TeslaGun آماده شده است تا موج جدیدی از حملات سایبری در پشتی را در هوش داده پلاتو بلاک چین منفجر کند. جستجوی عمودی Ai.

TeslaGun آماده شد تا موج جدیدی از حملات سایبری پشتی را منفجر کند

تمبر زمان: 6 سپتامبر 2022، 4:16 بعد از ظهر

یک پانل جدید حمله سایبری با نام TeslaGun کشف شده است که توسط Evil Corp برای اجرای کمپین‌های درپشتی ServHelper استفاده می‌شود.

داده‌های جمع‌آوری‌شده از تجزیه و تحلیل تیم اطلاعات تهدید Prodraft (PTI) نشان می‌دهد که باند باج‌افزار Evil Corp (معروف به TA505 یا UNC2165، همراه با ده‌ها نام ردیابی رنگارنگ دیگر) از TeslaGun برای اجرای کمپین‌های فیشینگ انبوه و کمپین‌های هدفمند علیه افراد دیگر استفاده کرده است. بیش از 8,000 سازمان و فرد مختلف. اکثر اهداف در ایالات متحده بوده اند که بیش از 3,600 قربانی را به خود اختصاص داده است، با توزیع بین المللی پراکنده در خارج از آن.

گسترش مداوم بدافزار درپشتی ServHelper، بسته‌ای طولانی‌مدت و دائماً به‌روز شده است که حداقل از سال 2019 شروع به کار کرده است. بر اساس یک یک بار دیگر در نیمه دوم سال 2021 شروع به کار کرد. گزارش سیسکو تالوس، با مکانیسم هایی مانند نصب کننده های جعلی و بدافزار نصب کننده مرتبط مانند Raccoon و Amadey تحریک می شود. 

اخیرا، اطلاعات تهدید از Trellix ماه گذشته گزارش داد که درب پشتی ServHelper اخیراً پیدا شده است که رمزنگاری‌های مخفی را روی سیستم‌ها حذف می‌کند.

گزارش PTI، که روز سه شنبه منتشر شد، به جزئیات فنی پشت TeslaGun می پردازد و جزئیات و نکاتی را ارائه می دهد که می تواند به شرکت ها کمک کند تا با اقدامات متقابل مهم در برابر برخی از گرایش های رایج حملات سایبری درب پشتی امروز به جلو بروند.

حملات Backdoor که مکانیسم‌های احراز هویت را دور می‌زنند و بی‌سروصدا در سیستم‌های سازمانی پایداری می‌کنند، برخی از نگران‌کننده‌ترین حملات برای مدافعان امنیت سایبری هستند. به این دلیل که شناسایی یا جلوگیری از این حملات با کنترل‌های امنیتی استاندارد بسیار دشوار است. 

مهاجمان درب پشتی دارایی های حمله خود را متنوع می کنند

محققان PTI گفتند که طیف گسترده‌ای از پروفایل‌ها و کمپین‌های قربانیان مختلف را در طول تحقیقات خود مشاهده کرده‌اند، که از تحقیقات قبلی که نشان می‌داد حملات ServHelper در کمپین‌های مختلف همزمان برای قربانیان ترول می‌شوند، حمایت می‌کند. این یک الگوی حمله علامت تجاری است که یک شبکه گسترده برای ضربات فرصت طلبانه ایجاد می کند.

در این گزارش توضیح داده شده است: «یک نمونه از کنترل پنل TeslaGun حاوی چندین سوابق کمپین است که نشان‌دهنده روش‌های مختلف تحویل و داده‌های حمله است. «نسخه‌های جدیدتر بدافزار این کمپین‌های مختلف را به‌عنوان شناسه کمپین رمزگذاری می‌کنند.»

اما مهاجمان سایبری به طور فعال قربانیان را معرفی خواهند کرد

در عین حال، TeslaGun حاوی شواهد زیادی است که نشان می‌دهد مهاجمان در حال پروفایل کردن قربانیان، یادداشت‌های فراوان در برخی نقاط و انجام حملات هدفمند در پشتی هستند.

تیم PTI مشاهده کرد که داشبورد اصلی پنل TeslaGun شامل نظراتی است که به سوابق قربانیان پیوست شده است. این سوابق داده‌های دستگاه قربانی مانند CPU، GPU، اندازه رم و سرعت اتصال به اینترنت را نشان می‌دهند. از سوی دیگر، با توجه به نظرات قربانیان، واضح است که TA505 فعالانه به دنبال کاربران بانکداری آنلاین یا خرده‌فروشی، از جمله کیف پول‌های دیجیتال و حساب‌های تجارت الکترونیکی است.

در این گزارش آمده است که به نظر می رسد بیشتر قربانیان در بخش مالی فعالیت می کنند، اما این هدف گذاری منحصر به فرد نیست.

فروش مجدد بخش مهمی از کسب درآمد از درب پشتی است

در این گزارش آمده است که نحوه تنظیم گزینه‌های کاربر کنترل پنل اطلاعات زیادی در مورد «روند کاری و استراتژی تجاری» گروه به محققان ارائه می‌دهد. برای مثال، برخی از گزینه‌های فیلتر با برچسب‌های «فروش» و «فروش ۲» بودند که قربانیان این گروه‌ها پروتکل‌های دسکتاپ از راه دور (RDP) را به طور موقت از طریق پانل غیرفعال کردند.

بر اساس این گزارش، «احتمالاً به این معنی است که TA505 نمی‌تواند فوراً از بهره‌برداری از آن قربانیان خاص سود کسب کند». این گروه به جای رها کردن آنها، اتصالات RDP قربانیان را برای فروش مجدد به سایر مجرمان سایبری برچسب گذاری کرده است.

گزارش PTI می‌گوید که بر اساس مشاهدات محققان، ساختار داخلی گروه «به‌طور شگفت‌انگیزی آشفته است» اما اعضای آن هنوز «با دقت قربانیان خود را زیر نظر دارند و می‌توانند شکیبایی قابل توجهی از خود نشان دهند، به‌ویژه با قربانیان با ارزش در بخش مالی».

تجزیه و تحلیل همچنین اشاره می کند که قدرت گروه چابکی آن است که پیش بینی فعالیت و تشخیص آن را در طول زمان دشوار می کند.

با این وجود، مهاجمان در پشتی کامل نیستند، و این می تواند سرنخ هایی را برای متخصصان امنیت سایبری ارائه دهد که به دنبال خنثی کردن تلاش های آنها هستند.

با این حال، این گروه ضعف های آشکاری را نشان می دهد. در این گزارش آمده است در حالی که TA505 می‌تواند ماه‌ها اتصالات مخفی را روی دستگاه‌های قربانیان حفظ کند، اعضای آن اغلب به‌طور غیرعادی پر سر و صدا هستند. پس از نصب ServHelper، عوامل تهدید TA505 ممکن است به صورت دستی از طریق تونل RDP به دستگاه های قربانی متصل شوند. فناوری‌های امنیتی که قادر به شناسایی این تونل‌ها هستند ممکن است برای گرفتن و کاهش حملات درب پشتی TA505 حیاتی باشد.

گروه شیطان مرتبط با روسیه (و تحریم شده) یکی از پرکارترین گروه‌های پنج سال گذشته بوده است. بر اساس دولت ایالات متحده، این گروه اعتماد مغز پشت Trojan Dridex مالی است و با کمپین هایی که از انواع باج افزار مانند WastedLocker استفاده می کنند، ارتباط دارد. این کشور همچنان به ساخت مجموعه ای از سلاح ها برای زرادخانه خود ادامه می دهد. هفته گذشته، مشخص شد که با آن مرتبط است عفونت های رازبری رابین.

PTI از TA505 برای ردیابی تهدید استفاده می کند و اجماع استوار است اما جهانی نیست که TA505 و Evil Corp یک گروه هستند. گزارش ماه گذشته از مرکز هماهنگی امنیت سایبری بخش سلامت (HC3) گفت که "در حال حاضر از این نتیجه گیری پشتیبانی نمی کند."

تمبر زمان:

بیشتر از تاریک خواندن