محققان امنیت سایبری یک کمپین فیشینگ در حال انجام را کشف کردهاند که از یک زنجیره حمله منحصربهفرد برای ارائه بدافزار [۱]XWorm در سیستمهای مورد هدف با بهرهگیری از آسیبپذیری Follina استفاده میکند.
Securonix که این خوشه فعالیت را تحت نام MEME#4CHAN ردیابی میکند، گفت که برخی از حملات عمدتاً شرکتهای تولیدی و کلینیکهای مراقبتهای بهداشتی واقع در آلمان را هدف قرار دادهاند.
محققین امنیتی Den Iuzvyk، Tim Peck و Oleg Kolesnikov در تحلیل جدیدی که با The Hacker News به اشتراک گذاشته شده است، میگویند[۲]: «کمپین حمله از کد PowerShell پر از meme نسبتاً غیرمعمول استفاده میکند و به دنبال آن از یک محموله XWorm بهشدت مبهم برای آلودهکردن قربانیان خود استفاده میکند.»
این گزارش بر اساس یافتههای اخیر[۳] آزمایشگاههای امنیتی Elastic است که فریبندههای عامل تهدید با مضمون رزرو را برای فریب قربانیان برای باز کردن اسناد مخربی که قادر به تحویل محمولههای XWorm و Agent Tesla هستند، نشان میدهد.
این حملات با حملات فیشینگ برای توزیع اسناد فریبنده مایکروسافت ورد آغاز میشوند که بهجای استفاده از ماکروها، آسیبپذیری [۴]Follina (CVE-2022-30190، امتیاز ۸/۷ در مقیاس CVSS) را به سلاح تبدیل میکند تا یک اسکریپت مبهم PowerShell را پیادهسازی کند.
از آنجا، عوامل تهدید از اسکریپت PowerShell برای دورزدن رابط اسکن ضد بدافزار ([۵]AMSI)، غیرفعالکردن Microsoft Defender، ایجاد پایداری و در نهایت راهاندازی باینری داتنت حاوی XWorm سوءاستفاده میکنند.
جالب اینجاست که یکی از متغیرها در اسکریپت PowerShell به نام $CHOTAbheem است که احتمالاً اشارهای به [۶]Chhota Bheem، یک مجموعه تلویزیونی کمدی ماجراجویی انیمیشن هندی است.
محققان با اشاره به اینکه چنین کلمات کلیدی همچنین میتوانند بهعنوان پوشش استفاده شوند، به The Hacker News گفتند: “بر اساس یک بررسی سریع، به نظر میرسد که فرد یا گروهی که مسئول این حمله است میتواند پیشینه خاورمیانه/هندی داشته باشد، اگرچه انتساب نهایی هنوز تأیید نشده است.”.
XWorm یک بدافزار تجاری[۷] است که برای فروش در انجمنهای زیرزمینی تبلیغ میشود و دارای طیف گستردهای از ویژگیها است که به آن اجازه میدهد اطلاعات حساس را از میزبانهای آلوده دریافت کند.
این بدافزار همچنین یک ابزار چندمنظوره است زیرا میتواند عملیات کلیپر، DDoS و باجافزار را انجام دهد، از طریق USB پخش شود و بدافزارهای اضافی را پیادهسازی کند.
منشأ دقیق عامل تهدید در حال حاضر نامشخص است، اگرچه Securonix گفت که روش حمله دارای مصنوعاتی مشابه با روش [۸]TA558 است که در گذشته مشاهده شده است که صنعت hospitality را تحتتأثیر قرار داده است.
محققان در این باره گفتند: “اگرچه ایمیلهای فیشینگ بهندرت از اسناد مایکروسافت آفیس استفاده میکنند، زیرا مایکروسافت تصمیم به غیرفعالکردن ماکروها به طور پیشفرض گرفته است[۹]، اما امروز شاهد شواهدی هستیم که نشان میدهد هنوز مهم است که در مورد فایلهای سند مخرب مراقب باشیم، بهخصوص در این مورد که هیچگونه اجرای VBscript از ماکروها وجود ندارد.”
منابع
[۱] https://thehackernews.com/2023/04/new-qbot-banking-trojan-campaign.html
[۲] https://www.securonix.com/blog/securonix-threat-labs-security-meme4chan-advisory/
[۳] https://www.elastic.co/security-labs/attack-chain-leads-to-xworm-and-agenttesla
[۴] https://apa.aut.ac.ir/?p=9017
[۵] https://learn.microsoft.com/en-us/windows/win32/amsi/antimalware-scan-interface-portal
[۶] https://en.wikipedia.org/wiki/Chhota_Bheem
[۷] https://blog.cyble.com/2022/08/19/evilcoder-project-selling-multiple-dangerous-tools-online/
[۸] https://thehackernews.com/2022/08/cybercrime-group-ta558-targeting.html
[۹] https://apa.aut.ac.ir/?p=9176
[۱۰] https://thehackernews.com/2023/05/xworm-malware-exploits-follina.html
ثبت ديدگاه