خانه » طرح بدافزاری که منجر به گسترش باج‌ افزار CACTUS می‌شود

طرح بدافزاری که منجر به گسترش باج‌ افزار CACTUS می‌شود

توسط Vulnerbyte
206 بازدید
باج‌ افزار CACTUS

مایکروسافت، نسبت به موج جدیدی از حملات باج ‌افزار CACTUS هشدار داده است که از تبلیغات مخرب برای استقرار DanaBot به عنوان یک بردار دسترسی اولیه استفاده می‌کنند. تیم تهدید اطلاعات مایکروسافت، سی‌اُم نوامبر ۲۰۲۳ طی یک سری پست در X  (توئیتر سابق) اعلام کرد که نفوذ DanaBot منجر به حمله “hands-on-keyboard” توسط اپراتور باج افزار Storm-0216  (Twisted Spider، UNC2198) گشته که با استقرار باج افزار CACTUS به اوج خود رسیده است.

حمله hands-on-keyboard ، اقدامی است که پس از نفوذ به یک سیستم رخ می دهد. مهاجم برای حرکت جانبی در شبکه قربانی، با سوء استفاده از پیکربندی های اشتباه سیستم و باگ های امنیتی و تایپ دستورات به دنبال داده های مهم، پیمایش بین حساب ها و افزایش سطح دسترسی می‌باشد.

DanaBot که توسط غول فناوری با نام Storm-1044 نیز دنبال می‌شود، یک ابزار چند منظوره کاربردی در امتداد Emotet، TrickBot، QakBot و IcedID می‌باشد که می‌تواند به عنوان رباینده و نقطه ورود برای پیلودهای مرحله بعد مورد استفاده قرار گیرد.

کمپین فعلی Danabot که برای اولین بار در ماه نوامبر ۲۰۲۳ مشاهده گردید، به نظر می‌رسد از یک نسخه خصوصی بدافزار رباینده اطلاعات به جای ارائه بدافزار به عنوان یک سرویس (MaaS) استفاده می‌کند. گواهی های اعتبار جمع آوری شده توسط بدافزار به یک سرور تحت کنترل مهاجم منتقل می‌شود که با حرکت جانبی (حرکت جانبی، تکنیکی است که مهاجم پس از نفوذ به endpoint ، برای حفظ و گسترش دسترسی به میزبان‌ها و سایر برنامه های کاربردی در یک شبکه از آن استفاده می‌کند) از طریق تلاش های ورود به سیستم RDP و در نهایت تحویل و استقرار Storm-0216 دنبال می‌شود.

UNC2198، همانطور که Mandiant در فوریه ۲۰۲۱ خاطر نشان کرد، endpointهارا به منظور استقرار خانواده‌های باج‌افزار مانند Maze و Egregor به IcedID آلوده می‌کند. شواهد حاکی از آن است که عامل تهدید از دسترسی اولیه حاصل شده توسط نفوذهای QakBot نیز استفاده کرده است. تغییر به DanaBot احتمالاً نتیجه یک عملیات هماهنگ قانونی در آگوست ۲۰۲۳ است که زیرساخت های QakBot را تخریب و حذف کرد.

این افشاگری چند روز پس از آن صورت می‌پذیرد که Arctic Wolf مجموعه دیگری از حملات باج‌افزار CACTUS را فاش کرد که به طور فعال از آسیب‌پذیری‌های حیاتی در یک پلتفرم تحلیل داده به نام Qlik Sense برای دسترسی به شبکه‌های شرکتی سوء استفاده کرده است.

منابع

همچنین ممکن است دوست داشته باشید

پیام بگذارید