ترکیب باج‌افزار با تروجان، برای افزایش تعداد قربانیان

کمیته رکن چهارم – باج‌افزار نسبتاً جدید “ProLock” با تروجان بانکی “QakBot” همراه شده است تا امکان دسترسی مهاجمان را به شبکه‌های مورد نظرشان فراهم کند. استفاده از تروجان QakBot، منجر به افزایش قابلیت های این باج‌افزار از نظر میزان ماندگاری، جلوگیری از امکان شناسایی و همچنین دسترسی به اطلاعات ورودی کاربران گشته است.

باج‌افزار ProLock نخستین بار در ماه مارس ۲۰۲۰ میلادی شناسایی شد. این باج افزار، جایگزینی برای بدافزار “PwndLocker“محسوب می شود که هدف اصلی آن وب­ سایت‌های دولتی، مؤسسه های مالی و اعتباری، فروشگاه‌های اینترنتی و بخش مراقبت‌های پزشکی بود.

اولین حمله بزرگ ProLock در اواخر ماه آوریل بر ضد شرکت “Diebold Nixdorf” صورت گرفته است. یکی از تحلیلگران ارشد جرم ­یابی رایانه ای در شرکت Group-IB، در تحلیل اخیر خود در رابطه با این حمله گفته است که: «ProLock برای دستیابی به اهداف خود، از فنون مشابه با سایر باج‌افزارها استفاده می‌کند اما عوامل آن، رویکرد منحصر به فرد و خاص خود را دارند. با توجه به افزایش علاقه گروه‌های مجرمانه سایبری نسبت به حملات باج‌افزاری بر ضد سازمان‌ها ممکن است بعضی از این مهاجمان در طراحی باج‌افزارهای مختلف نقش داشته باشند. در نتیجه امکان مشاهده فنون، تاکتیک‌ها و روش‌های مشابه در باج‌افزارهای مختلف وجود دارد».

ProLock از سرورهای پروتکل دسترسی راه دور دسکتاپ[۱] (RDP) که سطح حفاظتی مناسبی نداشته و اطلاعات ورود به حساب کاربری آنها ضعیف است برای آلوده ­سازی سیستم ­ها استفاده می کند. این تکنیک در باج‌افزارهای مختلف مشاهده شده است که به گفته محققان، نکته جالب چنین تکنیکی استفاده از تروجان بانکی QakBot است.

آشنایی با تروجان QakBot
QakBot، تروجانی وابسته به باج‌افزار MegaCortex است که در کمپین‌های قبلی، از طریق بدافزار Emotet بر روی سیستم کاربران دریافت و نصب می شد. این تروجان از طریق ایمیل‌های فیشینگی که سند‌های مایکروسافت آفیس به آنها پیوست شده است (یا لینک به سند‌های مخربی که از طریق سیستم ابری بارگذاری می‌شوند)، توزیع می‌شود. برای آلوده شدن سیستم، ابتدا باید این سند توسط کاربر دانلود شود. سپس PowerShell سیستم قربانی اجرا و از فایل دانلود شده برای اجرای پی‌لود QakBot از سرور فرماندهی و کنترل آن استفاده می‌کند.

استفاده از QakBot توسط ProLock از جمله گرایشات جدید مجرمان سایبری است و به همین دلیل، بدافزارهای مختلف سعی می‌کنند از طریق همکاری با هم، نقاط ضعف یکدیگر را پوشش دهند. به عنوان مثال، عوامل حمله های TrickBot و IcedID از سال ۲۰۱۸ میلادی همکاری جدیدی را با یکدیگر آغاز کرده اند. Ryuk نیز در زنجیره حمله های خود از بدافزارهای Emotet و TrickBot استفاده کرده است.

روش کار این حمله باج ­افزاری ترکیبی
QakBot دارای قابلیت‌های جدیدی شده است که منجر به افزایش مسیرهای حمله باج‌افزار ProLock می‌شود. این تروجان علاوه بر امکانات ثبت کلید (کی­ لاگر بودن) توانایی اجرای اسکریپت‌های دیگری مثل Invoke-Mimikatz را نیز داشته و به مهاجمان امکان می‌دهد با استخراج کلمه ­های عبوری که بر روی سیستم ذخیره شده‌اند، اطلاعات ورود کاربر را به سرقت ببرند. بنابراین عوامل باج‌افزار ProLock می‌توانند با استفاده از این تکنیک، از اطلاعات ورود به حساب کاربری کاربران برای انجام کارهایی همچون اسکن پورت‌ها و بررسی اکتیو دایرکتوری استفاده کنند.

محققان امنیت سایبری معتقدند که: «مهاجمان علاوه بر اسکریپت‌های مختلف، از ابزار AdFind نیز برای گرفتن پرس ­وجو از اکتیو دایرکتوری استفاده می‌کنند».

پس از این مرحله، ProLock از پروتکل RDP استفاده می‌کند تا به شبکه نفوذ کرده و اطلاعات مختلفی را جمع آوری و سپس آنها را با استفاده از یک ابزار مخصوص خط فرمان (Rclone) به بیرون از شبکه محلی ارسال کند. این ابزار همچنین می‌تواند فایل‌ها را با نسخه‌هایی که در سرورهای ابری متفاوت مانند OneDrive و Google Drive قرار دارند، همگام سازی کند.

همزمان با این کار، باج‌افزار شروع به رمزنگاری فایل‌ها کرده (افزودن پسوند proLock ،pr0Lock یا proL0ck به فایل‌های رمزنگاری شده) و یک نوشته برای قربانی باقی می گذارد که از او خواسته شده برای رمزگشایی فایل‌ها مبلغ مشخصی را به حساب مهاجمان پرداخت کند. در نمونه‌ای که محققان آن را مورد بررسی قرار داده اند، ۳۲ بیت کوین معادل با ۳۱۲ هزار دلار از قربانی درخواست شده بود. به گفته سایت BleepingComputer معمولاً مبلغ درخواستی این گروه، ۶ رقمی (بر حسب دلار) است.

سایر امکانات
استفاده از پروتکل RDP و تروجان QakBot برای آلوده سازی اولیه سیستم ها، باعث شده تا عوامل این حمله از نظر میزان ماندگاری و جلوگیری از تشخیص، تقریباً در موقعیت خوبی قرار گیرند. به عنوان مثال، این افراد برای دسترسی به پروتکل RDP جهت حضور مستمر در شبکه از حساب­ های کاربری معتبر استفاده می‌کنند. پی‌لود ProLock در یک فایل تصویری با پسوند JPG یا BMP ذخیره شده که به گفته محققان، روش خاصی برای جلوگیری از شناسایی است. Qbot نیز با یک ترفند ظریف مانع از شناسایی خود می‌شود؛ این ترفند شامل بررسی موجود بودن نسخه جدیدی از این تروجان و نصب آن بر روی سیستم کاربر است. فایل‌های اجرایی، با امضاهای جعلی یا به سرقت رفته امضا می‌شوند. پی‌لود اولیه که توسط PowerShell دانلود شده است با پسوند PNG بر روی سرور ذخیره شده و علاوه بر آن، پس از اجرا جایگزین فایل مجاز calc.exe می‌شود.

لازم به ذکر است که بسیاری از باج‌افزارها (مثل Maze و Sodoniki) به روش «اخاذی دوباره» روی آورده اند و بعد از درخواست مبلغی برای رمزگشایی فایل‌ها، با تهدید به انتشار داده‌های به سرقت رفته، دوباره مبلغ جدیدی را از قربانی شان درخواست می‌کنند اما ظاهراً ProLock هنوز به استفاده از چنین تکنیکی روی نیاورده است.

منبع: فراست