كولين تيري
كشفت Microsoft الأسبوع الماضي أن مجموعة تهديد تم تحديدها على أنها DEV-0569 كانت وراء موجة جديدة من Royal الفدية وغيرها من البرامج الضارة التي يتم نشرها من خلال روابط التصيد الاحتيالي ومواقع الويب ذات المظهر الشرعي وإعلانات Google.
يعد تجاوز الحلول الأمنية أحد الجوانب التي يواجه فيها الفاعلون المهددون تحديات في بعض الأحيان. تتمثل إحدى الطرق التي يمكنهم من خلالها تجاوز هذه الحلول في خداع المستخدمين للسماح لهم بالدخول عن طريق النقر فوق الروابط الضارة أو تنزيل برامج ضارة.
يستخدم DEV-0569 كلتا الطريقتين ضد المستخدمين المستهدفين. تقوم مجموعة التهديد بإنشاء مواقع ويب للتصيد الاحتيالي ، واستخدام نماذج الاتصال على المؤسسات المستهدفة ، واستضافة أدوات التثبيت على مواقع التنزيل التي تبدو شرعية ، وتنشر إعلانات Google.
"يستخدم نشاط DEV-0569 ثنائيات موقعة ويقدم حمولات مشفرة من البرامج الضارة ،" شرح مايكروسوفت في بيانها الأسبوع الماضي. ومن المعروف أيضًا أن المجموعة تستخدم بشكل كبير تقنيات التهرب الدفاعي واستمرت في استخدام الأداة مفتوحة المصدر Nsudo لمحاولة تعطيل حلول مكافحة الفيروسات مؤخرًا في الحملات.
وأضاف العملاق التكنولوجي: "يعتمد DEV-0569 بشكل خاص على الإعلانات الخبيثة وروابط التصيد التي تشير إلى أداة تنزيل البرامج الضارة التي تتظاهر بأنها مثبتات برامج أو تحديثات مضمنة في رسائل البريد الإلكتروني العشوائية وصفحات المنتديات المزيفة وتعليقات المدونة".
يتمثل أحد الأهداف الرئيسية لـ DEV-0569 في الوصول إلى الأجهزة داخل الشبكات الآمنة ، مما يسمح لهم بنشر Royal ransomware. نتيجة لذلك ، يمكن للمجموعة أن تصبح وسيط وصول لمشغلي برامج الفدية الآخرين عن طريق بيع الوصول الذي لديهم إلى متسللين آخرين.
بالإضافة إلى ذلك ، تستخدم المجموعة إعلانات Google لتوسيع مدى وصولها ودمجها مع حركة المرور المشروعة على الإنترنت.
وقالت الشركة: "حدد باحثو Microsoft حملة DEV-0569 الضارة للإعلانات التي تستفيد من إعلانات Google التي تشير إلى نظام توزيع حركة المرور المشروع (TDS) Keitaro ، والذي يوفر إمكانات لتخصيص الحملات الإعلانية عبر تتبع حركة مرور الإعلانات والتصفية المستندة إلى المستخدم أو الجهاز". . "لاحظت Microsoft أن TDS تعيد توجيه المستخدم إلى موقع تنزيل شرعي ، أو في ظل ظروف معينة ، إلى موقع تنزيل BATLOADER الضار."
وبالتالي تسمح هذه الإستراتيجية للجهات الفاعلة في التهديد بتجاوز نطاقات IP لحلول الحماية الأمنية المعروفة عن طريق إرسال البرامج الضارة إلى أهداف وعناوين IP محددة.
