در دنیای امنیت سایبری، ظهور ابزارهای جدید و پیچیده توسط گروههای باجافزاری به تهدیدی جدی برای سازمانها تبدیل شده است. یکی از این گروهها، گروه باجافزاری Play (یا PlayCrypt) است که به تازگی با استفاده از ابزارهای سفارشی توسعهیافته خود، حملات خود را به سطح جدیدی ارتقا داده است. بر اساس تحقیقات جدید سیمانتک، این گروه اکنون از دو ابزار جدید برای جمعآوری دادهها و کپیبرداری از فایلهایی که بهطور معمول توسط سیستمعامل قفل شدهاند، استفاده میکند
ابزار Grixba: ابزاری برای اسکن شبکه
یکی از ابزارهای جدید که توسط سیمانتک شناسایی شده است، Grixba (با نام دیگر Infostealer.Grixba) است. Grixba یک ابزار اسکن شبکه است که به مهاجمان اجازه میدهد تمام کاربران و رایانهها در دامنهی شبکه مورد هدف را شناسایی کنند. این ابزار سفارشی، که توسط گروه Play توسعه یافته، از زبان برنامهنویسی .NET برای انجام اسکنهای پیشرفته استفاده میکند.
Grixba با استفاده از تکنولوژیهایی مانند WMI، WinRM، رجیستری از راه دور و سرویسهای راه دور به جستجوی اطلاعات مربوط به نرمافزارها و سرویسهای نصب شده روی سیستمها میپردازد. این ابزار به طور خاص به دنبال وجود نرمافزارهای امنیتی مانند آنتیویروسها، نرمافزارهای پشتیبانگیری و ابزارهای مدیریت از راه دور میگردد و سپس اطلاعات جمعآوری شده را در فایلهای CSV ذخیره میکند. این فایلها سپس به صورت یک فایل ZIP فشرده شده و برای مهاجمان ارسال میشود.
فناوری Costura در توسعه ابزارها
ابزار Grixba با استفاده از Costura توسعه داده شده است؛ یک ابزار محبوب برای توسعهی برنامههای .NET که به توسعهدهندگان اجازه میدهد وابستگیهای برنامه را بهطور مستقیم در فایل اجرایی برنامه جاسازی کنند. با استفاده از این تکنیک، نیازی به توزیع جداگانه وابستگیهای برنامه مانند کتابخانهها و DLLها نیست. این موضوع باعث میشود برنامهها به سادگی اجرا شوند و در حملات مهاجمان، شناسایی آنها برای نرمافزارهای امنیتی دشوارتر باشد.
به عنوان نمونه، در Grixba از کتابخانهی costura.commandline.dll استفاده شده که به این ابزار اجازه میدهد تا دستورات خط فرمان را تفسیر و اجرا کند. این قابلیت به مهاجمان کمک میکند تا به راحتی دستورات مختلفی را برای جمعآوری اطلاعات اجرا کنند.
عملکرد و حالتهای مختلف Grixba
ابزار Grixba دارای سه حالت اصلی برای اجرای عملیات است:
حالت Scan: در این حالت، Grixba به جستجوی نرمافزارها و سرویسها در شبکه میپردازد. همچنین این ابزار نرمافزارهای امنیتی مانند Defender، Kaspersky، Norton، Avast، ESET و دیگر ابزارهای امنیتی را شناسایی میکند. علاوه بر این، نرمافزارهای پشتیبانگیری مانند Veeam، Dropbox، Acronis و همچنین ابزارهای مدیریت از راه دور مانند TeamViewer، AnyDesk، RemotePC را بررسی میکند. تمامی این اطلاعات در فایلهای CSV ذخیره میشوند.
حالت Scanall: این حالت مشابه حالت Scan است اما به طور جامعتری به جستجو میپردازد و لیست بیشتری از برنامهها و سرویسها را بررسی میکند.
حالت Clr: در این حالت، Grixba اقدام به حذف لاگها از سیستمهای محلی و راه دور میکند. همچنین با استفاده از APIهای “EvtOpenLog” و “EvtClearLog” لاگهای مربوط به فعالیتهای WMI را حذف میکند تا اثری از فعالیتهای مخرب باقی نماند.
ابزار کپی VSS: نفوذ به فایلهای قفل شده
گروه باجافزاری Play همچنین از یک ابزار دیگر استفاده میکند که به صورت یک فایل اجرایی .NET ساخته شده و با استفاده از کتابخانهی AlphaVSS کار میکند. این ابزار به مهاجمان اجازه میدهد فایلهای قفل شده توسط سیستمعامل را از طریق سرویس Volume Shadow Copy کپی کنند. AlphaVSS یک فریمورک .NET است که به برنامهنویسان اجازه میدهد با سرویس Volume Shadow Copy به سادگی تعامل کنند. این ابزار به مهاجمان کمک میکند تا قبل از رمزگذاری فایلها، آنها را از سیستمهای مورد هدف استخراج کنند.
استفاده از این ابزار به مهاجمان امکان میدهد به فایلهای سیستمعامل دسترسی پیدا کنند که بهطور معمول قفل شدهاند و امکان دسترسی به آنها وجود ندارد. این موضوع برای گروه Play بسیار مهم است، زیرا به آنها اجازه میدهد اطلاعات حساس را پیش از رمزگذاری استخراج کنند و از قربانیان برای باجگیری استفاده کنند.
پیشزمینهی گروه باجافزاری Play
گروه باجافزاری Play، که توسط سیمانتک با نام Balloonfly ردیابی میشود، اولین بار در ژوئن 2022 فعالیت خود را آغاز کرد. این گروه تاکنون مسئول چندین حملهی سایبری مهم بوده و به استفاده از روشهای دوبار اخاذی مشهور است. در این روش، ابتدا دادههای قربانی استخراج و سپس سیستمها رمزگذاری میشوند. این گروه به طور خاص به آسیبپذیریهای Microsoft Exchange و سایر نقاط ضعف امنیتی نفوذ کرده و از این طریق به سیستمها دسترسی پیدا میکند.
یکی از ویژگیهای منحصر به فرد این گروه، استفاده از تکنیک رمزگذاری متناوب است. در این روش، تنها بخشی از فایلها رمزگذاری میشود که باعث افزایش سرعت عملیات رمزگذاری و کاهش زمان لازم برای اجرای حمله میشود.
افزایش استفاده از ابزارهای سفارشی توسط گروههای باجافزاری
استفاده از ابزارهای سفارشی توسط گروههای باجافزاری در حال افزایش است. این ابزارها به مهاجمان اجازه میدهد حملات خود را بهینهسازی کرده و زمان حضور در شبکههای قربانی را کاهش دهند. با استفاده از ابزارهای سفارشی، مهاجمان میتوانند به طور خاص برای محیطهای هدف حمله طراحی شوند و از شناسایی توسط نرمافزارهای امنیتی جلوگیری کنند. همچنین، توسعه ابزارهای سفارشی به گروههای باجافزاری امکان کنترل بیشتری بر عملیات خود میدهد و از امکان مهندسی معکوس ابزارهای عمومی جلوگیری میکند.
گروه باجافزاری Play با استفاده از ابزارهای جدید و سفارشی مانند Grixba و ابزار کپی VSS، حملات خود را به سطح جدیدی ارتقا داده است. این ابزارها به مهاجمان امکان میدهد اطلاعات مهم را از شبکههای قربانی استخراج کرده و لاگهای فعالیت خود را پاک کنند تا شناسایی آنها دشوارتر شود. با افزایش استفاده از این نوع ابزارهای سفارشی، سازمانها باید بیشتر از گذشته به امنیت شبکههای خود اهمیت دهند و از روشهای پیشرفتهتری برای محافظت در برابر حملات باجافزاری استفاده کنند. آلما شبکه نماینده سیمانتک در ایران، آماده ارائه مشاوره در خصوص ساختارهای امنیتی سازمان شما می باشد.