هوش مصنوعی و رباتهای مخرب؛ طراحی نوین و پیچیده حملات سایبری
استفاده از هوش مصنوعی در طراحی حملات سایبری هم دیده میشود. رباتهای مخرب که به…
۱۹ مهر ۱۴۰۳
گردانندگان باجافزار LockBit 3.0 با سوءاستفاده از خط فرمان Windows Defender و یکسری روالهای ضدشناسایی و ضدتحلیل برای دور زدن محصولات امنیتی، فعالیت خود را از سر گرفتند.
به گزارش روابط عمومی مرکز مدیریت راهبردی افتا، پیش از این، محققان امنیتی، در فروردین ۱۴۰۱ اعلام کردند LockBit (که به LockBit Black نیز معروف است) از ابزار معتبر خط فرمان VMware، به نام VMwareXferlogs.exe، برای بارگذاری و تزریق Cobalt Strike استفاده میکند.
Cobalt Strike یک ابزار تست نفوذ معتبر با ویژگیهای گسترده است که در بین مهاجمان برای شناسایی شبکه و گسترش آلودگی در آن، پیش از سرقت و رمزگذاری دادهها استفاده میشود.
در این حملات، از طریق آسیبپذیری Log4j نفوذ اولیه به هدف مورد نظر در سرور VMWare Horizon که وصله نشده است، صورت میگیرد.
پس از نفوذ اولیه، مهاجمان با استفاده از فرمانهایی تلاش میکنند چندین ابزار را به کار گیرند و روش جدیدی برای بارگذاری و تزریق Cobalt Strike اجرا کنند.
در این سری از حملات، به طور خاص، هنگام اجرای Cobalt Strike، از ابزار معتبر جدیدی برای بارگذاری یک DLL مخرب استفاده میشود که کد مخرب را رمزگشایی میکند.
مهاجمان با بهکارگیری ابزار معتبر خط فرمان، کد بدافزاری، DLL مخرب و ابزار معتبر را از سرور کنترل و فرماندهی خود دانلود میکنند.
استفاده از ابزارها و توابع عادی و سالم سیستمعامل و دیگر نرمافزارهای کاربردی توسط مهاجمان سایبری، یکی از روشهایی است که مهاجمان برای مخفی ماندن از دید سیستمهای امنیتی و ضدویروسهای قدیمی و شناسایی نشدن به کار میگیرند. به این روش «کسب روزی از زمین» یا Living off the Land – بهاختصار LotL – گفته میشود.
کارشناسان مرکز مدیریت راهبردی افتا تاکید می کنند استفاده از محصولات معتبری همچون VMware و Windows Defender باید همواره با بررسی دقیق همراه باشد چراکه به طور گسترده در سازمانها به کار گرفته میشوند و از پتانسیل خوبی برای بهرهجویی مهاجمان برخوردارند؛ در عین حال راهبران امنیتی موظفاند وصلههای منتشرشده را برای تمامی محصولات، بهموقع بهروزرسانی کنند.
راهبران امنیتی سازمانها و دستگاههای دارای زیرساخت حیاتی کشور میتوانند برای اطلاع از جزئیات فنی و نحوه عملکرد جدید باجافزار LockBit 3.0 به پایگاه اینترنتی مرکز مدیریت راهبردی افتا مراجعه کنند.