کشف مجموعه ابزار هکرها

تکنولوژی
1403/05/23
31 مرداد 1403

محققان امنیت سایبری یک جعبه ابزار هکر گسترده را کشف کرده اند که مجموعه ای جامع از ابزارهای طراحی شده برای مراحل مختلف حملات سایبری را نشان میدهد. این جعبه ابزار، که در یک دایرکتوری باز یافت می‌شود، روش‌های پیچیده‌ای را که توسط عوامل تهدید برای به دست آوردن و حفظ دسترسی به سیستم‌های در معرض خطر استفاده می‌شود، به نمایش می‌گذارد. این کشف که در اوایل دسامبر 2023 انجام شد، مجموعه‌ای از اسکریپت‌های دسته‌ای و بدافزارهایی را که هم سیستم‌های ویندوز و لینوکس را هدف قرار می‌دهند، فاش کرد. این ابزارها توانایی هکرها را برای انجام فعالیت‌های مخرب مختلف، از به خطر انداختن سیستم اولیه تا کنترل طولانی‌مدت و استخراج داده‌ها، نشان می‌دهند.

از جمله قابل توجه ترین ابزارهای کشف شده PoshC2 و Sliver، دو فریمورک معروف فرمان و کنترل (C2) بودند. این ابزارهای منبع باز، که معمولاً توسط آزمایش‌کنندگان نفوذ و تیم‌های قرمز مورد استفاده قرار می‌گیرند، توسط بازیگران مخرب برای اهداف پلید تغییر کاربری داده شده‌اند. این چارچوب ها نشان دهنده قصد مهاجمان برای ایجاد دسترسی از راه دور دائمی به سیستم های در معرض خطر است.

این جعبه ابزار همچنین شامل چندین اسکریپت دسته ای سفارشی بود که برای فرار از دفاع و دستکاری سیستم طراحی شده بودند. اسکریپت هایی مانند atera_del.bat و atera_del2.bat برای حذف عوامل مدیریت از راه دور Atera ساخته شدند که به طور بالقوه آثار ابزارهای اداری قانونی را از بین می برد.

سایر اسکریپت‌ها مانند backup.bat و delbackup.bat بر حذف نسخه‌های پشتیبان سیستم و کپی‌های سایه متمرکز شده‌اند، تاکتیکی رایج که برای جلوگیری از تلاش‌های بازیابی اطلاعات در حملات باج‌افزار استفاده می‌شود.

گزارش DFIR محققان به وجود clearlog.bat اشاره کردند، اسکریپتی که قادر به پاک کردن گزارش‌های رویدادهای ویندوز و حذف شواهد استفاده از پروتکل از راه دور دسکتاپ (RDP) است. این امر تاکید مهاجمان بر پوشاندن مسیرهای خود و فرار از شناسایی را برجسته می کند.

جعبه ابزار همچنین حاوی ابزارهای تخصصی تری بود:

cmd.cmd: کنترل حساب کاربری را غیرفعال می کند و تنظیمات رجیستری را تغییر می دهد

def1.bat و Defedermalwar.bat: Windows Defender را غیرفعال و Malwarebytes را حذف میکند.

disable.bat و hyp.bat: سرویس های مهم مختلف را متوقف و غیرفعال میکند

LOGOFALL.bat و LOGOFALL1.bat: session های فعال کاربر را می بندد.

NG1.bat و NG2.bat: حاوی توکن‌های احراز هویت Ngrok برای اهداف پراکسی

Ngrok.exe: ابزاری قانونی که برای خدمات پراکسی مورد سوء استفاده قرار گرفته است

Posh_v2_dropper_x64.exe: قطره چکان (Dropper) PoshC2 برای ویندوز

native_dropper: نسخه لینوکس قطره چکان PoshC2

py_dropper.sh: اسکریپت Bash برای اجرای قطره چکان پایتون برای PoshC2

VmManagedSetup.exe: بدافزار SystemBC قابل اجرا

WILD_PRIDE.exe: چارچوب Sliver C2 قابل اجرا

کشف این جعبه ابزار بینش های ارزشمندی را در مورد روش ها و ابزارهای به کار گرفته شده توسط مجرمان سایبری مدرن ارائه می دهد. این امر بر اهمیت اقدامات قوی امنیت سایبری و نیاز سازمان‌ها به هوشیاری در برابر تهدیدات در حال تحول تأکید می‌کند.

کارشناسان امنیت سایبری به سازمان‌ها توصیه می‌کنند که استراتژی‌های امنیتی جامع، از جمله به‌روزرسانی‌های منظم سیستم، آموزش کارکنان، و سیستم‌های پیشرفته تشخیص تهدید را برای محافظت در برابر چنین جعبه‌ابزارهای حمله پیچیده، اجرا کنند.

محققان بر این باورند که این سرورها احتمالاً بر اساس ابزارهای ارائه شده در فعالیت های نفوذ باج افزار استفاده شده اند. آن‌ها اسکریپت‌های زیادی را یافتند که تلاش می‌کردند خدمات را متوقف کنند، نسخه‌های پشتیبان و کپی‌های سایه‌دار را حذف کنند، و نرم‌افزار آنتی‌ویروس را غیرفعال یا حذف کنند. لیست کامل IoC را می توانید در اینجا بیابید.

منبع