Search
Menu

گزارش سالیانه از تهدیدات سایبری در سال ۲۰۲۱ – بخش سوم

راهکار EDR

از بسیاری جهات، این گزارش سالیانه، تهدیدات سایبری جهانی امسال را خلاصه می کند. جزئیات مطرح شده در این گزارش از مشاهدات دست اول تیم‌های پاسخ به رخداد و تحلیلگران سایبری، جمع‌آوری شده است. همچنین این گزارش سالیانه تهدیدات سایبری ۲۰۲۱ در سال شامل درس‌ها و توصیههای مهمی برای تیمهای امنیتی ارائه می دهد. بخش اول  و بخش دوم این مطلب را از دست ندهید.

 

رویکردها و تکنیک‌های استفاده شده توسط مهاجمان

افزایش اهمیت دلال‌های دسترسی

دلال‌های دسترسی عاملان تهدیدی هستند که یک دسترسی Backend را به سازمان‌های مختلف (هم سازمان‌ها و هم نهادهای دولتی) به‌دست می‌آورند و این دسترسی را یا روی انجمن‌های مجرمانه یا از طریق کانال‌های خصوصی به‌فروش می‌رسانند. وقتی مجرمانی که از بدافزار مجرمانه استفاده می‌کنند دسترسی را می‌خرند، نیاز به صرف کردن زمان برای شناسایی اهداف و به‌دست آوردن دسترسی از بین می‌رود و پیاده‌سازی‌های سریع‌تر همراه با پتانسیل بالاتر برای درآمدزایی ایجاد می‌گردد. برخی از دلالان دسترسی سطوح دسترسی را تا سطح ادمین دامین (که معمولاً تحت عنوان «دسترسی کامل» تبلیغ می‌شود) بالا می‌برند، درحالی‌که دلالان دسترسی دیگر فقط اطلاعات اعتباری و Endpointهای لازم برای به‌دست آوردن دسترسی را فراهم می‌کنند.

استفاده از دلالان دسترسی در بین عاملان BGH و کسانی که از باج‌افزار بهره می‌برند، رو به افزایش است. دلالان دسترسی که روی انجمن‌های مجرمانه تبلیغ می‌کنند، احتمالاً از لاگ‌هایی از سارقان اطلاعات استفاده می‌نمایند تا در عملیات به آن‌ها کمک شود و برخی از افراد ممکن است اطلاعات اعتباری از این لاگ‌ها را تحت عنوان دسترسی به فروش برسانند. لاگ‌های سرقت‌شده معمولاً حاوی داده‌هایی مثل آدرس‌های IP، اطلاعات اعتباری Login، URLهای Endpoint، اسکرین‌شات‌هایی از دسکتاپ قربانی، کوکی‌ها و تاریخچه‌ی Autofill مرورگر است که می‌توان برای تعیین نوع سیستمِ قربانی و همچنین فراهم کردن مسیری برای دسترسی اولیه از آن‌ها استفاده کرد.

مبهم‌سازی بدافزار در فرایندهای ساخت 

در سال ۲۰۲۰ مشاهده شد که WIZARD SPIDER و MUMMY SPIDER ابزار حفاظت از نرم‌افزار متن‌بازی را در فرایند ساخت بدافزار خود پیاده‌سازی کردند. این تکنیک در استفاده‌ی WIZARD SPIDER از  ADVObfuscatorدر بدافزارهای گروه یعنی Anchor، BazarLoader و Conti برای فعال کردن مبهم‌سازی رشته مشاهده شد. WIZARD SPIDER همچنین استفاده از ابزار متن‌باز obfuscator-llvm را برای مبهم‌سازی کد در نمونه‌هایی از BazarLoader پیاده‌سازی کرد. روش‌های مشابهی در پلتفرم ارائه‌ی بدافزار Emotet متعلق به MUMMY SPIDER به کار گرفته شده بود.

استفاده از تکنیک‌های مبهم‌سازی در بدافزار چیز جدیدی نیست، اما استفاده از ابزار متن‌باز در فرایندهای ساخت، تاکتیک جالبی است که از مهاجمان پیشرفته‌ای حمایت می‌کند که به دنبال راه‌هایی برای حفظ چابکی فرایندهای توسعه باشند.WIZARD SPIDER احتمالاً چرخه‌های توسعه‌ی سریعی را به کار گرفته است تا با گزارش‌گیری متن‌باز روی بدافزار خود تطبیق پیدا کند. حرکت از سوی تکنیک‌های مبهم‌سازی سفارشی به سمت ابزارهای استانداردسازی‌شده از تغییرات مکرر در مجموعه ابزار آن‌ها پشتیبانی می‌نماید.

 با اینکه این ابزار به‌صورت گسترده‌ای قابل‌دسترسی هستند، تنظیم آن‌ها می‌تواند پیچیده باشد و معمولاً نیازمند سطحی از فرایندهای خودکارسازی‌شده است. به همین دلیل، شاید این تاکتیک به‌طور گسترده توسط گروه‌های تهدید با پیچیدگی کمتر مورد استفاده قرار نگیرد. با این‌وجود، مهاجمان بالغ‌تر ممکن است به این روش به‌عنوان راهی برای حفاظت از Payloadهای مخرب خود و مبهم‌سازی آن‌ها نگاه کنند. استفاده از ADVObfuscator همچنین در انواع باج‌افزارهای LockBit و SunCrypt مشاهده شده است.

هدف قرار دادن زیرساخت مجازی‌سازی

مشاهده شد که هم SPRITE SPIDER (استفاده‌کنندگان از Defray777) و هم (CARBON SPIDER استفاده‌کنندگان از DarkSide) در طول عملیات BGH، نسخه‌های لینوکس از خانواده‌های باج‌افزار خود را روی Hostهای ESXi پیاده‌سازی کردند. هرچند سال‌های زیادی است که باج‌افزار برای لینوکس وجود دارد، عاملان BGH درگذشته لینوکس را هدف نمی‌گرفتند، مخصوصاً اینکه به‌طور خاص ESXi را هدف قرار دهند. ESXi نوعی Hypervisor است که روی سخت‌افزار اختصاصی اجرا می‌شود و چندین ماشین مجازی یا VM را مدیریت می‌کند. باوجوداینکه سازمان‌های بیشتری به راهکارهای مجازی‌سازی روی می‌آورند تا سیستم‌هایIT  قدیمی را تجمیع کنند، این راهکارها برای مهاجمین استفاده‌کننده از باج‌افزار که به دنبال افزایش تأثیرگذاری در مقابل یک قربانی هستند، هدفی طبیعی محسوب می‌شوند.

تمام حوادث شناسایی‌شده با اکتساب اطلاعات اعتباری معتبر امکان‌پذیر شده بودند. در چهار حادثه‌ی Defray777 مجزا، SPRITE SPIDER از اطلاعات اعتباری ادمین استفاده کرد تا از طریق رابط کاربری وب vCenter لاگین کند. در یک مورد، SPRITE SPIDER احتمالاً از ماژول PyXie Remote Access Trojan (RAT) LaZagne استفاده کرد تا اطلاعات اعتباری ادمین vCenter که در یک مرورگر وب ذخیره شده‌ است را جمع‌آوری کند.

استفاده‌کنندگان از باج‌افزار با هدف قرار دادن این Hostها می‌توانند نسبتاً با پیاده‌سازی‌های باج‌افزار اندک، به‌سرعت چندین سیستم را رمزگذاری نمایند. رمزگذاری یک سرور ESXi نسبت به پیاده‌سازی باج‌افزار به‌طور مجزا روی هر VM که روی یک سرور به‌خصوص Host می‌شوند، مقدار آسیب یکسانی را ایجاد می‌نماید. درنتیجه، هدف‌ قرار دادن Hostهای ESXi می‌تواند سرعت عملیات BGH را نیز بهبود بخشد. به‌علاوه به دلیل نبود سیستم‌های عملیاتی مرسوم، Hostهای ESXi نرم‌افزار حفاظت از Endpoint ندارند که بتواند از حملات باج‌افزار پیشگیری کرده یا آن‌ها را شناسایی کند.

حرکت جرایم سایبری هدف‌مند به سمت BGH

مهم‌ترین عاملی که روی جرایم سایبری هدف‌مند  تأثیر گذاشته است، کارآمدی عملیات باج‌افزار می‌باشد. CARBON SPIDER اساساً عملیات خود را در سال ۲۰۲۰ تغییر داد. این مهاجم ناگهان از کمپین‌های محدود که فقط روی شرکت‌هایی که از دستگاه‌های POS استفاده می‌کردند تمرکز داشت، به‌سوی عملیات گسترده و عمومی حرکت کرد که تلاش می‌کردند تعداد زیادی از قربانیان را در تمام بخش‌ها آلوده کنند. هدف از این کمپین‌ها ارائه‌ی REvil RaaS متعلق به PINCHY SPIDER بود. CARBON SPIDER  در ماه اوت ۲۰۲۰ با استفاده از باج‌افزار خودش یعنی DarkSide، تعهد خود را به BGH ثابت کرد. در نوامبر ۲۰۲۰، این مهاجم با ایجاد یک برنامه‌ی وابسته به RaaS برای DarkSide، قدم دیگری به‌سوی دنیای  BGHبرداشت؛ این برنامه به عاملان دیگر این توانایی را می‌داد که از باج‌افزار استفاده کنند و سهمی هم به CARBON SPIDER بدهند.

دور شدن CARBON SPIDER از کمپین‌های POS نشان‌دهنده‌ی روند گسترده‌ای از حرکت عاملان جرایم سایبری و تمرکز روی BGH است.

برای مثال، ANTHROPOID SPIDER که در سال ۲۰۱۹ بخش‌های مالی را هدف قرار داده بود، در سال ۲۰۲۰ کمپین‌های فرصت‌طلبانه‌ی اکسپلویت کردن سرورهای وب را اجرایی کرد که اساساً باج‌افزار MedusaLocker را ارائه می‌دادند. پس از فوریه ۲۰۲۰، مهاجمان بزرگ COBALT SPIDER و WHISPER SPIDER ظاهراً فعالیت Spear-Phishing را در مقابل بانک‌ها متوقف کردند. احتمالاً عاملان مرتبط با COBALT SPIDER و WHISPER SPIDER همچنان در جرایم سایبری کار می‌کنند اما راه‌های دیگری را برای درآمدزایی انتخاب کرده‌اند.

ادامه‌ی عملیات پردرآمد توسط WIZARD SPIDER

WIZARD SPIDER مجرمی است که دو سال پشت سر هم، بیشتر از هر مجرم دیگری گزارش شده بود. این مهاجم در یک‌چهارم دوم و ادامه‌ی سال، به‌مرور عملیات خود را افزایش داد. مجموعه ابزاری گسترده و قدرتمند، باعث شده است که این مهاجم به یکی از سهمگین‌ترین مهاجمان در چشم‌انداز جرایم سایبری امروز تبدیل شود. CrowdStrike.

WIZARD SPIDER روابط Third-Party قدرتمندی را ساخته و حفظ کرده است که قابلیت‌های دسترسی اولیه را تقویت می‌کنند؛ مثلاً ارتباط مداوم این مجرم با MUMMY SPIDER. این مجرم ابزار و فرایندهای خود را به‌روزرسانی کرده و ابزار مبهم‌سازی را وارد فرایندهای ساخت بدافزار نموده است و همچنین از ابزار کالا (Commodity Tooling) بهره می‌برد. این تغییرات قطعاً برای دور زدن شناسایی استاتیک و در پاسخ به گزارش‌گیری متن‌باز که روی انواع باج‌افزار Ryuk و Conti متعلق به TrickBot و WIZARD SPIDER تمرکز دارد پیاده‌سازی شده‌اند.

کاتالوگ امن پردازان کویر
گزارش امنیتی
ایمیل خود را وارد کنید و عضو خبرنامه شوید.

آخرین اخبار

مقالات سایت

درباره شرکت

محصولات

خدمات

مقالات و منابع

ایمیل خود را وارد کنید تا از آخرین اخبار دنیای امنیت مطلع گردید.

تماس با ما
Telegram-plane Instagram Linkedin Eaparat

Info@apk-group.net

۴۲۲۷۳ - ۰۲۱

۳۶۲۹۰۹۹۰ - ۰۳۵

۴۵۸۱۲۳۹۶ (۰۲۱)

۳۶۲۹۰۹۹۲ (۰۳۵)

تهران - خیابان شهید بهشتی، خیابان صابونچی، کوچه ادایی، پلاک ۲، طبقه اول

یزد - خیابان شهید دکتر چمران، روبـروی کارخانه درخشان

تمامی حقوق وبسایت متعلق به شرکت امن‌پردازان کویر (APK) است.

Start typing to see posts you are looking for.

جهت ثبت درخواست همین حالا فرم را تکمیل نمایید.

با تکمیل فرم و ارسال درخواست خود، همکاران و کارشناسان ما در اسرع وقت با شما تماس خواهند گرفت.

جهت دانلود کاتالوگ شرکت همین حالا فرم را تکمیل نمایید.

جهت دانلود گزارش امنیتی 2023 همین حالا فرم را تکمیل نمایید.

در دنیای امنیت چه خبر؟
جهت دریافت آخرین اخبار دنیای امنیت شبکه و اطلاعات ایمیل خود را وارد کنید.