بخشی از بدافزار طراحی شده برای بارگذاری چراغهای Cobalt Strike بر روی ماشینهای قربانی، به عوامل تهدید چینی و روسی بازمیگردد.
فروشنده امنیتی فنلاندی WithSecure در گزارش جدیدی ادعا کرد که “SilkLoader” را در چندین نفوذ انسانی که احتمالاً پیشروی یک حمله باجافزاری هستند، شناسایی کرده است.
این بدافزار از بارگذاری جانبی DLL برای بارگذاری بیکن ها استفاده می کند، که معمولاً در چنین حملاتی به عنوان بخشی از زیرساخت فرمان و کنترل (C2) برای بارگیری بارهای اضافی در ماشین های هدف استفاده می شود.
با این حال، تازگی در مورد این پرونده از این واقعیت ناشی می شود که WithSecure معتقد است بازیگران تهدید چین در واقع کالاهای خود را فروخته یا به همتایان روسی داده اند.
این شرکت گفت که قبل از تابستان 2022 لودر منحصراً توسط سابق علیه اهدافی در هنگ کنگ، چین و سایر نقاط منطقه استفاده می شد. با این حال، این فعالیت در ماه جولای متوقف شد تا این بدافزار چند ماه بعد در حملات علیه اهداف مختلف در کشورهای مختلف از جمله تایوان، برزیل و فرانسه دوباره ظاهر شود.
ما بر این باوریم که SilkLoader در حال حاضر در اکوسیستم جرایم سایبری روسیه به عنوان یک بارگیری خارج از قفسه از طریق یک برنامه Packer-as-a-Service برای گروه های باج افزار یا احتمالاً از طریق گروه هایی که Cobalt Strike/Infrastructure-as-a-Service را ارائه می دهند، توزیع می شود. محمدکاظم حسن نژاد، محقق اطلاعات WithSecure، گفت.
به نظر میرسد که اکثر شرکتهای وابسته به گروه Conti، اعضای و فرزندان آن پس از تعطیلی ادعایی آن، بخشی از آن بوده یا روابط کاری نزدیکی با آن داشتهاند.
این ابزار خود آخرین نمونه از نوآوری بازیگران تهدید برای ماندن یک قدم جلوتر از مدافعان شبکه است. در مورد Cobalt Strike، این ابزار آنقدر شناخته شده است که اقدامات دفاعی معمولاً تهدید را شناسایی و مهار می کند.
نژاد توضیح داد: «با این حال، با افزودن لایههای پیچیدگی اضافی به محتوای فایل و راهاندازی آن از طریق یک برنامه شناختهشده مانند VLC Media Player از طریق بارگذاری جانبی، مهاجمان امیدوارند از این مکانیسمهای دفاعی فرار کنند».
درباره تهدیدات اعتصاب کبالت بیشتر بخوانید: اغواهای دولتی، با مضمون اتحادیه که برای تحویل محمولههای اعتصاب کبالت استفاده میشوند
تصویر بزرگتر این است که جرایم سایبری به طور فزاینده ای جهانی شده است. اگرچه موانع فرهنگی و زبانی تاریخی تا حد زیادی مانع از اشتراک گذاری اطلاعات بین اقتصادهای جرایم سایبری زبان چینی و روسی شده است، اما ممکن است در حال تغییر باشد.
در این گزارش آمده است: «در این مورد، به احتمال زیاد نویسنده یک کدنویس مستقل بوده که ابزار خود را در یک انجمن زیرزمینی فروخته است. چنین اجزایی می توانند و در صورتی که شرایط به نفع چنین معامله ای باشد فروخته یا به گروه های دیگر تحویل داده می شود.
