کمیته رکن چهارم – گروه باجافزاری LeakNet در حملات جدید خود از ترکیب مهندسی اجتماعی ClickFix و یک لودر مبتنی بر Deno برای دسترسی اولیه و اجرای کد مخرب در شبکههای سازمانی استفاده میکند.
به گزارش کمیته رکن چهارم، در این روش مهاجمان ابتدا با استفاده از تکنیک ClickFix کاربران را فریب میدهند تا دستورات مخرب را اجرا کنند. این تکنیک پیشتر نیز توسط گروههایی مانند Termite و Interlock مورد استفاده قرار گرفته است.
در مرحله بعد، مهاجمان از روشی به نام Bring Your Own Runtime (BYOR) بهره میبرند. در این تکنیک، بهجای استفاده از بدافزارهای سفارشی، از ابزارهای قانونی مانند Deno—یک runtime برای اجرای JavaScript و TypeScript—استفاده میشود. از آنجا که Deno یک نرمافزار مشروع و امضاشده است، فعالیت آن برای بسیاری از ابزارهای امنیتی بهعنوان رفتار عادی شناسایی میشود.
پس از اجرای اولیه، اسکریپتهایی مانند PowerShell (Romeo.ps1)* و VBS (Juliet.vbs)* اجرا شده و payload مخرب بهصورت in-memory اجرا میشود. این روش باعث میشود آثار کمی روی دیسک باقی بماند و شناسایی و تحلیل حمله دشوارتر شود.
بدافزار پس از اجرا اقدام به جمعآوری اطلاعات سیستم، ایجاد شناسه منحصربهفرد قربانی و برقراری ارتباط با سرور فرماندهی (C2) میکند. سپس payloadهای مرحله بعدی را دریافت کرده و بهصورت مداوم برای دریافت دستورات جدید با سرور ارتباط برقرار میکند.
در مراحل بعدی، مهاجمان از تکنیکهایی مانند DLL sideloading در مسیر:
استفاده کرده و با بهرهگیری از ابزارهایی مانند PsExec اقدام به حرکت جانبی در شبکه میکنند. همچنین دادهها از طریق سرویسهایی مانند Amazon S3 استخراج میشوند.
پژوهشگران شرکت ReliaQuest هشدار دادهاند که نشانههایی مانند اجرای Deno خارج از محیط توسعه، استفاده غیرعادی از PsExec، ترافیک مشکوک به Amazon S3 و اجرای msiexec از مرورگر میتواند بیانگر این نوع حمله باشد.
گروه LeakNet که از اواخر ۲۰۲۴ فعال شده، بهطور میانگین ماهانه چندین سازمان را هدف قرار میدهد و انتظار میرود با استفاده از این تکنیکهای جدید، دامنه فعالیت خود را گسترش دهد.
منبع: BleepingComputer
