدی عمل کند.
UNC2198، به نوبه خود، قبلاً مشاهده شده بود که نقاط پایانی را با IcedID برای استقرار خانوادههای باجافزار مانند Maze و Egregor آلوده میکند، همانطور که Mandiant متعلق به گوگل در فوریه ۲۰۲۱ توضیح داد[۳].
به گفته مایکروسافت، عامل تهدید از دسترسی اولیه ارائه شده توسط آلودگیهای QakBot نیز استفاده کرده است؛ بنابراین، تغییر به DanaBot احتمالاً نتیجه یک عملیات هماهنگ شده اجرای قانون در آگوست ۲۰۲۳ است که زیرساخت های QakBot را از بین برد[۴].
ردموند ادامه داد: “کمپین فعلی Danabot که برای اولینبار در ماه نوامبر مشاهده شد، به نظر میرسد از یک نسخه خصوصی بدافزار سرقت اطلاعات بهجای ارائه بدافزار بهعنوان یک سرویس استفاده میکند.”
اعتبار جمعآوریشده توسط بدافزار به یک سرور کنترل شده توسط بازیگر منتقل میشود که با حرکت جانبی از طریق تلاشهای ورود به سیستم RDP و در نهایت قطع دسترسی به Storm-0216 دنبال میشود.
این افشاگری چند روز پس از آن صورت میگیرد که Arctic Wolf مجموعه دیگری از حملات باجافزار CACTUS را فاش کرد[۵] که به طور فعال از آسیبپذیریهای حیاتی در یک پلتفرم تحلیل داده به نام Qlik Sense برای دسترسی به شبکههای شرکتی بهرهبرداری میکنند.
همچنین به دنبال کشف نوع جدید باجافزار macOS به نام [۶]Turtle است که به زبان برنامهنویسی Go نوشته شده و با امضای adhoc امضا شده است، بنابراین به دلیل محافظتهای [۷]Gatekeeper از اجرای آن در هنگام راهاندازی جلوگیری میکند.
منابع[۱] https://twitter.com/MsftSecIntel/status/1730383711437283757
[۲] https://apa.aut.ac.ir/?p=10069
[۳] https://thehackernews.com/2023/09/latest-apple-zero-days-used-to-hack.html
[۴] https://thehackernews.com/2023/08/fbi-dismantles-qakbot-malware-frees.html
[۵] https://thehackernews.com/2023/11/cactus-ransomware-exploits-qlik-sense.html
[۶] https://objective-see.org/blog/blog_0x76.html
[۷] https://thehackernews.com/2023/05/microsoft-details-critical-apple-macos.html
[۸] https://thehackernews.com/2023/12/microsoft-warns-of-malvertising-scheme.html
ثبت ديدگاه