کمیته رکن چهارم – حملات اخیر باجافزار Trigona نشان میدهد مهاجمان بهجای ابزارهای رایج، از ابزارهای اختصاصی برای سرقت داده استفاده میکنند. این تغییر با هدف کاهش شناسایی و افزایش کارایی عملیات انجام شده است.
به گزارش کمیته رکن چهارم، در حملات مشاهدهشده در اسفند ۱۴۰۴، مهاجمان بهجای ابزارهای شناختهشدهای مانند Rclone، از یک ابزار سفارشی با نام uploader_client.exe برای استخراج دادهها استفاده کردهاند. این ابزار با ایجاد چندین اتصال همزمان، فرآیند انتقال داده را تسریع کرده و با تغییر الگوی ترافیک، تلاش میکند از سامانههای نظارتی عبور کند.
بررسیها نشان میدهد این ابزار قابلیت انتخاب نوع فایل را داشته و تمرکز آن بر استخراج اطلاعات باارزش مانند اسناد مالی و فایلهای متنی است. همچنین استفاده از مکانیزمهای احراز هویت داخلی، دسترسی به دادههای سرقتشده را محدود میکند.
در این حملات، مهاجمان پس از نفوذ، اقدام به غیرفعالسازی ابزارهای امنیتی با استفاده از ابزارهای مختلف و در برخی موارد بهرهگیری از درایورهای آسیبپذیر کردهاند. سپس با دسترسی سطح بالا، فرآیند سرقت داده و در نهایت اجرای باجافزار را انجام دادهاند.
یک منبع مطلع از این موضوع به کمیته رکن چهارم گفت: «تمرکز مهاجمان بر توسعه ابزارهای اختصاصی نشان میدهد که مرحله سرقت داده به یکی از مهمترین بخشهای عملیات باجافزاری تبدیل شده است.»
پیشینه
باجافزار Trigona از سال ۱۴۰۱ فعالیت خود را آغاز کرده و از مدل اخاذی دوگانه استفاده میکند. این گروه پیشتر نیز با هدف قرار دادن سازمانها و افشای دادههای سرقتشده، تلاش کرده فشار بیشتری بر قربانیان وارد کند.
جمعبندی
این تحول نشاندهنده تغییر رویکرد در حملات باجافزاری است که در آن سرقت داده و پنهانکاری، نقش پررنگتری نسبت به گذشته پیدا کرده و مقابله با این تهدیدات را پیچیدهتر کرده است.
منبع: BleepingComputer
