IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

هشدار جدی مایکروسافت برای انتشار باج‌افزار Royal و سایر بدافزار‌ها

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian.ir microsoft warns cybercrime group delivering royal ransomware other malware
مایکروسافت هشدار می‌دهد که یک عامل تهدید که با نام DEV-0569 رد‌یابی شده و به دلیل توزیع paylaod‌های مخرب مختلف شناخته می‌شود، به‌تازگی در حال بروزرسانی روش‌های تحویل محتوای مخرب خود، مشاهده شده است.

گروه DEV-0569 برای توزیع بدافزار به تبلیغات مخرب (malvertising)، نظرات بلاگ، صفحات انجمن جعلی و لینک‌های فیشینگ متکی بوده است.

با‌این‌حال، طی چند ماه گذشته، مایکروسافت متوجه شد که عامل تهدید شروع به استفاده از فرم‌های تماس برای ارائه لینک‌های فیشینگ کرده است، در‌حالی‌که این گروه، میزبان نصب‌کننده‌های جعلی در سایت‌های دانلود نرم‌افزار قانونی و مخازن قانونی مانند GitHub و OneDrive است.

مهاجان همچنان به تبلیغات مخرب برای توزیع بدافزار متکی هستند و حتی این تکنیک را با استفاده از Google Ads در یکی از کمپین‌ها گسترش داده‌اند.

مایکروسافت می‌گوید : «این روش‌ها به گروه اجازه می‌دهد تا به طور بالقوه به اهداف بیشتری دست یابد و در‌نهایت به هدف خود برای استقرار payload‌های مختلف پس از نفوذ دست پیدا کند. »

این گروه همچنین به دلیل امضای باینری‌های مخرب با گواهینامه‌های قانونی و استفاده از paylaod‌های بدافزار رمزگذاری شده و تکنیک‌های فرار دفاعی شناخته شده است. در حملات اخیر، DEV-0569 از ابزار متن باز Nsudo برای غیرفعال کردن راه‌حل‌های آنتی ویروس استفاده کرده است.

عامل تهدید به دانلودکننده‌های بدافزار مانند Batloader متکی است که خود را به‌عنوان نصب‌کننده یا بروزرسانی قانونی برای نرم‌افزارهایی مانند AnyDesk، Adobe Flash Player، Microsoft Teams، TeamViewer و Zoom معرفی می‌کنند.

گروهDEV-0569، همچنین با استفاده از فرمت‌های فایل مانند Virtual Hard Disk (VHD) برای جعل هویت نرم‌افزار قانونی، و همچنین استفاده از PowerShell و اسکریپت‌های دسته‌ای برای دانلود سارقان اطلاعات و ابزار‌های دسترسی از راه دور مشاهده شده است.

در کمپین ماه سپتامبر، عامل تهدید از فرم‌های تماس در وب‌سایت‌های عمومی برای توزیع بدافزار استفاده می‌کرد.DEV-0569 که خود را به‌عنوان یک مقام مالی ملی و کشوری معرفی می‌کرد، پیام‌هایی را با استفاده از فرم‌های تماس ارسال کرد و پس از پاسخ دادن به اهداف از طریق ایمیل، با پیام‌هایی حاوی Batloader به قربانیان پاسخ داد.

به‌عنوان بخشی از حملات موفقیت‌آمیز، عامل تهدید دستوراتی را برای افزایش اختیارات به سیستم اجرا کرد و payload‌های مختلفی را روی دستگاه در معرض خطر مستقر کرد، از‌جمله آنها میتوان به تروجان بانکی Gozi و دزد اطلاعات Vidar Stealer اشاره نمود.

در ماه سپتامبر، مایکروسافت زنجیره‌های آلودگیDEV-0569 را مشاهده کرد که به باج‌افزار Royal هدایت می‌شود که توسط کاربر انسان کار می‌کرد. در این حملات از دانلودر Batloader و ایمپلنت Cobalt Strike Beacon استفاده شده است.

در ماه اکتبر، گروه تهدید شروع به سواستفاده از Google Ads کرد و کاربران را به سیستم توزیع ترافیک قانونی (TDS) Keitaro هدایت کرد که از رد‌یابی ترافیک تبلیغات و کاربران پشتیبانی می‌کند. مایکروسافت متوجه شد که کاربران تحت شرایط خاص به سایت‌های دانلود قانونی یا دامنه‌های دانلود مخرب Batloader هدایت می‌شوند.

برچسب ها: Keitaro, Bank Trojan, Gozi, Adobe Flash Player, Batloader, Nsudo, Google Ads, DEV-0569, Royal, تروجان بانکی, Malvertising, OneDrive, باج‌افزار, Cobalt Strike Beacon, Payload, AnyDesk, Microsoft Teams, ZOOM, Microsoft, TeamViewer, Github, phishing, malware, ransomware , دفاع سایبری, Cyber Security, مایکروسافت, فیشینگ, بدافزار, امنیت سایبری, Cyber Attacks, حمله سایبری, news

نوشته شده توسط تیم خبر.

چاپ ایمیل