محققان امنیت سایبری ارتباطی بین تروجان دسترسی از راه دور دارک گیت بدنام (RAT) و عملیات جرایم سایبری مالی مستقر در ویتنام را در پشت دزد اطلاعات Ducktail کشف کردند.
با محققین Secure، که فعالیت Ducktail را در سال 2022 مشاهده کرد، تحقیقات خود را در مورد DarkGate پس از شناسایی چندین تلاش برای عفونت علیه سازمان ها در بریتانیا، ایالات متحده و هند آغاز کردند.
"به سرعت مشخص شد که اسناد و اهداف فریب بسیار شبیه کمپین های اخیر Ducktail infodealer هستند، و می توان از طریق داده های منبع باز از کمپین DarkGate به چندین دزد اطلاعاتی دیگر که به احتمال زیاد توسط یک بازیگر/گروه مورد استفاده قرار می گیرند، چرخش داد. "، در این گزارش اشاره شده است.
پیوندهای DarkGate با Ducktail
دارک گیت است بدافزار backdoor قادر به انجام طیف گسترده ای از فعالیت های مخرب، از جمله سرقت اطلاعات، cryptojacking، و استفاده از Skype، Teams و Messages برای توزیع بدافزار است.
این بدافزار میتواند انواع دادهها را از دستگاههای آلوده، از جمله نامهای کاربری، رمز عبور، شماره کارت اعتباری و سایر اطلاعات حساس به سرقت ببرد و بدون اطلاع یا رضایت کاربر برای استخراج ارز دیجیتال در دستگاههای آلوده استفاده شود.
می توان از آن برای تحویل باج افزار به دستگاه های آلوده، رمزگذاری فایل های کاربر و درخواست پرداخت باج برای رمزگشایی آنها استفاده کرد.
استفان رابینسون، تحلیلگر ارشد اطلاعات تهدید WithSecure توضیح می دهد که در سطح بالایی، عملکرد بدافزار DarkGate از زمان گزارش اولیه در سال 2018 تغییر نکرده است.
او میگوید: «این همیشه یک بدافزار چند منظوره، چاقوی ارتش سوئیس بوده است. گفته میشود، از آن زمان بهطور مکرر توسط نویسنده بهروزرسانی و اصلاح شده است، که میتوانیم فرض کنیم که اجرای آن عملکردهای مخرب را بهبود بخشیده و با مسابقه تسلیحاتی شناسایی AV/Malware همگام بوده است.»
او خاطرنشان میکند که کمپینهای DarkGate (و بازیگران پشت سر آنها) را میتوان بر اساس افرادی که هدف قرار میدهند، فریبها و ناقلهای عفونتی که استفاده میکنند و اقداماتشان بر روی هدف متمایز کرد.
رابینسون میگوید: «خوشه ویتنامی خاص که گزارش بر روی آن تمرکز دارد، از همان هدفگیری، نام فایلها و حتی فریب دادن فایلها برای کمپینهای متعدد با استفاده از گونههای مختلف بدافزار استفاده میکند.
آنها با استفاده از یک سرویس آنلاین که ابرداده خود را به هر فایل ایجاد شده اضافه می کند، فایل های فریبنده PDF را ایجاد کردند. این ابرداده پیوندهای قوی بیشتری بین کمپین های مختلف ایجاد کرد.
آنها همچنین چندین فایل LNK مخرب را در یک دستگاه ایجاد کردند و ابرداده ها را پاک نکردند و امکان خوشه بندی فعالیت های بیشتر را فراهم کردند.
همبستگی بین DarkGate و Ducktail از نشانگرهای غیرفنی مانند فایل های فریبنده، الگوهای هدف گیری و روش های تحویل، که در 15 صفحه گردآوری شده اند، تعیین شد. گزارش.
«شاخصهای غیرفنی مانند فایلهای فریب و ابرداده نشانههای پزشکی قانونی بسیار تأثیرگذار هستند. Callie Guenther، مدیر ارشد تحقیقات تهدیدات سایبری در Critical Start توضیح میدهد که فایلهای فریبنده، که بهعنوان طعمهای برای ترغیب قربانیان به اجرای بدافزار عمل میکنند، بینشهای ارزشمندی را در مورد شیوههای عملیات مهاجم، اهداف بالقوه و تکنیکهای در حال تکامل آنها ارائه میدهند.
به طور مشابه، ابرداده ها - اطلاعاتی مانند "LNK Drive ID" یا جزئیات خدماتی مانند Canva - می توانند ردپاها یا الگوهای قابل تشخیصی از خود بر جای بگذارند که ممکن است در حملات مختلف یا بازیگران خاص باقی بماند.
او میگوید: «این الگوهای منسجم، هنگامی که تحلیل میشوند، میتوانند شکاف بین کمپینهای متنوع را پر کنند و محققان را قادر میسازند تا آنها را به یک عامل مشترک نسبت دهند، حتی اگر ردپای فنی بدافزار متفاوت باشد».
Ngoc Bui، کارشناس امنیت سایبری در Menlo Security، میگوید درک روابط بین خانوادههای مختلف بدافزار مرتبط با عوامل تهدید یکسان ضروری است.
Bui میگوید: «این به ایجاد یک نمایه تهدید جامعتر و شناسایی تاکتیکها و انگیزههای این عوامل تهدید کمک میکند.
به عنوان مثال، اگر محققان ارتباطی بین DarkGate، Ducktail، Lobshot و Redline Stealer پیدا کنند، ممکن است بتوانند به این نتیجه برسند که یک بازیگر یا گروه واحد در کمپینهای متعدد شرکت دارد، که نشاندهنده سطح بالایی از پیچیدگی است.
Bui می افزاید: «همچنین ممکن است به تحلیلگران کمک کند تا تشخیص دهند که آیا بیش از یک گروه تهدید با هم کار می کنند، همانطور که با کمپین ها و تلاش های باج افزار می بینیم.
MaaS بر منظره تهدید سایبری تأثیر می گذارد
Bui اشاره می کند که در دسترس بودن DarkGate به عنوان یک سرویس پیامدهای مهمی برای چشم انداز امنیت سایبری دارد.
Bui توضیح می دهد: "این مانع ورود مجرمان سایبری مشتاقی که ممکن است فاقد تخصص فنی باشند را کاهش می دهد." در نتیجه، افراد یا گروههای بیشتری میتوانند به بدافزار پیچیدهای مانند DarkGate دسترسی پیدا کرده و آن را مستقر کنند و سطح کلی تهدید را افزایش دهند.»
Bui اضافه می کند که ارائه بدافزار به عنوان یک سرویس (MaaS) ابزاری مناسب و مقرون به صرفه را برای مجرمان سایبری برای انجام حملات فراهم می کند.
برای یک تحلیلگر امنیت سایبری، این یک چالش است، زیرا آنها باید به طور مستمر خود را با تهدیدات جدید وفق دهند و امکان استفاده چندین عامل تهدید از یک سرویس بدافزار را در نظر بگیرند.
همچنین میتواند ردیابی عامل تهدید با استفاده از بدافزار را کمی دشوارتر کند، زیرا ممکن است خود بدافزار به توسعهدهنده برگردد و نه عامل تهدید که از بدافزار استفاده میکند.
تغییر پارادایم در دفاع
گونتر میگوید برای درک بهتر چشمانداز تهدیدات سایبری مدرن و همیشه در حال تحول، تغییر الگو در استراتژیهای دفاعی دیر شده است.
او میگوید: «پذیرفتن توالیهای تشخیص مبتنی بر رفتار، و همچنین استفاده از هوش مصنوعی و ML، امکان شناسایی رفتارهای شبکه غیرعادی را فراهم میکند، که از محدودیتهای قبلی روشهای مبتنی بر امضا فراتر میرود.»
علاوه بر این، ادغام اطلاعات تهدید و تقویت ارتباطات در مورد تهدیدات و تاکتیکهای اضطراری در سراسر صنعت میتواند تشخیص زودهنگام و کاهش آن را تسریع کند.
گونتر میافزاید: «ممیزیهای منظم، شامل تنظیمات شبکه و آزمایشهای نفوذ، میتواند بهطور پیشگیرانه آسیبپذیریها را کشف کند. علاوه بر این، یک نیروی کار آگاه و آموزش دیده در شناخت تهدیدهای معاصر و بردارهای فیشینگ، به اولین خط دفاعی سازمان تبدیل می شود و ضریب ریسک را به میزان قابل توجهی کاهش می دهد.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- منبع: https://www.darkreading.com/vulnerabilities-threats/ducktail-infostealer-darkgate-rat-linked-to-same-threat-actors
- : دارد
- :است
- :نه
- $UP
- 2018
- 7
- a
- قادر
- درباره ما
- دسترسی
- در میان
- عمل
- اقدامات
- فعالیت ها
- فعالیت
- بازیگران
- وفق دادن
- می افزاید:
- پس از
- در برابر
- AI
- اجازه می دهد تا
- همچنین
- همیشه
- an
- روانکاو
- تحلیلگران
- تجزیه و تحلیل
- و
- ظاهر
- هستند
- اسلحه
- AS
- مشتاق
- فرض
- At
- حمله
- تلاشها
- ممیزی
- نویسنده
- دسترس پذیری
- به عقب
- طعمه
- سد
- BE
- شد
- زیرا
- شود
- بوده
- رفتار
- پشت سر
- بودن
- بهتر
- میان
- بریج
- بنا
- by
- کمپین بین المللی حقوق بشر
- مبارزات
- CAN
- توانا
- کارت
- کاتالیز کردن
- به چالش
- تغییر
- خوشه
- مشترک
- ارتباط
- درک
- جامع
- نتیجه گیری
- رفتار
- ارتباط
- اتصالات
- رضایت
- در نظر بگیرید
- استوار
- معاصر
- به طور مستمر
- مناسب
- ارتباط
- مقرون به صرفه
- ایجاد شده
- اعتبار
- کارت اعتباری
- بحرانی
- کریپتو کارنسی (رمز ارزها )
- رمزگشایی
- سایبر
- جرایم اینترنتی
- مجرمان سایبری
- امنیت سایبری
- داده ها
- رمزگشایی کنید
- دفاع
- ارائه
- تحویل
- خواستار
- گسترش
- جزئیات
- کشف
- مشخص کردن
- مشخص
- توسعه دهنده
- دستگاه
- دستگاه ها
- DID
- مختلف
- متفاوت است
- مشکل
- توزیع کردن
- اسناد و مدارک
- راندن
- هر
- در اوایل
- تلاش
- در آغوش گرفتن
- را قادر می سازد
- شامل
- ورود
- ضروری است
- حتی
- در حال تحول
- مثال
- اجرا کردن
- کارشناس
- تخصص
- توضیح می دهد
- خانواده
- پرونده
- فایل ها
- مالی
- پیدا کردن
- نام خانوادگی
- تمرکز
- رد پا
- برای
- پزشک قانونی
- پرورش دادن
- از جانب
- قابلیت
- توابع
- بیشتر
- شکاف
- به
- گروه
- گروه ها
- آیا
- he
- کمک
- کمک می کند
- زیاد
- خیلی
- HTTPS
- ID
- شناسایی
- شناسایی
- if
- تأثیرگذار
- اثرات
- پیاده سازی
- پیامدهای
- بهبود
- in
- از جمله
- افزایش
- هندوستان
- شاخص ها
- افراد
- صنعت
- اطلاعات
- اول
- بینش
- اطلاعات
- به
- فوق العاده گرانبها
- تحقیق
- گرفتار
- IT
- ITS
- خود
- JPG
- نگاه داشتن
- دانش
- عدم
- چشم انداز
- ترک کردن
- سطح
- بهره برداری
- پسندیدن
- احتمالا
- محدودیت
- لاین
- مرتبط
- لینک ها
- کوچک
- ساخت
- نرم افزارهای مخرب
- بدافزار به عنوان سرویس (MaaS)
- مدیر
- ممکن است..
- به معنی
- پیام
- متاداده
- روش
- قدرت
- کاهش
- ML
- مدرن
- اصلاح شده
- حالت
- بیش
- علاوه بر این
- انگیزه
- چندگانه
- باید
- نام
- شبکه
- جدید
- اشاره کرد
- یادداشت
- بدنام
- تعداد
- of
- ارائه
- پیشنهادات
- on
- ONE
- آنلاین
- باز کن
- منبع باز
- عمل
- or
- کدام سازمان ها
- سازمان های
- دیگر
- خارج
- به طور کلی
- خود
- نمونه
- کلمه عبور
- الگوهای
- پرداخت
- نفوذ
- فیشینگ
- محور
- افلاطون
- هوش داده افلاطون
- PlatoData
- نقطه
- به شمار
- امکان
- ممکن
- پتانسیل
- قبلی
- مشخصات
- ارائه
- نژاد
- محدوده
- فدیه
- باجافزار
- سریعا
- موش صحرایی
- اخیر
- شناختن
- کاهش
- منظم
- روابط
- دور
- دسترسی از راه دور
- به طور مکرر
- گزارش
- گزارش
- تحقیق
- محققان
- نتیجه
- خطر
- s
- سعید
- همان
- می گوید:
- تیم امنیت لاتاری
- دیدن
- ارشد
- حساس
- سرویس
- خدمات
- او
- تغییر
- قابل توجه
- مشابه
- پس از
- تنها
- اسکایپ
- مصنوعی
- پیچیدگی
- منبع
- خاص
- شروع
- آغاز شده
- استفان
- فشارها
- استراتژی ها
- قوی
- قابل ملاحظه ای
- چنین
- حاکی از
- فراتر
- تاکتیک
- هدف
- هدف گذاری
- اهداف
- تیم ها
- فنی
- تکنیک
- تست
- نسبت به
- که
- La
- انگلستان
- شان
- آنها
- سپس
- اینها
- آنها
- این
- کسانی که
- تهدید
- بازیگران تهدید
- تهدید
- از طریق
- روابط
- به
- با هم
- پیگردی
- آموزش دیده
- تروجان
- Uk
- کشف
- درک
- به روز شده
- us
- استفاده
- کاربر
- با استفاده از
- تنوع
- عمودی
- بسیار
- قربانیان
- ویتنامی
- آسیب پذیری ها
- بود
- we
- خوب
- بود
- چه زمانی
- که
- WHO
- وسیع
- دامنه گسترده
- پاک کردن
- با
- بدون
- نیروی کار
- کارگر
- زفیرنت