خانه » باج افزارهای LockBit 3.0 و Babuk در چنگال گروه Crypt Ghouls!

باج افزارهای LockBit 3.0 و Babuk در چنگال گروه Crypt Ghouls!

توسط Vulnerbyt_News
گروه vulnerbyte - گروه والنربایت - vulnerbyte group - گروه Crypt Ghouls - باج افزار LockBit 3.0 و Babuk - جاسوسی سایبری - روسیه

متخصصان آزمایشگاه کسپرسکی در دسامبر 2023 موفق به کشف یک گروه تهدید کننده جدید به نام “Crypt Ghouls” شدند که از باج افزارهای LockBit 3.0 و Babuk برای رمزگذاری سیستم‌های شرکت‌های روسی از جمله سازمان‌های دولتی استفاده می‌کند.

تحقیقات بیشتر درمورد فعالیت این گروه حاکی از ارتباط آن با سایر گروه‌ها همچون MorLock، BlackJack، Twelve Shedding Zmiy (معروف به ExCobalt) می‌باشد که در حال حاضر همگی بر روی نفوذ به روسیه متمرکز شده‌اند. این گروه‌ها در تاکتیک، تکنیک و متدهای (TTPS) حمله به زیرساخت و IoCها همپوشانی دارند.

Crypt Ghouls دارای یک toolkit است که شامل ابزارهایی مانند Mimikatz، XenAllPasswordPro، PingCastle Localtonet، resocks، AnyDesk، PsExec و غیره می‌باشد و از از باج افزارهای LockBit 3.0 و Babuk به عنوان پیلود نهایی استفاده می‌کند.

 

بررسی فرآیند نفوذ گروه Crypt Ghouls به قربانیان

متخصصان آزمایشگاه کسپرسکی توانستند تنها دو مورد از حملات گروه Crypt Ghouls را شناسایی کنند و مورد بررسی قرار دهند.

هکرها اطلاعات داده‌های لاگین یک شرکت پیمانکار را از طریق VPN برای اتصال به سیستم داخلی، مورد سوء استفاده قرار دادند. اتصالات VPN از آدرس‌های IP مرتبط با شبکه یک ارائه دهنده میزبانی روسی و شبکه یک پیمانکار ایجاد شده است.

هکرها به منظور حفظ دسترسی به سیستم، از ابزارهای NSSM و Localtonet استفاده کردند. NSSM، سرویس‌هایی را بر روی یک میزبان ایجاد و مدیریت می‌کند، در حالی که Localtonet یک تونل رمزگذاری شده برای اتصال به آن میزبان از یک شبکه خارجی فراهم می‌آورد. هر دو ابزار به طور مستقیم از localtonet.com دانلود شده‌ بودند.

 

استقرار بدافزار و استخراج اطلاعات

اکنون نوبت به استقرار بدافزار و استخراج اطلاعات و سوء استفاده از سیستم قربانیان رسیده است. هکرها از ابزارهای XenAllPasswordPro، Mimikatz، dumper.ps1 و MiniDump Tool برای جمع آوری طیف وسیعی از داده‌های احراز هویت از سیستم هدف، استفاده می‌کنند. جزئیات این ابزارها به شرح زیر است:

  • XenAllPasswordPro برای جمع آوری داده‌های احراز هویت
  • بکدور CobInt
  • Mimikatz برای استخراج داده‌های لاگین قربانیان
  • ps1 برای استخراج تیکت‌های کربروس (Kerberos) از LSA
  • MiniDump برای استخراج داده‌های لاگین از حافظه exe
  • exe برای کپی کردن اطلاعات کاربری ذخیره شده از مرورگرهای Google Chrome و Microsoft Edge
  • PingCastle برای شناسایی شبکه
  • PAExec برای اجرای دستورات از راه دور
  • AnyDesk و پروکسی Resocks SOCKS5 برای دسترسی از راه دور

گروه Crypt Ghouls فایل‌های حاوی اطلاعات کاربری و داده‌های لاگین ذخیره شده در مرورگرها را در یک دایرکتوری موقت (temp) کپی می‌کند:

cmd.exe /Q /c copy “C:\Users\[username]\AppData\Local\Microsoft\Edge\User

Data\Default\Login Data” “C:\Windows\Temp\1713909129.8364425”

cmd.exe /Q /c copy “C:\Users\[username]\AppData\Local\Google\Chrome\User

Data\Default\Login Data” “C:\Windows\Temp\1713909173.8739672”

cmd.exe /Q /c copy “C:\Users\[username]\AppData\Local\Microsoft\Edge\User

Data\Default\Login Data” “C:\Windows\Temp\1713909181.5850394”

دستورات روی hostها از طریق WMI اجرا می‌شوند. هکرها سپس از پاورشل برای درخواست لیستی از کاربران لوکال استفاده می‌کنند.

گروه Crypt Ghouls از ابزار PingCastle به منظور جمع آوری اطلاعات درباره زیرساخت سروری که درآن قرار داشته‌اند، استفاده کردند. هکرها همچنین شبکه را با استفاده از ابزار قانونی SoftPerfect Network Scanner به صورت دوره‌ای برای تعیین پورت‌های باز و منابع به اشتراک گذاشته شده شبکه، اسکن کردند.

هکرها به منظور فعالیت در شبکه از ماژول WmiExec.py Impacket استفاده نمودند. متخصصان متوجه شدند که هر دو قربانی مورد بررسی از PAExec که ابزاری برای اجرای فرمان از راه دور می‌باشد، استفاده می‌کردند.

گروه Crypt Ghouls از چندین ابزار برای دسترسی از راه دور استفاده می‌کند. متداول‌ترین ابزارها AnyDesk می‌باشد اما هکرها خود را به آن محدود نکرده‌اند. جدول زیر شامل نام برنامه‌های کاربردی و دایرکتوری‌هایی است که ابزارها در آن‌ها مشاهده شده‌اند:

نام

دایرکتوری

AnyDesk

C:\Users\[redacted]\Downloads\AnyDesk.exe

Localtonet

C:\Windows\Temp\localtonet.exe

resocks

/usr/sbin/xfs-modules

Resocks یک پروکسی SOCKS5 معکوس برای تانلینگ ترافیک است. محققان در حین بررسی فعالیت این گروه، یک نمونه پروکسی یافتند که برای استفاده از آدرس IP 91.142.73[.]178، که بخشی از شبکه ارائه دهنده میزبانی VDSina است، پیکربندی شده بود.

پارامترهای قابل توجه نمونه resocks به شرح زیر است:

-X main.defaultConnectBackAddress=91.142.73[.]178 -X

main.defaultConnectionKey=CzKDvHM8UGE/QtjuF2SSkJzaVmRpjNipdWlbTzFry6o

بارگذاری جانبی DLL در شبکه قربانی

هکرها پس از ایجاد دسترسی اولیه به شبکه از تکنیک بارگذاری جانبی DLL استفاده کردند و یک برنامه قانونی ویندوز به نام dism.exe و لودر مخرب dismcore.dll را در فولدر c:\ProgramData\oracle\ قرار دادند.

لودر  dismcore.dll سعی می‌کند فایل odbcconf.xml را که حاوی پیلود است، بیابد اما متخصصان نتوانستند فایل را بازیابی کنند.

 

رمزگذاری فایل

هکرها داده‌ها را با استفاده از باج افزارهای محبوب LockBit 3.0 ( برای سیستم‌های ویندوز) و Babuk (برای لینوکس) رمزگذاری کردند. پیکربندی نمونه LockBit حاوی دستوراتی برای رمزگذاری درایورهای لوکال، خاتمه فرآیندها و سرویس‌های خاص، غیرفعال سازی ویندوز دیفندر (Windows Defender) و حذف لاگ‌های پیکربندی است.

دایرکتوری‌های سیستم و همچنین فولدری به نام intel به استثناهای رمزگذاری اضافه شدند که ابزارهای هکرها برای جمع آوری داده‌های لاگین در آن دانلود می‌شدند.

گروه vulnerbyte - گروه والنربایت - vulnerbyte group - گروه Crypt Ghouls - باج افزار LockBit 3.0 و Babuk - جاسوسی سایبری - روسیه
قطعه‌ای از فایل پیکربندی LockBit 3.0

بدافزار همچنین فایل‌های recycle bin (سطل زباله) را در حالی که کاراکترهای تصادفی به آن‌ها اضافه می‌کند، رمزگذاری می‌نماید تا از بازیابی آنها جلوگیری به عمل آورد.

هکرها در سرویس پیام‌رسان Session، یک یادداشت اخاذی حاوی لینکی برای ارائه شناسه  IDآن‌ها به منظور برقراری ارتباطات، قرار داده بودند. این پیام‌رسان با پشتیبانی از رمزگذاری end-to-end خطر افشای اطلاعات محرمانه را به حداقل می‌رساند.

گروه vulnerbyte - گروه والنربایت - vulnerbyte group - باج افزار LockBit 3.0 و Babuk - جاسوسی سایبری - روسیه
یادداشت اخاذی LockBit 3.0

پیام رسان Session در حملات گروه‌های باج افزار GhostLocker،  SEXiو MorLock نیز مورد استفاده قرار گرفته است. هکرها همچنین با استفاده از باج افزار Babuk سرورهای ESXi را رمزگذاری کردند. آن‌ها از طریق SSH به سرور ESXi متصل شدند،  Babukرا روی آن بارگذاری کرده و شروع به رمزگذاری فایل‌های ماشین مجازی نمودند:

 

سخن پایانی

متخصصان معتقدند که هدف هکرها علاوه بر درخواست باج، ایجاد اختلال در فرآیندهای تجاری سازمان‌های مورد نظر در روسیه است. قربانیان این حملات، سازمان‌های دولتی و همچنین شرکت‌های معدنی، انرژی، مالی و خرده‌فروشی مستقر در روسیه هستند.

 

منبع

همچنین ممکن است دوست داشته باشید

پیام بگذارید