کمیته رکن چهارم – محققان امنیتی مایکروسافت دریافتند حمله سایبری به تازگی کشف شده که فناوریهای سطح بالا و سازمانهای مالی را مورد هدف قرار داده است و از یک سازوکار دارای ضعف بهروزرسانی نرمافزار برای فرستادن بدافزار استفاده میکند.
به گزارش کمیته رکن چهارم،این نوع حمله جدید نیست و قبلاً در فرآیندهای بهروزرسانی EvLog فناوری Altair، سازوکار بهروزرسانی خودکار SimDisk نرمافزار کره جنوبی و کارگزار بهروزرسانی مورد استفاده توسط ALZip مربوط به ESTsoft استفاده شده بود. محققان میگویند پویش جدید یک سری از ابزار و نرمافزارهای مخرب ساده را هم به کار میگیرد.
از طریق به خطر انداختن سازوکارِ بهروزرسانی و یا زنجیرهی تأمین نرمافزار برای یک ابزار ویرایش شخص ثالث، عاملان قادر به استقرار یک نرمافزار مخرب که مایکروسافت آن را به عنوان Rivit تشخیص داده بود، شدند. این پروندهی اجرایی اسکریپتهای مخرب پاورشِل را همراه با پوسته معکوس Meterpreter راهاندازی میکند که مهاجمان را از راه دور قادر میسازد، کنترل غیرفعالی بر ماشینهای تسخیرشده داشته باشند. مایکروسافت میگوید پویش جاسوسی سایبری WilySupply، در مراحل اولیه کشف شد، قبل از آنکه بتواند آسیب واقعیای وارد کند. این شرکت طرفهای درگیر و فروشندهی ثالث نرمافزار را آگاه کرده و برای کاهش خطرات بالقوه با آنها کار کرده است.
حمله سایبری به خوبی برنامهریزی شده و بهقدری هماهنگ و مخفیانه بود که حتی سازندهی ابزارهای ثالث به طور کامل از موضوع بیخبر بود. الیا فلوریو، محافظ حملات پیشرفتهی ویندوز در تیم پژوهشی، توضیح میدهد که هر چند که این حمله از یک آسیبپذیری روز-صفرم بهرهبرداری نمیکند اما این حمله سایبری به طور موثری داراییها را به خطر میاندازد. این حمله از رابطه اعتماد رایج زنجیره تامینهای نرمافزار و این واقعیت که مهاجم در حال حاضر کنترل از راه دور کانال بهروزرسانی را به دست گرفته، استفاده کرده است.
جالب توجه است تنها دستگاههای خاص، تحت تاثیر قرار گرفتند در حالی که اکثر اهداف احتمالی نادیده گرفته شد. این موضوع با این حال، نشاندهندهی قصد عاملان به تمرکز بر روی باارزشترین اهداف است. ابزارهایی که در این حملات استفاده میشود معمولاً در تمرینات آزمون نفوذ به کار گرفته میشود و به مهاجمان اجازه میدهد که از انتساب فرار کنند. پروندهی باینری بدافزار، به نام ue.exe، یک قطعه کد کوچک بود که روی راه اندازی یک پوسته Meterpreter کدگذاریشدهی Base۶۴ Gzip بارگیریشده با استفاده از پاورشِل بود.
برای جستجوی شبکه، باطل کردن اعتبارنامه و حرکات جانبی، مهاجمان یا از دستورات سامانهی محلی و یا ابزارهای اسکریپت اجراشده در حافظه از طریق پاورشِل استفاده کردند که روشی است که به طور فزاینده در میان مجرمان سایبری محبوب شده است. روشها و رویههای مشاهدهشده در طول حمله شامل غیرمداوم ، باینری اولیه خود-ویرانگر، بار دادهی حافظهای، فعالیتهای بازسازی از قبیل شمارش ماشین، مهاجرت به فرآیندهای طولانی، استفاده از ابزارهای رایج مانند Mimikatz و Kerberoast برای خالی کردن رشته درهمسازی، حرکت جانبی با استفاده از ابزار دقیق مدیریت ویندوز(WMI) و ماندگاری از طریق وظایف برنامهریزیشده است.
به عنوان بخشی از این عملیات، مهاجمان از آدرسهای شبکه زیر برای انجام پویش اولیهی شبکه، حرکت جانبی، و ارتباطات دستور و کنترل استفاده میکنند: hXXp: //۵.۳۹.۲۱۸.۲۰۵/logo.png و hXXp: //۱۷۶.۵۳ .۱۱۸.۱۳۱ / logo.png برای بارگیری براساس بار دادهی مبتنی بر Meterpreter هم از همان آدرس استفاده شده است. فلوریو اشاره میکند که «ما اعتقاد داریم که فعالیتها در عملیات WilySupply با انگیزهی سود مالی بوده است. آنها بستهی نرمافزار ثالث را از طریق بهروزرسانها و کانالهای دیگر برای رسیدن به قربانیانی که عمدتاً در صنایع مالی و پرداخت بودند، به خطر میانداختند.
منبع:security week
