بدافزاری که بمب‌های خوشه‌ای به سیستم‌های صنعتی می‌زند

کمیته رکن چهارم – کارشناسان امنیت سایبری کمپین فیشینگ جدیدی را کشف کرده‌اند که یک بدافزار خطرناک را به سیستم‌های صنعتی وارد می‌کند.

محققان امنیت سایبری یک کمپین فیشینگ را کشف کرده‌اند که از یک زنجیره حمله منحصر به فرد برای ارائه بدافزار XWorm در سیستم‌های هدف استفاده می‌کند.

Securonix که این خوشه فعالیت را تحت نام MEME#4CHAN ردیابی می‌کند، گفت که برخی از حملات عمدتاً شرکت‌های تولیدی و کلینیک‌های مراقبت‌های بهداشتی واقع در آلمان را هدف قرار داده‌اند.

دن ایوزویک، تیم پک و اولگ کولسنیکوف، محققان امنیتی در تحلیل جدیدی که با هکر نیوز به اشتراک گذاشته شده است، اظهار داشتند: «این کمپین حمله از کد PowerShell پر از میم‌های غیرمعمول استفاده می‌کند و به دنبال آن یک محموله XWorm به شدت مبهم برای آلوده کردن قربانیان خود استفاده می‌کند.»

این گزارش بر اساس یافته‌های اخیر آزمایشگاه‌های امنیتی Elastic است که فریبنده‌هایی با مضمون رزرو این عامل تهدید به منظور فریب قربانیان برای باز کردن اسناد مخربی که قادر به تحویل محموله‌های XWorm و Agent Tesla هستند را نشان می‌دهد.

دسته حملات به سیستم‌ها با حملات فیشینگ برای توزیع اسناد فریبنده مایکروسافت ورد آغاز می‌شود که به جای استفاده از ماکروها، آسیب‌پذیری Follina (CVE-2022-30190، امتیاز CVSS: 7.8) را به سلاح تبدیل می‌کند تا یک اسکریپت مبهم PowerShell را رها کند.

از آنجا، عوامل تهدید از اسکریپت PowerShell برای دور زدن رابط اسکن ضد بدافزار (AMSI)، غیرفعال کردن Microsoft Defender، ایجاد پایداری و در نهایت راه‌اندازی باینری دات‌نت حاوی XWorm سوء‌استفاده می‌کنند.

جالب اینجاست که یکی از متغیرهای اسکریپت پاورشل، «$CHOTAbheem» نام دارد که احتمالاً اشاره‌ای به Chhota Bheem، یک مجموعه تلویزیونی کمدی ماجراجویی انیمیشن هندی است.

محققان با اشاره به اینکه چنین کلمات کلیدی، به هکر نیوز گفتند: «بر اساس یک بررسی سریع، به نظر می‌رسد که فرد یا گروهی که مسئول این حمله است می‌تواند پیشینه خاورمیانه/ هندی داشته باشد، اگرچه انتساب نهایی هنوز تایید نشده است. همچنین می‌تواند به‌عنوان پوشش استفاده شود.»

XWorm یک بدافزار کالایی است که برای فروش در انجمن‌های زیرزمینی تبلیغ می‌شود و دارای طیف گسترده‌ای از ویژگی‌ها است که به آن اجازه می‌دهد اطلاعات حساس را از میزبان‌های آلوده دریافت کند.

این بدافزار همچنین یک چاقوی سوئیسی محسوب می‌شود زیرا می‌تواند عملیات کلیپر، DDoS و باج‌افزار را انجام دهد، از طریق USB پخش شود و بدافزار اضافی را رها کند.

منشأ دقیق عامل تهدید در حال حاضر نامشخص است، اگرچه Securonix گفت که روش حمله دارای مصنوعاتی مشابه با روش TA558 است که در گذشته مشاهده شده است که صنعت بیمارستانی را تحت تأثیر قرار داده است.

اگرچه ایمیل‌های فیشینگ به ندرت از اسناد مایکروسافت آفیس استفاده می‌کنند زیرا مایکروسافت تصمیم به غیرفعال کردن ماکروها به‌طور پیش‌فرض گرفته است، امروز شاهد شواهدی هستیم که نشان می‌دهد هنوز مهم است که در مورد فایل‌های سند مخرب مراقب باشیم، به‌خصوص در این مورد که هیچگونه اجرای VBscript از آن‌ها وجود ندارد.

منبع: افتانا