عوامل تهدیدِ پشت بدافزار Vidar تغییراتی را در زیرساختهای backend خود ایجاد کردهاند که نشاندهنده تلاشهایی برای بازسازی و پنهان کردن مسیر آنلاین خود در پاسخ به افشای عمومی در مورد شیوههای عملیاتی آنها است.
شرکت امنیت سایبری Team Cymru در تحلیل جدیدی که با The Hacker News به اشتراک گذاشته شده است، گفت[۱]: “بازیگران تهدید Vidar به چرخش زیرساخت IP backend خود ادامه می دهند و از ارائه دهندگان در مولداوی و روسیه حمایت می کنند.”
Vidar یک دزد اطلاعات تجاری است[۲] که از اواخر سال ۲۰۱۸ فعال بوده است. همچنین یک بدافزار دزد دیگر به نام Arkei است[۳] و بسته به سطح اشتراک بین ۱۳۰ تا ۷۵۰ دلار برای فروش عرضه می شود.
این بدافزار که معمولاً از طریق کمپینهای فیشینگ و سایتهایی که نرمافزارهای کرک شده را تبلیغ میکنند ارائه میشود، دارای طیف گستردهای از قابلیتها برای جمعآوری اطلاعات حساس از میزبانهای آلوده است. همچنین مشاهده شده است[۴] که Vidar از طریق تبلیغات سرکش گوگل و یک loader بدافزار به نام Bumblebee توزیع شده است.
تیم Cymru، در گزارشی که اوایل ژانویه منتشر شد[۵]، خاطرنشان کرد که “اپراتورهای ویدار زیرساخت های خود را به دو بخش تقسیم کرده اند؛ یکی به مشتریان معمولی خود و دیگری برای تیم مدیریت، و همچنین کاربران بالقوه ممتاز یا مهم.”
یک دامنه کلیدی که توسط بازیگران Vidar استفاده میشود my-odin[.]com است که بهعنوان مقصدی یکجا برای مدیریت پنل، احراز هویت وابستهها[۶] و اشتراکگذاری فایلها عمل میکند.
درحالیکه قبلاً امکان دانلود فایلها از سایت بدون هیچگونه احراز هویت وجود داشت، انجام همین عمل اکنون کاربر را به صفحه ورود هدایت میکند. تغییر دیگر شامل بهروزرسانی آدرس IP میزبان خود دامنه است.
این شامل انتقال از ۱۸۶٫۲٫۱۶۶[.]۱۵ به ۵٫۲۵۲٫۱۷۹[.]۲۰۱ به ۵٫۲۵۲٫۱۷۶[.]۴۹ تا پایان مارس ۲۰۲۳ است، درحالیکه عوامل تهدید با استفاده از سرورهای VPN تقریباً در همان زمان به دومی دسترسی دارند.
تیم Cymru خاطرنشان کرد: «با استفاده از زیرساخت VPN که حداقل بخشی از آن توسط بسیاری از کاربران خوشخیم دیگر نیز استفاده میشود، آشکار است که عوامل تهدید Vidar ممکن است اقداماتی را برای ناشناس کردن فعالیتهای مدیریتی خود با پنهانکردن در نویز عمومی اینترنت انجام دهند.
این شرکت امنیت سایبری گفت که همچنین اتصالات خروجی را از ۵٫۲۵۲٫۱۷۶[.]۴۹ به یک وبسایت قانونی به نام blonk[.]co و همچنین یک میزبان واقع در روسیه (۱۸۵٫۱۷۳٫۹۳[.]۹۸:۴۴۳) شناسایی کرده است.
زیرساختهای Vidar با معرفی یک آدرس IP جدید ۱۸۵٫۲۲۹٫۶۴[.]۱۳۷ که میزبان دامنه my-odin[.]com همراه با استفاده از رلههای TOR است، یک facelift دیگر را توسط اپراتورها برای دسترسی به حسابها و مخازن بدافزارهای خود دریافت کرده است.
این شرکت گفت، این یافتهها بینش بیشتری در مورد عملکرد «پشتصحنه» ویدار ارائه میکند که تکامل زیرساختهای مدیریتی آن و همچنین شواهدی از گامهای برداشتهشده توسط عوامل تهدید برای پوشش بالقوه مسیرهای خود را نشان میدهد.
منابع
[۱] https://www.team-cymru.com/post/darth-vidar-the-aesir-strike-back
[۲] https://thehackernews.com/2023/01/the-evolving-tactics-of-vidar-stealer.html
[۳] https://thehackernews.com/2022/12/privateloader-ppi-service-found.html
[۴] https://thehackernews.com/2023/01/raccoon-and-vidar-stealers-spreading.html
[۵] https://www.team-cymru.com/post/darth-vidar-the-dark-side-of-evolving-threat-infrastructure
[۶] https://securelist.com/malware-as-a-service-market/109980
[۷] https://thehackernews.com/2023/06/vidar-malware-using-new-tactics-to.html
ثبت ديدگاه