مایکروسافت، نسبت به موج جدیدی از حملات باج افزار CACTUS هشدار داده است که از تبلیغات مخرب برای استقرار DanaBot به عنوان یک بردار دسترسی اولیه استفاده میکنند. تیم تهدید اطلاعات مایکروسافت، سیاُم نوامبر ۲۰۲۳ طی یک سری پست در X (توئیتر سابق) اعلام کرد که نفوذ DanaBot منجر به حمله “hands-on-keyboard” توسط اپراتور باج افزار Storm-0216 (Twisted Spider، UNC2198) گشته که با استقرار باج افزار CACTUS به اوج خود رسیده است.
DanaBot که توسط غول فناوری با نام Storm-1044 نیز دنبال میشود، یک ابزار چند منظوره کاربردی در امتداد Emotet، TrickBot، QakBot و IcedID میباشد که میتواند به عنوان رباینده و نقطه ورود برای پیلودهای مرحله بعد مورد استفاده قرار گیرد.
کمپین فعلی Danabot که برای اولین بار در ماه نوامبر ۲۰۲۳ مشاهده گردید، به نظر میرسد از یک نسخه خصوصی بدافزار رباینده اطلاعات به جای ارائه بدافزار به عنوان یک سرویس (MaaS) استفاده میکند. گواهی های اعتبار جمع آوری شده توسط بدافزار به یک سرور تحت کنترل مهاجم منتقل میشود که با حرکت جانبی از طریق تلاش های ورود به سیستم RDP و در نهایت تحویل و استقرار Storm-0216 دنبال میشود. حرکت جانبی، تکنیکی است که مهاجم پس از نفوذ به endpoint ، برای حفظ و گسترش دسترسی به هاست ها و سایر برنامه های کاربردی در یک شبکه از آن استفاده می کند.
UNC2198، همانطور که Mandiant در فوریه ۲۰۲۱ خاطر نشان کرد، endpointهارا به منظور استقرار خانوادههای باجافزار مانند Maze و Egregor به IcedID آلوده میکند. شواهد حاکی از آن است که عامل تهدید از دسترسی اولیه حاصل شده توسط نفوذهای QakBot نیز استفاده کرده است. تغییر به DanaBot احتمالاً نتیجه یک عملیات هماهنگ قانونی در آگوست ۲۰۲۳ است که زیرساخت های QakBot را تخریب و حذف کرد.
این افشاگری چند روز پس از آن صورت میپذیرد که Arctic Wolf مجموعه دیگری از حملات باج افزار CACTUS را فاش کرد که به طور فعال از آسیبپذیریهای حیاتی در یک پلتفرم تحلیل داده به نام Qlik Sense برای دسترسی به شبکههای شرکتی سوء استفاده کرده است.
