کمیته رکن چهارم – مهاجمان سایبری با استفاده از تماسهای جعلی در Microsoft Teams تلاش میکنند کارکنان سازمانهای مالی و حوزه سلامت را فریب دهند تا از طریق ابزار Quick Assist دسترسی از راه دور به سیستمهای خود بدهند؛ اقدامی که در نهایت به نصب بدافزار جدیدی به نام A0Backdoor منجر میشود.
به گزارش کمیته رکن چهارم، در این کمپین ابتدا مهاجم با ارسال حجم زیادی ایمیل اسپم قربانی را دچار سردرگمی میکند. سپس از طریق Microsoft Teams با او تماس گرفته و خود را بهعنوان کارمند بخش IT سازمان معرفی میکند و پیشنهاد میدهد مشکل ایمیلهای مزاحم را برطرف کند.
در ادامه مهاجم از کاربر میخواهد یک جلسه دسترسی از راه دور با Quick Assist ایجاد کند. پس از برقراری اتصال، مجموعهای از ابزارهای مخرب روی سیستم نصب میشود.
پژوهشگران شرکت امنیت سایبری BlueVoyant اعلام کردهاند که در این حملات از فایلهای MSI با امضای دیجیتال استفاده میشود که در یک حساب ذخیرهسازی ابری مایکروسافت میزبانی شدهاند. این فایلها خود را بهعنوان مؤلفههای قانونی مایکروسافت مانند Microsoft Teams components و CrossDeviceService معرفی میکنند.
در مرحله بعد، مهاجمان از تکنیک DLL sideloading استفاده میکنند تا یک کتابخانه مخرب با نام hostfxr.dll را بارگذاری کنند. این فایل حاوی دادههای رمزگذاریشده است که پس از بارگذاری در حافظه رمزگشایی شده و به shellcode تبدیل میشود تا اجرای کد مخرب آغاز شود.
بدافزار سپس payload اصلی یعنی A0Backdoor را استخراج میکند. این بدافزار با الگوریتم AES رمزگذاری شده و پس از اجرا اطلاعات سیستم قربانی را جمعآوری میکند؛ از جمله نام کاربر، نام رایانه و سایر دادههای سیستمی که برای fingerprinting سیستم قربانی استفاده میشوند.
یکی از ویژگیهای قابل توجه این بدافزار، استفاده از ترافیک DNS برای ارتباط با سرور فرماندهی (C2) است. در این روش، بدافزار درخواستهای DNS MX ارسال میکند که شامل دادههای رمزگذاریشده در سابدامینها هستند و پاسخهای سرور نیز دستورات مخرب را در رکوردهای MX بازمیگردانند.
طبق گزارش پژوهشگران، دستکم دو هدف این کمپین شامل یک مؤسسه مالی در کانادا و یک سازمان بزرگ حوزه سلامت در سطح جهانی بودهاند.
کارشناسان امنیتی معتقدند این کمپین احتمالاً تکامل روشهای گروه باجافزاری BlackBasta است که پس از افشای لاگهای داخلی خود با اختلال مواجه شد. با این حال، در این حملات عناصر جدیدی مانند بدافزار A0Backdoor، استفاده از MSIهای امضاشده و ارتباط C2 از طریق DNS MX مشاهده شده است.
منبع: bleepingcomputer
