کمیته رکن چهارم – پژوهشگران امنیت سایبری از شناسایی باجافزار جدید GodDamn خبر دادهاند که با استفاده از درایور هستهای PoisonX، راهکارهای امنیتی را غیرفعال کرده و سپس اقدام به رمزگذاری فایلهای قربانی میکند.
به گزارش کمیته رکن چهارم، شرکت Symantec اعلام کرد باجافزار GodDamn که از اردیبهشت ۱۴۰۵ مشاهده شده، نسخه تغییرنامیافته باجافزار Beast است. مهاجمان در یکی از حملات، ابتدا با استفاده از AnyDesk به شبکه قربانی نفوذ کرده و سپس با ابزارهای NirSoft اطلاعات حساسی مانند گذرواژههای مرورگر، Windows Credential Manager، پروفایلهای Wi-Fi، ایمیلها و نشستهای VNC را سرقت کردند.
در ادامه، مهاجمان با بهرهگیری از تکنیک BYOVD و درایور امضاشده PoisonX، محصولات امنیتی از جمله آنتیویروسها و سامانههای EDR را از کار انداخته و با استفاده از PsExec و AnyDesk در شبکه حرکت جانبی انجام دادند. بررسیها نشان میدهد این درایور پیشتر نیز توسط گروه باجافزاری The Gentlemen برای غیرفعال کردن سامانههای دفاعی مورد استفاده قرار گرفته بود.
به گفته Symantec، باجافزار GodDamn پس از تثبیت دسترسی، فایلهای قربانی را رمزگذاری کرده و در این نمونه، بهجای پسوند ثابت، از نام سازمان قربانی برای تغییر نام فایلها استفاده کرده است. مهاجمان نیز از قربانیان خواستهاند برای مذاکره از طریق ایمیل یا پیامرسان qTox با آنها ارتباط برقرار کنند.
پژوهشگران معتقدند استفاده از درایور PoisonX نشاندهنده افزایش توانایی این گروه در دور زدن راهکارهای امنیتی و توسعه مستمر ابزارهای باجافزاری است.
منبع: The Hacker News



