کمیته رکن چهارم – پژوهشگران امنیتی از فعالیتهای جدید گروه باجافزاری Velvet Tempest خبر دادهاند که با استفاده از تکنیک مهندسی اجتماعی ClickFix و ابزارهای قانونی ویندوز، بدافزار DonutLoader و درِ پشتی CastleRAT را در شبکههای سازمانی مستقر میکند.
به گزارش کمیته رکن چهارم، شرکت اطلاعات تهدید MalBeacon این عملیات را طی ۱۲ روز در یک محیط سازمانی شبیهسازیشده شامل بیش از ۳۰۰۰ دستگاه و ۲۵۰۰ کاربر مشاهده کرده است. گروه Velvet Tempest که با نام DEV-0504 نیز شناخته میشود، طی پنج سال گذشته بهعنوان وابسته در چندین عملیات بزرگ باجافزاری فعالیت داشته است.
این گروه پیشتر با خانوادههای باجافزار شناختهشدهای مانند Ryuk، REvil، Conti، BlackMatter، BlackCat/ALPHV، LockBit و RansomHub همکاری داشته و در بسیاری از حملات از مدل باجافزار بهعنوان خدمت (RaaS) استفاده کرده است.
در این حمله، مهاجمان از طریق یک کمپین malvertising قربانیان را به صفحهای هدایت میکنند که شامل CAPTCHA جعلی و پیام ClickFix است. در این صفحه از کاربر خواسته میشود یک دستور مبهم را در پنجره Windows Run اجرا کند. پس از اجرای دستور، چندین فرآیند cmd.exe فعال شده و با استفاده از ابزار داخلی ویندوز finger.exe اولین مرحله بارگذاری بدافزار انجام میشود.
در ادامه مهاجمان با استفاده از PowerShell اقدام به دانلود و اجرای payloadهای اضافی میکنند، مؤلفههای .NET را با ابزار csc.exe در پوشههای موقت کامپایل کرده و برای ایجاد ماندگاری، اجزای مبتنی بر Python را در مسیر C:\ProgramData مستقر میکنند. در نهایت DonutLoader اجرا شده و بدافزار CastleRAT به سیستم قربانی منتقل میشود.
CastleRAT یک تروجان دسترسی از راه دور است که با CastleLoader مرتبط بوده و برای توزیع بدافزارهایی مانند LummaStealer و سایر ابزارهای سرقت اطلاعات استفاده میشود.
در طول این نفوذ، مهاجمان همچنین اقدام به شناسایی محیط Active Directory، کشف میزبانهای شبکه و استخراج اعتبارنامههای ذخیرهشده در مرورگر Chrome از طریق اسکریپتهای PowerShell کردهاند.
بر اساس این گزارش، برخی زیرساختهای استفادهشده در این حمله با باجافزار Termite نیز مرتبط بودهاند؛ با این حال در این نفوذ خاص مرحله نهایی رمزگذاری سیستمها اجرا نشده است.
پژوهشگران هشدار دادهاند که تکنیک ClickFix بهسرعت در حال تبدیل شدن به یکی از روشهای رایج مهندسی اجتماعی در حملات باجافزاری است و گروههای دیگری مانند Interlock نیز در سال گذشته از این روش برای نفوذ به شبکههای سازمانی استفاده کردهاند.
منیع: BleepingComputer
