تم اكتشاف لوحة الهجوم الإلكتروني المكتشفة حديثًا والتي يطلق عليها اسم TeslaGun، والتي تستخدمها شركة Evil Corp لتشغيل حملات ServHelper الخلفية.
تُظهر البيانات التي تم الحصول عليها من التحليل الذي أجراه فريق Prodraft Threat Intelligence (PTI) أن عصابة برامج الفدية Evil Corp (المعروفة أيضًا باسم TA505 أو UNC2165، بالإضافة إلى ستة أسماء تتبع ملونة أخرى) استخدمت TeslaGun لتنفيذ حملات تصيد جماعية وحملات مستهدفة ضد المزيد أكثر من 8,000 منظمة وفرد مختلفين. وكانت غالبية الأهداف في الولايات المتحدة، التي شهدت أكثر من 3,600 من الضحايا، مع توزيع دولي متفرق خارج ذلك.
كان هناك توسع مستمر في البرامج الضارة للباب الخلفي ServHelper، وهي حزمة طويلة الأمد ومحدثة باستمرار تم إطلاقها منذ عام 2019 على الأقل. وبدأت في اكتساب القوة مرة أخرى في النصف الثاني من عام 2021، وفقًا لـ تقرير من سيسكو تالوس، مدفوعة بآليات مثل أدوات التثبيت المزيفة وبرامج التثبيت الضارة المرتبطة بها، مثل Raccoon وAmadey.
آخر المستجدات، استخبارات التهديد من Trellix أفاد الشهر الماضي أنه تم العثور مؤخرًا على الباب الخلفي لـ ServHelper وهو يسقط أدوات تعدين العملات المشفرة المخفية على الأنظمة.
تقرير PTI، الذي صدر يوم الثلاثاء، يتعمق في التفاصيل الفنية وراء TeslaGun، ويقدم بعض التفاصيل والنصائح التي يمكن أن تساعد المؤسسات على المضي قدمًا في اتخاذ تدابير مضادة مهمة لبعض اتجاهات الهجمات الإلكترونية السائدة اليوم.
تعد الهجمات الخلفية التي تتحايل على آليات المصادقة وتثبت بهدوء استمرارية أنظمة المؤسسة من أكثر الهجمات إثارة للقلق بالنسبة للمدافعين عن الأمن السيبراني. وذلك لأن هذه الهجمات يصعب اكتشافها أو منعها باستخدام عناصر التحكم الأمنية القياسية.
يقوم المهاجمون من الباب الخلفي بتنويع أصول هجومهم
قال باحثو PTI إنهم لاحظوا مجموعة واسعة من الملفات الشخصية والحملات المختلفة للضحايا أثناء تحقيقاتهم، مما يدعم الأبحاث السابقة التي أظهرت أن هجمات ServHelper تقوم بالبحث عن الضحايا في مجموعة متنوعة من الحملات المتزامنة. هذا هو نمط هجوم العلامة التجارية المتمثل في إلقاء شبكة واسعة من الضربات الانتهازية.
وأوضح التقرير أن "مثيلًا واحدًا من لوحة التحكم TeslaGun يحتوي على سجلات حملة متعددة تمثل طرق تسليم مختلفة وبيانات الهجوم". "تقوم الإصدارات الأحدث من البرامج الضارة بتشفير هذه الحملات المختلفة كمعرفات للحملات."
لكن المهاجمين السيبرانيين سينشطون في التعرف على الضحايا
وفي الوقت نفسه، يحتوي تطبيق TeslaGun على الكثير من الأدلة التي تشير إلى أن المهاجمين يقومون بتصنيف الضحايا، وتدوين ملاحظات كثيرة في بعض النقاط، وشن هجمات مستترة مستهدفة.
"لاحظ فريق PTI أن لوحة المعلومات الرئيسية للوحة TeslaGun تتضمن تعليقات مرفقة بسجلات الضحايا. وقال التقرير: "تُظهر هذه السجلات بيانات جهاز الضحية مثل وحدة المعالجة المركزية ووحدة معالجة الرسومات وحجم ذاكرة الوصول العشوائي وسرعة الاتصال بالإنترنت"، موضحًا أن هذا يشير إلى استهداف فرص تعدين العملات المشفرة. "من ناحية أخرى، وفقًا لتعليقات الضحايا، من الواضح أن TA505 يبحث بنشاط عن مستخدمي الخدمات المصرفية عبر الإنترنت أو مستخدمي التجزئة، بما في ذلك محافظ العملات المشفرة وحسابات التجارة الإلكترونية."
وقال التقرير إن معظم الضحايا يعملون على ما يبدو في القطاع المالي لكن هذا الاستهداف ليس حصريا.
تُعد إعادة البيع جزءًا مهمًا من تحقيق الدخل من الباب الخلفي
وقال التقرير إن الطريقة التي تم بها إعداد خيارات المستخدم في لوحة التحكم قدمت للباحثين الكثير من المعلومات حول "سير العمل والاستراتيجية التجارية" للمجموعة. على سبيل المثال، تم تسمية بعض خيارات التصفية باسم "بيع" و"بيع 2" مع تعطيل بروتوكولات سطح المكتب البعيد (RDP) للضحايا في هذه المجموعات مؤقتًا من خلال اللوحة.
"ربما يعني هذا أن TA505 لا يمكنه تحقيق ربح على الفور من استغلال هؤلاء الضحايا تحديدًا"، وفقًا للتقرير. "بدلاً من السماح لهم بالرحيل، قامت المجموعة بوضع علامة على اتصالات RDP الخاصة بهؤلاء الضحايا لإعادة بيعها لمجرمي الإنترنت الآخرين."
وقال تقرير PTI إنه بناءً على ملاحظات الباحثين، فإن الهيكل الداخلي للمجموعة كان "غير منظم بشكل مدهش" لكن أعضائها ما زالوا "يراقبون ضحاياهم بعناية ويمكنهم إظهار صبر ملحوظ، خاصة مع الضحايا ذوي القيمة العالية في القطاع المالي".
ويشير التحليل أيضًا إلى أن قوة المجموعة تكمن في خفة الحركة، مما يجعل من الصعب التنبؤ بالنشاط واكتشافه بمرور الوقت.
ومع ذلك، فإن المهاجمين من الباب الخلفي ليسوا مثاليين، ويمكن أن يقدم هذا بعض الأدلة لمحترفي الأمن السيبراني الذين يتطلعون إلى إحباط جهودهم.
"ومع ذلك، فإن المجموعة تظهر بعض نقاط الضعف الواضحة. وقال التقرير إنه في حين أن TA505 يمكنه الاحتفاظ باتصالات مخفية على أجهزة الضحايا لعدة أشهر، فإن أعضائه غالبًا ما يكونون صاخبين على نحو غير عادي. "بعد تثبيت ServHelper، قد تتصل جهات التهديد TA505 يدويًا بالأجهزة الضحية من خلال نفق RDP. قد تكون التقنيات الأمنية القادرة على اكتشاف هذه الأنفاق أمرًا حيويًا لالتقاط وتخفيف هجمات الباب الخلفي لجهاز TA505.
لقد كانت شركة Evil Corp المرتبطة بروسيا (والمعاقبة عليها) واحدة من أكثر المجموعات انتشارًا في السنوات الخمس الماضية. بحسب ال الحكومة الأمريكية، فإن المجموعة هي العقل المدبر وراء حصان طروادة المالي Dridex ولها ارتباطات بحملات تستخدم متغيرات برامج الفدية مثل WastedLocker. وهي تواصل صقل مجموعة كبيرة من الأسلحة لترسانتها أيضًا؛ في الأسبوع الماضي، ظهر أنه مرتبط بـ التهابات التوت روبن.
يستخدم PTI TA505 لتتبع التهديد، و الإجماع متين ولكن ليس من المعروف أن TA505 وEvil Corp هما نفس المجموعة. تقرير الشهر الماضي من مركز تنسيق الأمن السيبراني للقطاع الصحي (HC3) وقالت إنها “لا تدعم حاليا هذا الاستنتاج”.
