باجگیر افزار HelloXD در حال نصب درب پشتی در سیستمهای ویندوز و لینوکس مورد هدف
- سه شنبه, 07 تیر 1401
- اخبار و مقالات
- 246 بازدید
سیستمهای ویندوز و لینوکس توسط یک نوع باجگیرافزار به نام HelloXD مورد هدف قرار گرفتند که این آلودگیها شامل استقرار یک درب پشتی برای تسهیل دسترسی دائمی از راه دور به میزبانهای آلوده میشود.
دانیل بانس و دوئل سانتوس، محققین امنیتی از Palo Alto Networks Unit 42 در یک نوشته جدید دراینباره گفتند[۱]: “برخلاف سایر گروههای باجافزار، این خانواده باجافزار سایت نشت فعالی ندارند؛ در عوض ترجیح میدهند قربانی آسیبدیده را از طریق چت Tox و نمونههای پیامرسان onion-based به مذاکره هدایت کنند [۲].”
HelloXD در ۳۰ نوامبر ۲۰۲۱ در سطح اینترنت ظاهر شد[۳] و بر اساس یک کد افشاشده از Babuk است که در یک انجمن جرایم سایبری به زبان روسی در سپتامبر ۲۰۲۱ منتشر شد[۴].
این خانواده از باج افزارها از این قاعده مستثنی نیستند که اپراتورها از رویکرد tried-and-tested اخاذی مضاعف [۵] پیروی میکنند تا از طریق استخراج دادههای حساس قربانی علاوه بر رمزگذاری و تهدید به انتشار اطلاعات، پرداختهای ارزهای دیجیتال را مطالبه کنند.
ایمپلنت موردبحث که MicroBackdoor نام دارد[۶]، یک دژافزار منبع باز است که برای ارتباطات فرمان و کنترل (C2) استفاده میشود و توسعهدهنده آن Dmytro Oleksiuk آن را «چیزی واقعاً حداقلی با تمام ویژگیهای اساسی در کمتر از ۵۰۰۰ خط کد» نامیده است[۷].”
قابلذکر است که انواع مختلفی از این ایمپلنت توسط بازیگر تهدید بلاروسی با نام Ghostwriter (معروف به UNC1151) در عملیات سایبری[۸] خود علیه سازمانهای دولتی اوکراین در مارس ۲۰۲۲ مورداستفاده قرار گرفت[۹].
ویژگیهای MicroBackdoor به مهاجم اجازه میدهد سیستم فایل را مرور کند، فایلها را آپلود و دانلود کند، دستورات را اجرا کند و شواهد حضور آن را از ماشینهای در معرض خطر پاک کند. گمان میرود که استقرار درب پشتی برای “نظارت بر پیشرفت باجگیر افزار” انجام شده است.
واحد ۴۲ اعلام کرد که توسعهدهنده احتمالی روسی پشت HelloXD که از نامهای مستعار آنلاین x4k، L4ckyguy، unKn0wn، unk0w، _unkn0wn، و x4kme استفاده میکند را به فعالیتهای مخرب دیگری مانند فروش اکسپلویتهای اثبات ادعا (PoC) و توزیعهای لینوکس Kali سفارشی با کنار هم قرار دادن دنباله دیجیتال یک بازیگر مرتبط میکند.
محققان میگویند: «x4k حضور آنلاین بسیار محکمی دارد که به ما این امکان را میدهد تا بیشتر فعالیتهای او را در این دو سال اخیر کشف کنیم. این بازیگر تهدید برای پنهان کردن فعالیتهای مخرب کار چندانی انجام نداده است و احتمالاً به این رفتار ادامه خواهد داد.»
این یافتهها در حالی است که مطالعه جدیدی از IBM X-Force نشان میدهد[۱۰] که میانگین مدت حمله باجگیرافزار سازمانی – یعنی زمان بین دسترسی اولیه و استقرار باجافزار – بین سالهای ۲۰۱۹ تا ۲۰۲۱ به مقدار ۹۴٫۳۴ درصد (از بیش از دو ماه به ۳٫۸۵ روز) کاهش یافته است.
روند افزایش سرعت و کارایی در اکوسیستم باجگیر افزار بهعنوان یک سرویس (RaaS) به نقش محوری کارگزاران دسترسی اولیه (IABs) [11] در دستیابی به دسترسی به شبکههای قربانی[۱۲] و سپس فروش دسترسی به شرکتهای وابسته نسبت داده شده است که بهنوبه خود، از جای پا برای استقرار payload های باج افزاری سوءاستفاده میکنند.
Intel 471 در گزارشی که بر روابط کاری نزدیک بین IAB ها و باجگیر افزارها تأکید میکند، دراینباره گفت [۱۳]: “خرید دسترسی ممکن است بهطور قابلتوجهی مدتزمان موردنیاز اپراتورهای باجگیر افزار را برای انجام یک حمله با فعال کردن شناسایی سیستمها و شناسایی دادههای کلیدی زودتر و با سهولت بیشتر کاهش دهد.”
“علاوه بر این، با تقویت روابط، گروههای باجگیرافزاری ممکن است قربانی را شناسایی کنند که میخواهند آنها را هدف قرار دهند و merchant دسترسی میتواند پس از در دسترس بودن، دسترسی را برای آنها فراهم کند.”