Η Microsoft ανακαλύπτει ομάδα απειλών που αναπτύσσει νέο κύμα Royal Ransomware

Δημοσιεύθηκε στις: Νοέμβριος 23, 2022

Η Microsoft αποκάλυψε την περασμένη εβδομάδα ότι μια ομάδα απειλών που προσδιορίστηκε ως DEV-0569 βρισκόταν πίσω από ένα νέο κύμα Royal ransomware και άλλο κακόβουλο λογισμικό που αναπτύσσεται μέσω συνδέσμων phishing, ιστοτόπων με νόμιμη εμφάνιση και Google Ads.

Η παράκαμψη λύσεων ασφάλειας είναι μια πτυχή όπου οι φορείς απειλών αντιμετωπίζουν μερικές φορές προκλήσεις. Ένας τρόπος με τον οποίο μπορούν να παρακάμψουν αυτές τις λύσεις είναι να εξαπατήσουν τους χρήστες να τους αφήσουν να εισέλθουν κάνοντας κλικ σε κακόβουλους συνδέσμους ή κατεβάζοντας επιβλαβές λογισμικό.

Το DEV-0569 χρησιμοποιεί και τις δύο αυτές τεχνικές ενάντια στους χρήστες που στοχεύουν. Η ομάδα απειλών δημιουργεί ιστότοπους ηλεκτρονικού ψαρέματος (phishing), χρησιμοποιεί φόρμες επικοινωνίας σε στοχευμένους οργανισμούς, φιλοξενεί προγράμματα εγκατάστασης σε ιστότοπους λήψης που φαίνονται νόμιμοι και αναπτύσσει το Google Ads.

"Η δραστηριότητα DEV-0569 χρησιμοποιεί υπογεγραμμένα δυαδικά αρχεία και παρέχει κρυπτογραφημένα ωφέλιμα φορτία κακόβουλου λογισμικού." εξήγησε Η Microsoft στη δήλωσή της την περασμένη εβδομάδα. Η ομάδα είναι επίσης γνωστό ότι χρησιμοποιεί σε μεγάλο βαθμό τεχνικές αμυντικής αποφυγής και συνέχισε να χρησιμοποιεί το εργαλείο ανοιχτού κώδικα Nsudo για να προσπαθήσει να απενεργοποιήσει λύσεις προστασίας από ιούς πρόσφατα σε καμπάνιες.

«Το DEV-0569 βασίζεται κυρίως σε συνδέσμους κακόβουλης διαφήμισης, phishing που παραπέμπουν σε πρόγραμμα λήψης κακόβουλου λογισμικού που παρουσιάζεται ως πρόγραμμα εγκατάστασης λογισμικού ή ενημερώσεις ενσωματωμένες σε ανεπιθύμητα μηνύματα ηλεκτρονικού ταχυδρομείου, ψεύτικες σελίδες φόρουμ και σχόλια ιστολογίου», πρόσθεσε ο τεχνολογικός γίγαντας.

Ένας από τους κύριους στόχους του DEV-0569 είναι να αποκτήσει πρόσβαση σε συσκευές εντός ασφαλών δικτύων, κάτι που θα τους επέτρεπε να αναπτύξουν το Royal ransomware. Ως αποτέλεσμα, η ομάδα θα μπορούσε να γίνει μεσίτης πρόσβασης για άλλους χειριστές ransomware πουλώντας την πρόσβαση που έχουν σε άλλους χάκερ.

Επιπλέον, η ομάδα χρησιμοποιεί το Google Ads για να επεκτείνει την προσέγγισή της και να συνδυάζεται με τη νόμιμη επισκεψιμότητα στο διαδίκτυο.

«Οι ερευνητές της Microsoft εντόπισαν μια καμπάνια κακόβουλης διαφήμισης DEV-0569 που αξιοποιεί το Google Ads που παραπέμπει στο νόμιμο σύστημα διανομής επισκεψιμότητας (TDS) Keitaro, το οποίο παρέχει δυνατότητες προσαρμογής διαφημιστικών καμπανιών μέσω παρακολούθησης της επισκεψιμότητας διαφημίσεων και φιλτραρίσματος βάσει χρήστη ή συσκευής», είπε η εταιρεία. . "Η Microsoft παρατήρησε ότι το TDS ανακατευθύνει τον χρήστη σε μια νόμιμη τοποθεσία λήψης ή υπό ορισμένες προϋποθέσεις, στον κακόβουλο ιστότοπο λήψης BATLOADER."

Αυτή η στρατηγική επιτρέπει στους φορείς απειλών να παρακάμψουν σειρές IP γνωστών λύσεων sandboxing ασφαλείας στέλνοντας κακόβουλο λογισμικό σε συγκεκριμένους στόχους και IP.