کمیته رکن چهارم – نسخه جدید باجافزار BlackCat از ابزارهای پیشرفته Impacket و RemCom استفاده میکند.
مایکروسافت، نسخه جدیدی از باجافزار BlackCat معروف به ALPHV و Noberus کشف کرده است که ابزارهایی مانند Impacket و RemCom را برای تسهیل حرکت جانبی و اجرای کد از راه دور تعبیه کرده است.
ابزار Impacket دارای ماژولهای تخلیه اعتبارنامه و اجرای سرویس از راه دور است که میتواند برای استقرار گسترده باج افزار BlackCat در محیطهای هدف استفاده شود. این نسخه BlackCat همچنین دارای ابزار هک RemCom است که برای اجرای کد از راه دور در فایل اجرایی تعبیه شده است. این فایل همچنین حاوی اعتبارنامههای هدف به خطر افتاده، سخت کدگذاری (hard-coded) شده است که تهدیدکنندگان برای جابهجایی جانبی و استقرار بیشتر باج افزار استفاده میکنند.
این گروه که فعالیت خود را در نوامبر ۲۰۲۱ آغاز کرد، دائماً در حال تکامل است و اخیراً یک API نشت داده منتشر کرده است. بر اساس بررسی Mid-Year Threat Review Rapid7 برای سال ۲۰۲۳، BlackCat به ۲۱۲ مورد از مجموع ۱۵۰۰ حمله باجافزار نسبت دادهشده است. این فقط BlackCat نیست، زیرا گروه تهدید باجافزار کوبا (معروف به(COLDRAW نیز مشاهده شده است که از یک مجموعه ابزار حمله جامع شامل BUGHATCH، یک دانلودکننده سفارشی، BUGHATCH، یک دانلودکننده سفارشی، BURNTCIGAR، یک قاتل ضد بدافزار؛ Wedgecut، یک ابزار شمارش میزبان؛ متاسپلویت و چارچوبهای Cobalt Strike استفاده میکند.
گفته میشود یکی از حملاتی که در اوایل ژوئن ۲۰۲۳ توسط این گروه انجام شد، CVE-2020-1472 (Zerologon) و CVE-2023-27532 را مورد سوء استفاده قرار داده است، یک نقص با شدت بالا در نرمافزار Veeam Backup & Replication که قبلاً توسط گروه FIN7 برای سرقت اطلاعات از فایلهای پیکربندی توسط این گروه مورد سوءاستفاده قرارگرفته است.
منبع : افتانا
