از بسیاری جهات، این گزارش سالیانه، تهدیدات سایبری جهانی امسال را خلاصه می کند. جزئیات مطرح شده در این گزارش از مشاهدات دست اول تیمهای پاسخ به رخداد و تحلیلگران سایبری، جمعآوری شده است. همچنین این گزارش سالیانه تهدیدات سایبری ۲۰۲۱ در سال شامل درسها و توصیههای مهمی برای تیمهای امنیتی ارائه می دهد. بخش اول و بخش دوم این مطلب را از دست ندهید.
رویکردها و تکنیکهای استفاده شده توسط مهاجمان
افزایش اهمیت دلالهای دسترسی
دلالهای دسترسی عاملان تهدیدی هستند که یک دسترسی Backend را به سازمانهای مختلف (هم سازمانها و هم نهادهای دولتی) بهدست میآورند و این دسترسی را یا روی انجمنهای مجرمانه یا از طریق کانالهای خصوصی بهفروش میرسانند. وقتی مجرمانی که از بدافزار مجرمانه استفاده میکنند دسترسی را میخرند، نیاز به صرف کردن زمان برای شناسایی اهداف و بهدست آوردن دسترسی از بین میرود و پیادهسازیهای سریعتر همراه با پتانسیل بالاتر برای درآمدزایی ایجاد میگردد. برخی از دلالان دسترسی سطوح دسترسی را تا سطح ادمین دامین (که معمولاً تحت عنوان «دسترسی کامل» تبلیغ میشود) بالا میبرند، درحالیکه دلالان دسترسی دیگر فقط اطلاعات اعتباری و Endpointهای لازم برای بهدست آوردن دسترسی را فراهم میکنند.
استفاده از دلالان دسترسی در بین عاملان BGH و کسانی که از باجافزار بهره میبرند، رو به افزایش است. دلالان دسترسی که روی انجمنهای مجرمانه تبلیغ میکنند، احتمالاً از لاگهایی از سارقان اطلاعات استفاده مینمایند تا در عملیات به آنها کمک شود و برخی از افراد ممکن است اطلاعات اعتباری از این لاگها را تحت عنوان دسترسی به فروش برسانند. لاگهای سرقتشده معمولاً حاوی دادههایی مثل آدرسهای IP، اطلاعات اعتباری Login، URLهای Endpoint، اسکرینشاتهایی از دسکتاپ قربانی، کوکیها و تاریخچهی Autofill مرورگر است که میتوان برای تعیین نوع سیستمِ قربانی و همچنین فراهم کردن مسیری برای دسترسی اولیه از آنها استفاده کرد.
مبهمسازی بدافزار در فرایندهای ساخت
در سال ۲۰۲۰ مشاهده شد که WIZARD SPIDER و MUMMY SPIDER ابزار حفاظت از نرمافزار متنبازی را در فرایند ساخت بدافزار خود پیادهسازی کردند. این تکنیک در استفادهی WIZARD SPIDER از ADVObfuscatorدر بدافزارهای گروه یعنی Anchor، BazarLoader و Conti برای فعال کردن مبهمسازی رشته مشاهده شد. WIZARD SPIDER همچنین استفاده از ابزار متنباز obfuscator-llvm را برای مبهمسازی کد در نمونههایی از BazarLoader پیادهسازی کرد. روشهای مشابهی در پلتفرم ارائهی بدافزار Emotet متعلق به MUMMY SPIDER به کار گرفته شده بود.
استفاده از تکنیکهای مبهمسازی در بدافزار چیز جدیدی نیست، اما استفاده از ابزار متنباز در فرایندهای ساخت، تاکتیک جالبی است که از مهاجمان پیشرفتهای حمایت میکند که به دنبال راههایی برای حفظ چابکی فرایندهای توسعه باشند.WIZARD SPIDER احتمالاً چرخههای توسعهی سریعی را به کار گرفته است تا با گزارشگیری متنباز روی بدافزار خود تطبیق پیدا کند. حرکت از سوی تکنیکهای مبهمسازی سفارشی به سمت ابزارهای استانداردسازیشده از تغییرات مکرر در مجموعه ابزار آنها پشتیبانی مینماید.
با اینکه این ابزار بهصورت گستردهای قابلدسترسی هستند، تنظیم آنها میتواند پیچیده باشد و معمولاً نیازمند سطحی از فرایندهای خودکارسازیشده است. به همین دلیل، شاید این تاکتیک بهطور گسترده توسط گروههای تهدید با پیچیدگی کمتر مورد استفاده قرار نگیرد. با اینوجود، مهاجمان بالغتر ممکن است به این روش بهعنوان راهی برای حفاظت از Payloadهای مخرب خود و مبهمسازی آنها نگاه کنند. استفاده از ADVObfuscator همچنین در انواع باجافزارهای LockBit و SunCrypt مشاهده شده است.
هدف قرار دادن زیرساخت مجازیسازی
مشاهده شد که هم SPRITE SPIDER (استفادهکنندگان از Defray777) و هم (CARBON SPIDER استفادهکنندگان از DarkSide) در طول عملیات BGH، نسخههای لینوکس از خانوادههای باجافزار خود را روی Hostهای ESXi پیادهسازی کردند. هرچند سالهای زیادی است که باجافزار برای لینوکس وجود دارد، عاملان BGH درگذشته لینوکس را هدف نمیگرفتند، مخصوصاً اینکه بهطور خاص ESXi را هدف قرار دهند. ESXi نوعی Hypervisor است که روی سختافزار اختصاصی اجرا میشود و چندین ماشین مجازی یا VM را مدیریت میکند. باوجوداینکه سازمانهای بیشتری به راهکارهای مجازیسازی روی میآورند تا سیستمهایIT قدیمی را تجمیع کنند، این راهکارها برای مهاجمین استفادهکننده از باجافزار که به دنبال افزایش تأثیرگذاری در مقابل یک قربانی هستند، هدفی طبیعی محسوب میشوند.
تمام حوادث شناساییشده با اکتساب اطلاعات اعتباری معتبر امکانپذیر شده بودند. در چهار حادثهی Defray777 مجزا، SPRITE SPIDER از اطلاعات اعتباری ادمین استفاده کرد تا از طریق رابط کاربری وب vCenter لاگین کند. در یک مورد، SPRITE SPIDER احتمالاً از ماژول PyXie Remote Access Trojan (RAT) LaZagne استفاده کرد تا اطلاعات اعتباری ادمین vCenter که در یک مرورگر وب ذخیره شده است را جمعآوری کند.
استفادهکنندگان از باجافزار با هدف قرار دادن این Hostها میتوانند نسبتاً با پیادهسازیهای باجافزار اندک، بهسرعت چندین سیستم را رمزگذاری نمایند. رمزگذاری یک سرور ESXi نسبت به پیادهسازی باجافزار بهطور مجزا روی هر VM که روی یک سرور بهخصوص Host میشوند، مقدار آسیب یکسانی را ایجاد مینماید. درنتیجه، هدف قرار دادن Hostهای ESXi میتواند سرعت عملیات BGH را نیز بهبود بخشد. بهعلاوه به دلیل نبود سیستمهای عملیاتی مرسوم، Hostهای ESXi نرمافزار حفاظت از Endpoint ندارند که بتواند از حملات باجافزار پیشگیری کرده یا آنها را شناسایی کند.
حرکت جرایم سایبری هدفمند به سمت BGH
مهمترین عاملی که روی جرایم سایبری هدفمند تأثیر گذاشته است، کارآمدی عملیات باجافزار میباشد. CARBON SPIDER اساساً عملیات خود را در سال ۲۰۲۰ تغییر داد. این مهاجم ناگهان از کمپینهای محدود که فقط روی شرکتهایی که از دستگاههای POS استفاده میکردند تمرکز داشت، بهسوی عملیات گسترده و عمومی حرکت کرد که تلاش میکردند تعداد زیادی از قربانیان را در تمام بخشها آلوده کنند. هدف از این کمپینها ارائهی REvil RaaS متعلق به PINCHY SPIDER بود. CARBON SPIDER در ماه اوت ۲۰۲۰ با استفاده از باجافزار خودش یعنی DarkSide، تعهد خود را به BGH ثابت کرد. در نوامبر ۲۰۲۰، این مهاجم با ایجاد یک برنامهی وابسته به RaaS برای DarkSide، قدم دیگری بهسوی دنیای BGHبرداشت؛ این برنامه به عاملان دیگر این توانایی را میداد که از باجافزار استفاده کنند و سهمی هم به CARBON SPIDER بدهند.
دور شدن CARBON SPIDER از کمپینهای POS نشاندهندهی روند گستردهای از حرکت عاملان جرایم سایبری و تمرکز روی BGH است.
برای مثال، ANTHROPOID SPIDER که در سال ۲۰۱۹ بخشهای مالی را هدف قرار داده بود، در سال ۲۰۲۰ کمپینهای فرصتطلبانهی اکسپلویت کردن سرورهای وب را اجرایی کرد که اساساً باجافزار MedusaLocker را ارائه میدادند. پس از فوریه ۲۰۲۰، مهاجمان بزرگ COBALT SPIDER و WHISPER SPIDER ظاهراً فعالیت Spear-Phishing را در مقابل بانکها متوقف کردند. احتمالاً عاملان مرتبط با COBALT SPIDER و WHISPER SPIDER همچنان در جرایم سایبری کار میکنند اما راههای دیگری را برای درآمدزایی انتخاب کردهاند.
ادامهی عملیات پردرآمد توسط WIZARD SPIDER
WIZARD SPIDER مجرمی است که دو سال پشت سر هم، بیشتر از هر مجرم دیگری گزارش شده بود. این مهاجم در یکچهارم دوم و ادامهی سال، بهمرور عملیات خود را افزایش داد. مجموعه ابزاری گسترده و قدرتمند، باعث شده است که این مهاجم به یکی از سهمگینترین مهاجمان در چشمانداز جرایم سایبری امروز تبدیل شود. CrowdStrike.
WIZARD SPIDER روابط Third-Party قدرتمندی را ساخته و حفظ کرده است که قابلیتهای دسترسی اولیه را تقویت میکنند؛ مثلاً ارتباط مداوم این مجرم با MUMMY SPIDER. این مجرم ابزار و فرایندهای خود را بهروزرسانی کرده و ابزار مبهمسازی را وارد فرایندهای ساخت بدافزار نموده است و همچنین از ابزار کالا (Commodity Tooling) بهره میبرد. این تغییرات قطعاً برای دور زدن شناسایی استاتیک و در پاسخ به گزارشگیری متنباز که روی انواع باجافزار Ryuk و Conti متعلق به TrickBot و WIZARD SPIDER تمرکز دارد پیادهسازی شدهاند.