یک پانل جدید حمله سایبری با نام TeslaGun کشف شده است که توسط Evil Corp برای اجرای کمپینهای درپشتی ServHelper استفاده میشود.
دادههای جمعآوریشده از تجزیه و تحلیل تیم اطلاعات تهدید Prodraft (PTI) نشان میدهد که باند باجافزار Evil Corp (معروف به TA505 یا UNC2165، همراه با دهها نام ردیابی رنگارنگ دیگر) از TeslaGun برای اجرای کمپینهای فیشینگ انبوه و کمپینهای هدفمند علیه افراد دیگر استفاده کرده است. بیش از 8,000 سازمان و فرد مختلف. اکثر اهداف در ایالات متحده بوده اند که بیش از 3,600 قربانی را به خود اختصاص داده است، با توزیع بین المللی پراکنده در خارج از آن.
گسترش مداوم بدافزار درپشتی ServHelper، بستهای طولانیمدت و دائماً بهروز شده است که حداقل از سال 2019 شروع به کار کرده است. بر اساس یک یک بار دیگر در نیمه دوم سال 2021 شروع به کار کرد. گزارش سیسکو تالوس، با مکانیسم هایی مانند نصب کننده های جعلی و بدافزار نصب کننده مرتبط مانند Raccoon و Amadey تحریک می شود.
اخیرا، اطلاعات تهدید از Trellix ماه گذشته گزارش داد که درب پشتی ServHelper اخیراً پیدا شده است که رمزنگاریهای مخفی را روی سیستمها حذف میکند.
گزارش PTI، که روز سه شنبه منتشر شد، به جزئیات فنی پشت TeslaGun می پردازد و جزئیات و نکاتی را ارائه می دهد که می تواند به شرکت ها کمک کند تا با اقدامات متقابل مهم در برابر برخی از گرایش های رایج حملات سایبری درب پشتی امروز به جلو بروند.
حملات Backdoor که مکانیسمهای احراز هویت را دور میزنند و بیسروصدا در سیستمهای سازمانی پایداری میکنند، برخی از نگرانکنندهترین حملات برای مدافعان امنیت سایبری هستند. به این دلیل که شناسایی یا جلوگیری از این حملات با کنترلهای امنیتی استاندارد بسیار دشوار است.
مهاجمان درب پشتی دارایی های حمله خود را متنوع می کنند
محققان PTI گفتند که طیف گستردهای از پروفایلها و کمپینهای قربانیان مختلف را در طول تحقیقات خود مشاهده کردهاند، که از تحقیقات قبلی که نشان میداد حملات ServHelper در کمپینهای مختلف همزمان برای قربانیان ترول میشوند، حمایت میکند. این یک الگوی حمله علامت تجاری است که یک شبکه گسترده برای ضربات فرصت طلبانه ایجاد می کند.
در این گزارش توضیح داده شده است: «یک نمونه از کنترل پنل TeslaGun حاوی چندین سوابق کمپین است که نشاندهنده روشهای مختلف تحویل و دادههای حمله است. «نسخههای جدیدتر بدافزار این کمپینهای مختلف را بهعنوان شناسه کمپین رمزگذاری میکنند.»
اما مهاجمان سایبری به طور فعال قربانیان را معرفی خواهند کرد
در عین حال، TeslaGun حاوی شواهد زیادی است که نشان میدهد مهاجمان در حال پروفایل کردن قربانیان، یادداشتهای فراوان در برخی نقاط و انجام حملات هدفمند در پشتی هستند.
تیم PTI مشاهده کرد که داشبورد اصلی پنل TeslaGun شامل نظراتی است که به سوابق قربانیان پیوست شده است. این سوابق دادههای دستگاه قربانی مانند CPU، GPU، اندازه رم و سرعت اتصال به اینترنت را نشان میدهند. از سوی دیگر، با توجه به نظرات قربانیان، واضح است که TA505 فعالانه به دنبال کاربران بانکداری آنلاین یا خردهفروشی، از جمله کیف پولهای دیجیتال و حسابهای تجارت الکترونیکی است.
در این گزارش آمده است که به نظر می رسد بیشتر قربانیان در بخش مالی فعالیت می کنند، اما این هدف گذاری منحصر به فرد نیست.
فروش مجدد بخش مهمی از کسب درآمد از درب پشتی است
در این گزارش آمده است که نحوه تنظیم گزینههای کاربر کنترل پنل اطلاعات زیادی در مورد «روند کاری و استراتژی تجاری» گروه به محققان ارائه میدهد. برای مثال، برخی از گزینههای فیلتر با برچسبهای «فروش» و «فروش ۲» بودند که قربانیان این گروهها پروتکلهای دسکتاپ از راه دور (RDP) را به طور موقت از طریق پانل غیرفعال کردند.
بر اساس این گزارش، «احتمالاً به این معنی است که TA505 نمیتواند فوراً از بهرهبرداری از آن قربانیان خاص سود کسب کند». این گروه به جای رها کردن آنها، اتصالات RDP قربانیان را برای فروش مجدد به سایر مجرمان سایبری برچسب گذاری کرده است.
گزارش PTI میگوید که بر اساس مشاهدات محققان، ساختار داخلی گروه «بهطور شگفتانگیزی آشفته است» اما اعضای آن هنوز «با دقت قربانیان خود را زیر نظر دارند و میتوانند شکیبایی قابل توجهی از خود نشان دهند، بهویژه با قربانیان با ارزش در بخش مالی».
تجزیه و تحلیل همچنین اشاره می کند که قدرت گروه چابکی آن است که پیش بینی فعالیت و تشخیص آن را در طول زمان دشوار می کند.
با این وجود، مهاجمان در پشتی کامل نیستند، و این می تواند سرنخ هایی را برای متخصصان امنیت سایبری ارائه دهد که به دنبال خنثی کردن تلاش های آنها هستند.
با این حال، این گروه ضعف های آشکاری را نشان می دهد. در این گزارش آمده است در حالی که TA505 میتواند ماهها اتصالات مخفی را روی دستگاههای قربانیان حفظ کند، اعضای آن اغلب بهطور غیرعادی پر سر و صدا هستند. پس از نصب ServHelper، عوامل تهدید TA505 ممکن است به صورت دستی از طریق تونل RDP به دستگاه های قربانی متصل شوند. فناوریهای امنیتی که قادر به شناسایی این تونلها هستند ممکن است برای گرفتن و کاهش حملات درب پشتی TA505 حیاتی باشد.
گروه شیطان مرتبط با روسیه (و تحریم شده) یکی از پرکارترین گروههای پنج سال گذشته بوده است. بر اساس دولت ایالات متحده، این گروه اعتماد مغز پشت Trojan Dridex مالی است و با کمپین هایی که از انواع باج افزار مانند WastedLocker استفاده می کنند، ارتباط دارد. این کشور همچنان به ساخت مجموعه ای از سلاح ها برای زرادخانه خود ادامه می دهد. هفته گذشته، مشخص شد که با آن مرتبط است عفونت های رازبری رابین.
PTI از TA505 برای ردیابی تهدید استفاده می کند و اجماع استوار است اما جهانی نیست که TA505 و Evil Corp یک گروه هستند. گزارش ماه گذشته از مرکز هماهنگی امنیت سایبری بخش سلامت (HC3) گفت که "در حال حاضر از این نتیجه گیری پشتیبانی نمی کند."