اپراتورهای پشت دژافزار مخرب TrickBot با ترفندهای جدیدی ظاهر شدهاند که قصد دارند با گسترش کانالهای توزیع، جایگاه خود را افزایش دهند و درنهایت منجر به استقرار باج افزارهایی مانند Conti شوند.
بر اساس گزارش IBM X-Force، مشخص شده است که مهاجمان با نامهای ITG23 و Wizard Spider با سایر گروههای جرایم سایبری که Hive0105 ،Hive0106 (معروف به TA551 یا Shathak) و Hive0107 هستند، متحد شدهاند و به تعداد فزایندهای از کمپینهایی که مهاجمان برای ارائه دژافزارهای اختصاصی به کار گرفتهاند؛ اضافه شدهاند.
محققان امنیتی، Ole Villadsen و Charlotte Hammond دراینباره گفتند[۱]: “اینها و دیگر فروشندگان جرائم سایبری با ربودن موضوعات ایمیل، استفاده از فرمهای جعلی پاسخ مشتریان و کارکنان مهندسی اجتماعی با یک مرکز تماس جعلی معروف به BazarCall، شبکههای شرکتها را با دژافزار آلوده میکنند.”
از زمان ظهور در سال ۲۰۱۶، TrickBot از یک تروجان بانکی به یک راهحل ماژولار جاسوسی مبتنی بر ویندوز تبدیل شده است، درحالیکه ازنظر مقاومت نیز برجسته است[۲] و توانایی حفظ و بهروزرسانی مجموعه ابزارها و زیرساختهای خود را باوجود تلاشهای متعدد توسط مقامات قانونی و گروههای صنعتی برای پایین کشیدن آن نشان داده است. علاوه بر TrickBot، گروه Wizard Spider با توسعه BazarLoader و یک در پشتی به نام Anchor شناخته شده است[۳].
درحالیکه حملات انجام شده در اوایل سال جاری متکی به ارسال ایمیل همراه با اسناد Excel و استفاده از مرکز تماس با عنوان “BazaCall” برای ارائهی دژافزار به کاربران شرکتی بوده است[۴]، نفوذهای اخیر از ژوئن ۲۰۲۱ با همکاری دو شرکت مرتبط با جرائم سایبری برای تقویت زیرساختهای توزیع با استفاده از موضوعات ایمیل ربوده شده و فرمهای درخواست مشتری تقلبی روی وبسایتهای سازمانها برای استقرار payloadهای Cobalt Strike انجام شده است.
محققان دراینباره میگویند: “این حرکت نهتنها حجم حملات را افزایش داد، بلکه روشهای تحویل متنوع را باهدف آلوده کردن بیشتر از هر زمان دیگر قربانیان افزایش داد.”
در یکی از زنجیرههای آلودگی که توسط IBM در اواخر اوت ۲۰۲۱ مشاهده شد، گفته میشود که Hive0107 یک تاکتیک جدید را اتخاذ کرده است که شامل ارسال پیامهای ایمیل به شرکتهای هدف میشود مبنی بر اینکه وبسایتهای آنها مورد حملههای DDoS روی سرورهایشان قرارگرفتهاند و گیرندگان این ایمیل را ترغیب میکند تا برای شواهد بیشتر روی لینک ارسالشده، کلیک کنند. پس از کلیک، این لینک در عوض یک بایگانی ZIP حاوی یک بارگیری کننده مخرب جاوا اسکریپت (JS) را بارگیری میکند که بهنوبه خود با یک آدرس اینترنتی از راه دور تماس میگیرد تا دژافزار BazarLoader را بگیرد و Cobalt Strike و TrickBot را بارگیری کند.
محققان نتیجه گرفتند: “ITG23 همچنین از طریق ایجاد Conti ransomware-as-a-service (RaaS) و استفاده از payload های BazarLoader و Trickbot خود برای دستیابی به جایگاهی برای حملات باجافزارها، با اقتصاد باج افزار سازگار شده است. این آخرین پیشرفت، قدرت ارتباطات خود در داخل اکوسیستم مجرمان سایبری و توانایی آن در استفاده از این روابط برای گسترش تعداد سازمانهای آلوده به دژافزارهای آن را نشان میدهد.”
منابع
[۱] https://securityintelligence.com/posts/trickbot-gang-doubles-down-enterprise-infection
[۲] https://thehackernews.com/2021/07/trickbot-malware-returns-with-new-vnc.html
[۳] https://thehackernews.com/2020/10/trickbot-linux-variants-active-in-wild.html
[۴] https://thehackernews.com/2021/07/phony-call-centers-tricking-users-into.html
[۵] https://thehackernews.com/2021/10/attackers-behind-trickbot-expanding.html
ثبت ديدگاه