קולין תיירי
מיקרוסופט חשפה בשבוע שעבר שקבוצת איומים שזוהתה כ-DEV-0569 עומדת מאחורי גל חדש של רויאל ransomware ותוכנות זדוניות אחרות שנפרסו באמצעות קישורי פישינג, אתרים בעלי מראה לגיטימי ו-Google Ads.
עקיפת פתרונות אבטחה היא היבט אחד שבו גורמי איומים מתמודדים לפעמים עם אתגרים. אחת הדרכים שבהן הם יכולים לעקוף את הפתרונות הללו היא באמצעות הונאה של משתמשים כדי להכניס אותם על ידי לחיצה על קישורים זדוניים או הורדת תוכנות מזיקות.
DEV-0569 משתמש בשתי הטכניקות הללו נגד המשתמשים שהם מכוונים אליהם. קבוצת האיומים יוצרת אתרי פישינג, משתמשת בטפסי יצירת קשר בארגונים ממוקדים, מארחת מתקינים באתרי הורדות שנראים לגיטימיים ופורסת את Google Ads.
"פעילות DEV-0569 משתמשת בקבצים בינאריים חתומים ומספקת מטענים מוצפנים של תוכנות זדוניות," מוסבר מיקרוסופט בהצהרה שלה בשבוע שעבר. הקבוצה ידועה גם כמי שמשתמשת רבות בטכניקות התחמקות מהגנה והמשיכה להשתמש בכלי הקוד הפתוח Nsudo כדי לנסות להשבית לאחרונה פתרונות אנטי וירוס בקמפיינים.
"DEV-0569 מסתמך בעיקר על התעללות, קישורי דיוג המצביעים על הורדת תוכנות זדוניות המתחזה כמתקיני תוכנה או עדכונים המוטמעים בהודעות דואר זבל, דפי פורומים מזויפים ותגובות בבלוג", הוסיפה ענקית הטכנולוגיה.
אחת המטרות העיקריות של DEV-0569 היא להשיג גישה למכשירים בתוך רשתות מאובטחות, מה שיאפשר להם לפרוס תוכנת כופר Royal. כתוצאה מכך, הקבוצה יכולה להפוך למתווך גישה עבור מפעילי תוכנות כופר אחרים על ידי מכירת הגישה שיש להם להאקרים אחרים.
בנוסף, הקבוצה משתמשת ב-Google Ads כדי להרחיב את טווח ההגעה שלה ולהשתלב עם תעבורת אינטרנט לגיטימית.
"החוקרים של מיקרוסופט זיהו מסע פרסום DEV-0569 להרעת פרסום הממנף את Google Ads המצביע על מערכת הפצת התנועה הלגיטימית (TDS) Keitaro, המספקת יכולות להתאים אישית מסעות פרסום באמצעות מעקב אחר תעבורת מודעות וסינון מבוסס משתמשים או מכשירים", אמרה החברה. . "מיקרוסופט הבחינה שה-TDS מפנה את המשתמש לאתר הורדות לגיטימי, או בתנאים מסוימים, לאתר ההורדות הזדוני של BATLOADER."
אסטרטגיה זו מאפשרת לפיכך לשחקני האיום לעקוף טווחי IP של פתרונות ארגז חול אבטחה ידועים על ידי שליחת תוכנות זדוניות ליעדים וכתובות IP ספציפיות.
