گزارش سالیانه از تهدیدات سایبری در سال ۲۰۲۱ – بخش اول

راهکار EDR

تیم‌های امنیتی باید همه‌کاره‌تر، فعال‌تر و سازنده‌تر شوند تا از تهدیدها جلوتر بمانند. از بسیاری جهات، این گزارش سالیانه، تهدیدات سایبری جهانی امسال را خلاصه می کند. جزئیات مطرح شده در این گزارش از مشاهدات دست اول تیم‌های پاسخ به رخداد و تحلیلگران سایبری، جمع‌آوری شده است. همچنین این گزارش سالیانه تهدیدات سایبری ۲۰۲۱ در سال شامل درس‌ها و توصیههای مهمی برای تیمهای امنیتی ارائه می دهد. از آنجایی که هکرها، ابزارها، تکنیک ها و رویه های جدیدی را مورد استفاده قرار داده و روش‌های جدیدی را برای تقویت قدرت و گسترش دامنه خود تشکیل می دهند، دید و سرعت در تشخیص رخداد و پاسخگویی به آن، بیش از هر زمان دیگری حیاتی است.

جرائم سایبری رخ داده با استفاده از تکنیک‌های فیشینگ

تکنیک‌های مهندسی اجتماعی به‌طور متداولی توسط عاملان تهدید با انگیزه‌های مجرمانه مورداستفاده قرار می‌گیرند تا کمپین‌های فیشینگ، ایمیل‌های ناخواسته و کلاه‌برداری‌های متقلبانه را طراحی کنند. روان‌شناسی پشت بسیاری از این تکنیک‌ها این است که از احساسات انسانی به‌عنوان طعمه استفاده کنند؛ احساساتی که بیشتر از همه مورد سوءاستفاده قرار می‌گیرند عبارتند از طمع، کنجکاوی، ترس و اشتیاق به کمک. همه‌گیری کووید-۱۹ به مجرمان فرصت منحصربه‌فردی برای استفاده از محتوای فریب‌دهنده و تکنیک‌های مهندسی اجتماعی می‌دهد که توانایی هدف قرار دادن هر یک از این احساسات را دارند. موضوع کووید-۱۹ تأثیراتی جهانی داشته، ۲۴ ساعته در اخبار پوشش داده می‌شود و تاکنون زمان پایان آن مشخص نیست.

جرائم سایبری فیشینگ با بهره‌برداری از کووید-۱۹

  • سوءاستفاده از افرادی که به دنبال جزئیاتی در مورد ردیابی بیماری، تست و درمان هستند
  • جعل هویت نهادهای پزشکی از جمله سازمان بهداشت جهانی یا WHO و مرکز کنترل و پیشگیری بیماری یا CDC
  • بسته‌های مساعدت مالی و محرک‌های دولتی ساختگی
  • حمله به کارمندانی که از خانه کار می‌کنند
  • کلاه‌برداری‌هایی که تجهیزات حفاظتی شخصی یا PPE را ارائه می‌دهند
  • اشاره‌ی جزئی به کووید-۱۹ در محتوای وسوسه‌انگیز که قبلاً هم مورد استفاده قرار می‌گرفت (مثلاً تحویل کالا، فاکتورها و دستورات خرید)

این حملات هم مثل کمپین‌های Phishing پیش از همه‌گیری سعی می‌کردند افراد را به پاسخ دادن تشویق کنند؛ یا برای تعامل با یک Hyperlink یا ضمیمه به یک ایمیل یا برای جذب ترافیک بازدیدکننده‌ها از طریق جستجوی آنلاین. در تابستان سال ۲۰۲۰ مجرمان به محتوای فریب‌دهنده‌ی محبوب خود بازگشتند، البته با ارجاعاتی به کووید-۱۹.

کووید-۱۹ تأثیر قابل‌توجهی روی حوزه‌های اقتصادی، اجتماعی، مذهبی، کسب‌و‌کار و سیاست گذاشته است. عملیات‌های نفوذ هدفمند بسیار علیه نهادهای بخش سلامت، نشان‌دهنده‌ی ارزش دارایی‌های فکری مرتبط به واکسن در سال ۲۰۲۰ و پس از آن هستند با توجه به کسب مجوز و عرضه‌ی اخیر واکسن‌ها، احتمالاً در سال ۲۰۲۱، برنامه‌های ارائه‌ی واکسن هدف تلاش‌هایی برای کسب اطلاعات توسط مهاجمان تحت حمایت دولت قرار گیرند. سویه‌های کووید-۱۹ که امسال رایج شده‌اند احتمالاً موجب ایجاد محتوای فریب‌دهنده‌ی بیشتری در مورد واکسیناسیون یا سویه جدیدی از بیماری گردند.

حمله‌ی زنجیره تأمین و سوءاستفاده از O365 توسط StellarParticle

در ۱۳ دسامبر ۲۰۲۰، گزارش‌های عمومی جزئیاتی را در مورد یک حمله‌ی زنجیره تأمین در مقابل مکانیزم پیاده‌سازی بروزرسانی نرم‌افزار مدیریت SolarWinds Orion IT ارائه کردند. مهاجم مسئول برای توزیع و نصب کد مخربی تحت عنوان SUNBURST از این عملیات استفاده کرد. به دلیل طبیعت این مسیر نفوذ ابتدایی، پیاده‌سازی کد مخرب توسط تعداد زیادی از سازمان‌ها در چندین بازار عمودی در سراسر جهان مشاهده و گزارش شدند.

دسترسی و اکسپلویت اولیه

تجزیه‌و‌تحلیل یک ماشین مجازی مورداستفاده در نسخه‌ی نرم‌افزاری بینش‌هایی را در مورد نحوه‌ی سرقت فرایند آن نسخه توسط مهاجم ارائه داد که به‌عنوان کلاستر فعالیت StellarParticle ردیابی شد. StellarParticle یک ابزار مانیتورینگ را نصب کرده بود که تحت عنوان SUNSPOT ردیابی شد؛ این ابزار شروع نسخه‌ی Packageهای Orion را شناسایی کرده و یکی از فایل‌های کد منبع را با یک نسخه‌ی Backdoorشده جایگزین می‌کند که حاوی یک مسیر اجرا در کد اصلی Orion و همچنین کد منبع  SUNBURST است طراحی SUNSPOT نشان می‌دهد که توسعه‌دهندگان StellarParticle تلاش‌های زیادی کردند تا اطمینان حاصل کنند که فرایند دستکاری به‌خوبی کار می‌کند و شرایط سختی را ایجاد کردند تا از لو رفتن حضورشان در محیط این نسخه پیشگیری نمایند.

وقتی‌که SUNBURST نصب می‌شود، این قابلیت را دارد که اطلاعاتی را در مورد Host جمع‌آوری کند، فایل‌ها و خدمات را در سیستم برشمارد، درخواست‌های HTTP به URLهای دلخواه انجام دهد، فایل‌های دلخواه را بنویسد، حذف کند یا اجرا نماید، Registry Keyها را اصلاح کند، فرایندها را قطع کند و سیستم را Reboot نماید. این قابلیت‌ها به StellarParticle این توانایی را می‌دهند که پیش از پیاده‌سازی کدهای مخرب بیشتر، بررسی کند که Host قربانی قابل‌توجه است یا نه. تجزیه‌و‌تحلیل این فعالیت نشان‌دهنده‌ی این است که توزیع بروزرسانی‌های Backdoorشده از SolarWinds Orion احتمالاً از حدود ۲۰ مارس ۲۰۲۰ شروع شده است.

SUNBURST برای مخفی کردن خود از هنجارهای نام‌گذاری کد منبع مشابهی با توسعه‌دهندگان SolarWinds استفاده می‌کند و همچنین از دو کانال ارتباطی متفاوت برای درخواست‌های دستور و کنترل یا C2 بهره می‌برد که برمبنای DNS هستند و خود را شبیه به ترافیک Amazon Web Services یا AWS نشان می‌دهند و یا برمبنای درخواست‌های HTTP با ساختار مشابهی با ترافیک Telemetry مربوط به SolarWinds’ Orion Improvement Program یا OIP هستند. محافظ‌های اجرای قدرتمندی به Backdoor اضافه شدند تا از شناسایی با تکنیک‌های مختلف فرار کنند که به‌طور خاص شامل دستکاری سرویس‌های نرم‌افزاری امنیتی برای غیرفعال کردن آن‌ها است.

پس از اکسپلویت

بااینکه عملیات زیرساخت SUNBURST C2 حدوداً ششم اکتبر ۲۰۲۰ قطع شد، اکسپلویت ثانویه از دسترسی اولیه که با استفاده از Backdoor حاصل شده بود تا دسامبر ۲۰۲۰ ادامه یافت و ممکن است هنوز هم ادامه‌دار باشد. گزارش‌گیری در صنعت، اقدامات اکسپلویت ثانویه را شناسایی کرد که به این فعالیت مرتبط هستند و شامل پیاده‌سازی ابزارهای مراحل بعدی مثل TEARDROP و Cobalt Strike از طریق SUNBURST و همچنین فعالیت کیبورد دستی با استفاده از PowerShell برای تعامل با خدمات شبکه‌ی سازمانی مختلف است. هدف‌گیری خدمات داخلی شامل توجه به نقض امنیتی اطلاعات اعتباری Active Directory یا AD، جمع‌آوری ایمیل و حرکت جانبی در زیرساخت Cloud است.

تجزیه‌و‌تحلیل Backdoor نشان می‌دهد که فقط زیرمجموعه‌ای از قربانیان که آلودگی‌های SUNBURST را تجربه کردند، اکسپلویت‌های ثانویه را از سوی اپراتورهای StellarParticle دریافت‌ نمودند، هرچند حوزه‌ی دقیق انتخاب‌شده توسط مهاجم همچنان نامشخص است.

 سپتامبر ۲۰۱۹  تغییرات آزمایشی ابتدایی در پایه کد Orion که توسط SolarWinds گزارش شده است
 ۶ دسامبر ۲۰۱۹  دامین Beacon C2 ثبت شد
 ۲۷ فوریه ۲۰۲۰  دامین Beacon C2 برای اولین بار به یک آدرس IP، Resolve می‌کند
 ۳ مارس ۲۰۲۰  SSL Certificate برای اولین بار با یک دامین C2 شناخته‌شده‌ی ثانویه مرتبط می‌گردد
 ۲۴ مارس ۲۰۲۰  زمان گردآوری بروزرسانی مخربی که تازه شناخته شده حاوی کد SUNBURST
 ۳۱ مارس ۲۰۲۰  اولین تاریخ شناسایی‌شده از توزیع بروزرسانی مخرب

جدول ۳. جدول زمانی حمله‌ی زنجیره‌ی تأمین

زیرساخت

مهاجم StellarParticle اقدامات قابل‌توجهی را اتخاذ کرد تا در فرایند ثبت و مدیریت زیرساخت از اشتباهات امنیت عملیاتی متداول یا OPSEC اجتناب کند. تنها همپوشانی فنی بین تمام دامین‌های شناسایی‌شده، خرید SSL Certificate بود که توسط یک مرجع Certificate تجاری، یعنی Sectigo صادر شده بود، اما میزان استفاده از آن به‌قدری بالا است که به چرخش‌های تحلیلی کمکی نمی‌کند. هیچ همپوشانی آدرس IP بین دامین‌ها وجود ندارد، زیرا هر دامین روی یک زیرساخت Cloud یا VPS جداگانه Host شده است.

به‌علاوه، این عامل از چندین سرویس Hosting و ثبت‌کننده (Registrar) برای دامین‌ها و سرورها استفاده کرد. مهاجم دامین‌ها را به‌صورت توده‌ای ثبت نکرد، بلکه ترجیح داد دامین‌های قدیمی و نسبتاً گران‌قیمت را خریداری کند که احتمالاً می‌توانند زیرساخت‌های معتبرتری را کسب کنند.

سوءاستفاده از O365

عوامل StellarParticle، علاوه بر پیاده‌سازی SUNBURST Backdoor دانشی استثنایی از Microsoft O365 و محیط Azure را از خود نشان دادند. قربانیان دیگرِ این نفوذ نیز صحبت کرده‌اند و گزارش داده‌اند که O365 یکی از اهداف همیشگی مهاجم بوده است که با موفقیت یک نمایندگی فروش مایکروسافت را هدف قرار داد و برای سوءاستفاده از برنامه‌های کاربردی O365 Oauth  و هدف قرار دادن ایمیل‌ها، از یک دسترسی سوءاستفاده کرد که قرار بود به نمایندگی فروش اجازه دهد لایسنس‌هایی را ممیزی کند. توانایی StellarParticle در سوءاستفاده از Azure و O365 نشان می‌دهد که درک دقیقی از کنترل‌های احراز هویت و دسترسی مربوط به آن پلتفرم‌ها دارد.

انتساب

گزارش‌‌های عمومی نشان‌دهنده‌ی انتساب کلاستر فعالیت StellarParticle به سرویس اطلاعات خارجی روسیه از فدراسیون روسیه یا SVR است و این سازمان را به COZY BEAR نسبت داده شده است. اما از فوریه ۲۰۲۱ به بعد، فعالیت StellarParticle را به هیچ مهاجم یا گروه جغرافیایی به‌خصوصی نسبت داده نشده است.

کلاستر فعالیت StellarParticle
 انگیزه  جاسوسی  احتمالاً تحت حمایت دولت
 ابزار  SUNBURST  بدافزار لودر مرحله‌ی اول (First-Stage Loader) و شناسایی
 SUNSPOT  ابزار مانیتورینگ که شروع یک نسخه‌ی Orion Package را شناسایی کرده و یکی از فایل‌های کد منبع را با یک نسخه‌ی Backdoor شده جایگزین می‌کند
 TEARDROP  لودر درون حافظه (In-Memory Loader) سفارشی مورداستفاده برای انجام Cobalt Strike

جدول ۴. خلاصه‌ی StellarParticle

چشم‌انداز

حملات زنجیره‌ی تأمین چیز جدیدی نیستند؛ حملات زنجیره‌ی تأمین یک روش دسترسی اولیه منحصربه‌فرد دارند که برای عاملان مخرب این قابلیت را ایجاد می‌کند که پس از یک نفوذ، گسترش پیدا کرده و به چندین هدف Downstream نفوذ کنند. علاوه بر حملات مبتنی بر نرم‌افزار مثل حمله‌ای که روی SolarWinds تأثیر گذاشت، حملات زنجیره‌ی تأمین می‌توانند شکل نقض‌های امنیتی سخت‌افزاری یا Third-Party را به خود بگیرند. عاملان جرائم سایبری معمولاً از دسترسی از این ‌نقض‌های امنیتی برای سود مالی استفاده می‌کنند و عموماً باج‌افزار و Mineware را پیاده‌سازی می‌کنند، درصورتی‌که مهاجمین نفوذ هدفمند اساساً از نقض‌های امنیتی برای پیاده‌سازی مجموعه ابزارهایی با هدف جاسوسی از مجموعه‌ی بزرگی از کاربران بهره می‌برند. با توجه به پتانسیل بالای بازگشت سرمایه‌ی عاملان تهدید، پیش‌بینی می‌شود که این حملات، سازمان‌های همه‌ی بخش‌ها را در سال ۲۰۲۲ تهدید نماید.

ایمیل خود را وارد کنید و عضو خبرنامه شوید.

محصولات شرکت

سامانه مدیریت یکپارچه تهدیدات
سامانه مرورگر امن (RBI)
سامانه مدیریت وقایع و امنیت اطلاعات

جهت ثبت درخواست همین حالا فرم را تکمیل نمایید.

با تکمیل فرم و ارسال درخواست خود، همکاران و کارشناسان ما در اسرع وقت با شما تماس خواهند گرفت.

Start typing to see posts you are looking for.

جهت ثبت درخواست همین حالا فرم را تکمیل نمایید.

با تکمیل فرم و ارسال درخواست خود، همکاران و کارشناسان ما در اسرع وقت با شما تماس خواهند گرفت.

جهت دانلود کاتالوگ شرکت همین حالا فرم را تکمیل نمایید.

جهت دانلود گزارش امنیتی 2023 همین حالا فرم را تکمیل نمایید.