کالین تیری
مایکروسافت هفته گذشته فاش کرد که یک گروه تهدید به نام DEV-0569 پشت موج جدید رویال بوده است. باجافزار و سایر بدافزارها که از طریق پیوندهای فیشینگ، وبسایتهای با ظاهر قانونی و تبلیغات Google مستقر شدهاند.
دور زدن راه حل های امنیتی یکی از جنبه هایی است که عوامل تهدید گاهی با چالش هایی مواجه می شوند. یکی از راههایی که آنها میتوانند این راهحلها را دور بزنند، فریب دادن کاربران است تا با کلیک روی لینکهای مخرب یا دانلود نرمافزارهای مضر به آنها اجازه ورود بدهند.
DEV-0569 از هر دوی این تکنیک ها علیه کاربرانی که آنها را هدف قرار می دهند استفاده می کند. گروه تهدید وبسایتهای فیشینگ ایجاد میکند، از فرمهای تماس در سازمانهای هدف استفاده میکند، نصبکنندهها را در سایتهای دانلودی که به نظر قانونی میآیند میزبانی میکند و Google Ads را مستقر میکند.
"فعالیت DEV-0569 از باینری های امضا شده استفاده می کند و بارهای بدافزار رمزگذاری شده را تحویل می دهد." توضیح داده شده مایکروسافت در بیانیه هفته گذشته خود. این گروه همچنین به شدت از تکنیکهای فرار دفاعی استفاده میکند و به استفاده از ابزار منبع باز Nsudo برای غیرفعال کردن راهحلهای آنتی ویروس اخیراً در کمپینها ادامه داده است.
این غول فناوری افزود: «DEV-0569 به طور مشخص به تبلیغات بدافزار، پیوندهای فیشینگ متکی است که به دانلودکننده بدافزار اشاره میکند که خود را نصبکننده نرمافزار یا بهروزرسانیهای تعبیهشده در ایمیلهای هرزنامه، صفحات انجمن جعلی و نظرات وبلاگها نشان میدهد».
یکی از اهداف اصلی DEV-0569 دسترسی به دستگاههای درون شبکههای امن است که به آنها اجازه میدهد باجافزار سلطنتی را مستقر کنند. در نتیجه، این گروه می تواند با فروش دسترسی آنها به سایر هکرها، به واسطه دسترسی سایر اپراتورهای باج افزار تبدیل شود.
علاوه بر این، این گروه از Google Ads برای گسترش دامنه دسترسی خود و ترکیب با ترافیک اینترنتی قانونی استفاده می کند.
این شرکت گفت: «محققان مایکروسافت یک کمپین تبلیغات بد DEV-0569 را شناسایی کردند که از Google Ads استفاده میکرد و به سیستم توزیع ترافیک قانونی (TDS) Keitaro اشاره میکرد که قابلیت سفارشیسازی کمپینهای تبلیغاتی را از طریق ردیابی ترافیک تبلیغات و فیلتر مبتنی بر کاربر یا دستگاه ارائه میدهد. . مایکروسافت مشاهده کرد که TDS کاربر را به یک سایت دانلود قانونی یا تحت شرایط خاص به سایت دانلود مخرب BATLOADER هدایت می کند.
بنابراین، این استراتژی به عوامل تهدید اجازه می دهد تا با ارسال بدافزار به اهداف و IP های خاص، محدوده IP راه حل های شناخته شده سندباکس امنیتی را دور بزنند.