باج‌گیر افزار HelloXD در حال نصب درب پشتی در سیستم‌های ویندوز و لینوکس مورد هدف

 

 

سیستم‌های ویندوز و لینوکس توسط یک نوع باجگیر‌افزار به نام HelloXD مورد هدف قرار گرفتند که این آلودگی‌ها شامل استقرار یک درب پشتی برای تسهیل دسترسی دائمی از راه دور به میزبان‌های آلوده می‌شود.

دانیل بانس و دوئل سانتوس، محققین امنیتی از Palo Alto Networks Unit 42 در یک نوشته جدید دراین‌باره گفتند[۱]: “برخلاف سایر گروه‌های باج‌افزار، این خانواده باج‌افزار سایت نشت فعالی ندارند؛ در عوض ترجیح می‌دهند قربانی آسیب‌دیده را از طریق چت Tox و نمونه‌های پیام‌رسان onion-based به مذاکره هدایت کنند [۲].”

HelloXD در ۳۰ نوامبر ۲۰۲۱ در سطح اینترنت ظاهر شد[۳] و بر اساس یک کد افشاشده از Babuk است که در یک انجمن جرایم سایبری به زبان روسی در سپتامبر ۲۰۲۱ منتشر شد[۴].

این خانواده از باج افزارها از این قاعده مستثنی نیستند که اپراتورها از رویکرد tried-and-tested اخاذی مضاعف [۵] پیروی می‌کنند تا از طریق استخراج داده‌های حساس قربانی علاوه بر رمزگذاری و تهدید به انتشار اطلاعات، پرداخت‌های ارزهای دیجیتال را مطالبه کنند.

ایمپلنت موردبحث که MicroBackdoor نام دارد[۶]، یک دژافزار منبع باز است که برای ارتباطات فرمان و کنترل (C2) استفاده می‌شود و توسعه‌دهنده آن Dmytro Oleksiuk آن را «چیزی واقعاً حداقلی با تمام ویژگی‌های اساسی در کمتر از ۵۰۰۰ خط کد» نامیده است[۷].”

 

قابل‌ذکر است که انواع مختلفی از این ایمپلنت توسط بازیگر تهدید بلاروسی با نام Ghostwriter (معروف به UNC1151) در عملیات سایبری[۸] خود علیه سازمان‌های دولتی اوکراین در مارس ۲۰۲۲ مورداستفاده قرار گرفت[۹].

ویژگی‌های MicroBackdoor به مهاجم اجازه می‌دهد سیستم فایل را مرور کند، فایل‌ها را آپلود و دانلود کند، دستورات را اجرا کند و شواهد حضور آن را از ماشین‌های در معرض خطر پاک کند. گمان می‌رود که استقرار درب پشتی برای “نظارت بر پیشرفت باج‌گیر افزار” انجام شده است.

واحد ۴۲ اعلام کرد که توسعه‌دهنده احتمالی روسی پشت HelloXD که از نام‌های مستعار آنلاین x4k، L4ckyguy، unKn0wn، unk0w، _unkn0wn، و x4kme استفاده می‌کند را به فعالیت‌های مخرب دیگری مانند فروش اکسپلویت‌های اثبات ادعا (PoC) و توزیع‌های لینوکس Kali سفارشی با کنار هم قرار دادن دنباله دیجیتال یک بازیگر مرتبط می‌کند.

محققان می‌گویند: «x4k حضور آنلاین بسیار محکمی دارد که به ما این امکان را می‌دهد تا بیشتر فعالیت‌های او را در این دو سال اخیر کشف کنیم. این بازیگر تهدید برای پنهان کردن فعالیت‌های مخرب کار چندانی انجام نداده است و احتمالاً به این رفتار ادامه خواهد داد.»

این یافته‌ها در حالی است که مطالعه جدیدی از IBM X-Force نشان می‌دهد[۱۰] که میانگین مدت حمله باج‌گیر‌افزار سازمانی – یعنی زمان بین دسترسی اولیه و استقرار باج‌افزار – بین سال‌های ۲۰۱۹ تا ۲۰۲۱ به مقدار ۹۴٫۳۴ درصد (از بیش از دو ماه به ۳٫۸۵ روز) کاهش یافته است.

روند افزایش سرعت و کارایی در اکوسیستم باج‌گیر افزار به‌عنوان یک سرویس (RaaS) به نقش محوری کارگزاران دسترسی اولیه (IABs) [11] در دستیابی به دسترسی به شبکه‌های قربانی[۱۲] و سپس فروش دسترسی به شرکت‌های وابسته نسبت داده شده است که به‌نوبه خود، از جای پا برای استقرار payload  های باج افزاری سوءاستفاده می‌کنند.

Intel 471 در گزارشی که بر روابط کاری نزدیک ‌بین IAB ها و باج‌گیر افزارها تأکید می‌کند، دراین‌باره گفت [۱۳]: “خرید دسترسی ممکن است به‌طور قابل‌توجهی مدت‌زمان موردنیاز اپراتورهای باج‌گیر افزار را برای انجام یک حمله با فعال کردن شناسایی سیستم‌ها و شناسایی داده‌های کلیدی زودتر و با سهولت بیشتر کاهش دهد.”

“علاوه بر این، با تقویت روابط، گروه‌های باجگیر‌افزاری ممکن است قربانی را شناسایی کنند که می‌خواهند آن‌ها را هدف قرار دهند و merchant دسترسی می‌تواند پس از در دسترس بودن، دسترسی را برای آن‌ها فراهم کند.”

 

منبع مرکز آپای دانشگاه صنعتی امیر کبیر(پلی تکنیک تهران)

مطالب مرتبط