پشتیبانی 24/7 :

031-36691964 | 021-88203003

Search
بدافزار BusySnake یک Infostealer به شبکه‌های زیرساخت‌های حیاتی نفوذ می‌کند

بدافزار BusySnake : یک Infostealer  به شبکه‌های زیرساخت‌های حیاتی نفوذ می‌کند

تیتر مطالب

یک گروه هکری به نام «Armored Likho» به سازمان‌های مختلف در کشورهایی مانند روسیه، برزیل و قزاقستان دسترسی پیدا کرده است.

یک گروه APT که قبلاً ناشناخته بود، با استفاده از یک ابزار بدافزار پیچیده و گسترده که برای سرقت اطلاعات محرمانه، اسناد حساس و سایر داده‌های با ارزش بالا طراحی شده است، سازمان‌های دولتی و سازمان‌های زیرساخت‌های حیاتی را در چندین کشور هدف قرار می‌دهد.

این کمپین که محققان کسپرسکی آن را با نام “Armored Likho” ردیابی می‌کنند، تاکنون قربانیانی را در روسیه، برزیل و قزاقستان به خود جذب کرده است. این حملات شامل کمپین‌های با انگیزه مالی با هدف قرار دادن افراد و عملیات جاسوسی سایبری علیه سازمان‌ها در این کشورها بوده است.

کمپین چندوجهی Armored Likho

کسپرسکی مشاهده کرد که این گروه از طریق ایمیل‌های فیشینگ هدفمند که خود را به عنوان ارتباطات رسمی دولتی یا ارتباطات و اسناد کمک‌های اجتماعی جا می‌زدند، حملاتی را انجام میدهد. کسپرسکی دریافت که این ایمیل‌ها حاوی فایل‌های بایگانی با فایل‌های اجرایی مخرب یا فایل‌های میانبر ویندوز بودند که خود را به عنوان اسنادی مانند آزمایش‌های روانشناسی، درخواست‌های کمک‌های بشردوستانه یا گواهی‌های تسویه بدهی پنهان می‌کردند.

بسته به نوع فیشینگ، بدافزار مرحله اول یک برنامه‌ی فریب‌دهنده‌ی منطبق یا سندی با ظاهر بی‌خطر را اجرا می‌کند تا حواس قربانی را هنگام اجرای مرحله‌ی بعدی حمله پرت کند.

برای مثال، در یکی از انواع حمله که کسپرسکی مشاهده کرده است، آرشیو مخرب چیزی را نمایش می‌داد که ظاهراً یک نظرسنجی روانشناختی مشروع بود، در حالی که در پس‌زمینه، یک دراپر بی‌سروصدا بدافزارهای اضافی را بدون هشدار به قربانی استخراج و اجرا می‌کرد.

به گفته‌ی کسپرسکی، سبک کدنویسی و کامنت‌های جاسازی‌شده در برخی از اجزای بارگذاری‌کننده در مراحل اولیه‌ی حملات نشان می‌دهد که مهاجمان از مدل‌های LLM برای تولید آنها استفاده کرده‌اند.

به گفته کسپرسکی، «تحلیلی از کمپین‌های Armored Likho در چند ماه گذشته، روندی را به سمت استفاده از ابزارهای هوش مصنوعی برای تولید payloadهای مرحله اول نشان می‌دهد، همانطور که از نظرات و بلوک‌های کد تکراری مشخص است. این امر به این گروه اجازه می‌دهد تا بردارهای حمله موجود خود را گسترش دهد.»

بدافزار BusySnake Infostealer

Payloadهای مرحله نهایی و سلاح اصلی در کمپین Armored Likho، یک بدافزار سرقت اطلاعات مبتنی بر پایتون است که قبلاً مستند نشده و کسپرسکی آن را “BusySnake Stealer” نامیده است. تجزیه و تحلیل این شرکت امنیتی از این بدافزار نشان داد که قادر به جمع‌آوری طیف گسترده‌ای از اطلاعات حساس از سیستم‌های قربانی، از جمله رمزهای عبور و کوکی‌های ذخیره شده در مرورگر، محتویات کلیپ‌بورد، کلیدهای رمزنگاری، داده‌های پیام‌رسانی و احراز هویت و اطلاعات جلسه تلگرام است.

Busy Snake همچنین می‌تواند تونل‌های SSH معکوس را در سیستم‌های آسیب‌دیده ایجاد کند یا نرم‌افزار دسترسی از راه دور را مستقر کند تا مهاجمان بتوانند دسترسی تعاملی مداوم را حفظ کنند. علاوه بر این، از یک کانال C2 پشتیبانی می‌کند که مهاجمان می‌توانند در صورت نیاز از آن برای صدور دستورات اضافی استفاده کنند.

تمرکز بر زیرساخت‌های حیاتی

کسپرسکی می گوید: «این کمپین چندین روند همزمان را برجسته می‌کند: بلوغ فنی رو به رشد Armored Likho، چندریختی ابزار و تغییر به سمت طرح‌های پیچیده‌تر با هدف دور زدن راه‌حل‌های امنیتی – از مبهم‌سازی کد منبع پایتون گرفته تا جاسازی مستقیم مکانیسم‌های شبکه در کد بدافزار.»

کسپرسکی افزود، مجموعه بدافزارهای متنوع این گروه تهدید، مهاجم را قادر می‌سازد تا برای هر قربانی، کدهای مخرب سفارشی‌شده‌ای را مستقر کند و کنترل مخفیانه‌ای بر سیستم‌های آسیب‌دیده برای اهداف استخراج داده‌ها داشته باشد.

Armored Likho یکی از تعداد رو به رشدی از عوامل تهدید است که زیرساخت‌های حیاتی را برای سرقت داده‌ها، خرابکاری و اهداف نظارتی هدف قرار می‌دهند.
کسپرسکی Armored Likho را وابسته به هیچ کشور خاصی معرفی نکرد. اما به نظر می‌رسد کمپین آن بر برداشت اعتبارنامه و حفظ دسترسی تعاملی بلندمدت در محیط‌های متعلق به سازمان‌های دولتی و زیرساخت‌های حیاتی متمرکز است. این شرکت امنیتی شاخص‌های نفوذ و سایر اطلاعاتی را ارائه کرده است که سازمان‌ها می‌توانند از آنها برای بررسی و مسدود کردن فعالیت Armored Likho استفاده کنند.

 

منبع:

securelist

darkreading