گروه لازاروس و باج‌افزار جدیدش

۱۳۹۹/۵/۱۲امنیت اطلاعات

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ گروه لازاروس[1] همیشه در استفاده از متودهای معمول حملات APT سردمدار بوده؛ اما در جرایم سایبریِ مالی تخصص اساسی دارد. همین اواخر، متخصصین ما بدافزار VHD تازه‌ای شناسایی کردند که تا پیش از این کشف‌نشده باقیمانده بود. به نظر می‌رسد لازاروس دارد روی این بدافزار آزمایشاتی انجام می‌دهد. VHD به لحاظ کارکرد، یک ابزار نسبتاً استاندارد باج‌افزار است که به درایوهای متصل به کامپیوتر قربانی رخنه کرده، فایل‌ها را رمزگذاری نموده و تمامی فولدرهای System Volume Information را پاک می‌کند (در نتیجه، حملات سیستم ریستور در ویندوز صورت می‌گیرد). افزون بر این، این ابزار می‌تواند فرآیندهایی را که می‌توانند به طور بالقوه فایل‌های مهم را در مقابل دستکاری‌ها (از جمله Microsoft Exchange یا SQL Server) محافظت کنند به حالت تعلیق درآورد. اما جالبیِ کار، نحوه‌ی رخنه کردن VHD به کامپیوترهای هدف است؛ زیرا مکانیزم‌های تحویل آن بیشتر به حملات APT شبیه است. متخصصین ما اخیراً دو پرونده‌ی VHD را مورد بررسی قرر داده و اقدامات مهاجمین را در هر یک تحلیل کردند.

حرکت جانبی از طریق شبکه‌ی قربانی

در اولین رخداد، توجه متخصصین ما به کد مخرب مسئول توزیع VHD روی سراسر شبکه‌ی مورد هدف جلب شد. کاشف بعمل آمد که این باج‌افزار فهرستی از آدرس‌های IP کامپیوترهای قربانی و نیز اطلاعات محرمانه‌ در خصوص اکانت‌هایی با حقوق ادمین در اختیار داشت. از این داده‌ها در حقیقت به منظور پیش بردن حملات جستجوی فراگیر روی سرویس SMB استفاده می‌شده است. اگر این بدافزار تصمیم می‌گرفت با استفاده از پروتکل SMB به فولدر شبکه‌ی کامپیوتر دیگری وصل شود، خودش را کپی و اجرا  و آن دستگاه را نیز رمزگذاری می‌کرد. چنین رفتاری، رفتار معمول توده‌ی باج‌افزارها نیست. این دست‌کم نشان‌دهنده‌ی شناسایی مقدماتی زیرساخت قربانی است که بیشتر در خود مشخصه‌های کمپین‌های APT را دارد.

زنجیره‌ی ابتلا

بار بعد که تیم Global Emergency Response ما به این باج‌افزار –در طول تحقیقات- برخوردند، محققین توانستند کل زنجیره ابتلا را ردیابی کنند. اینطور که آن‌ها گزارش دادند، مجرمان سایبری:

  1. با اکسپلویت کردن یک درگاه آسیب‌پذیر وی‌پی‌ان، به سیستم‌های قربانی دسترسی پیدا کردند،
  2. روی دستگاه‌های دستکاری‌شده حقوق ادمین گرفتند،
  3. بک‌در نصب کردند،
  4. کنترل سرور Active Directory را به دست گرفتند،
  5. همه‌ی کامپیوترهای روی شبکه را درحالیکه باج‌افزار VHD داشت از لودری –مشخصاً برای این امر نوشته‌شده- استفاده می‌کرد آلوده کردند.

تحلیل‌های بعدی این ابزارها نشان داد بک‌در بخشی از این فریم‌ورک چندین پلت‌فرمه‌ بوده است (که برخی از همکاران ما آن را Dacls می‌نامند). ما اینطور نتیجه گرفته‌ایم که این ابزار دیگریست از لازاروس.

چطور از کامپیوتر خود محافظت کنیم؟

عاملین باج‌افزار VHD وقتی صحبت از آلوده کردن کامپیوترهای سازمانی با کریپتور به میان می‌آید شاید بهترین نباشند اما از حد متوسط بالاترند. این بدافزار به طور کلی فقط روی تالارهای گفت‌وگوی هکرها موجود نیست؛ بلکه به طور خاص مخصوص حملات هدف‌دار توسعه داده شده است. تکنیک‌های بکار گرفته‌شده برای نفوذ به زیرساخت قربانی و تبلیغ در داخل شبکه یادآور حملات پیچیده‌ی APT هستند. این زوال تدریجی مرزهای بین ابزارهای مالی جرایم سایبری و حملات APT ثابت می‌کند حتی شرکت‌های کوچک‌تر هم می‌بایست از فناوری‌های پیشرفته‌تری استفاده کنند. با این تفاسیر، ما به تازگی از راهکاری یکپارچه با دو کارکرد [2]EPP و EDR[3] پرده برداشته است. شما می‌توانید در این پیج اختصاصی در مورد این راهکار بیشتر بدانید.

 

[1] Lazarus

[2] Endpoint Protection Platform

[3] Endpoint Detection and Response

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.