وبلاگ

بررسی گروه باج‌افزاری Play و ابزارهای جدید سفارشی آن بر اساس تحقیقات سیمانتک

 

در دنیای امنیت سایبری، ظهور ابزارهای جدید و پیچیده توسط گروه‌های باج‌افزاری به تهدیدی جدی برای سازمان‌ها تبدیل شده است. یکی از این گروه‌ها، گروه باج‌افزاری Play (یا PlayCrypt) است که به تازگی با استفاده از ابزارهای سفارشی توسعه‌یافته خود، حملات خود را به سطح جدیدی ارتقا داده است. بر اساس تحقیقات جدید سیمانتک، این گروه اکنون از دو ابزار جدید برای جمع‌آوری داده‌ها و کپی‌برداری از فایل‌هایی که به‌طور معمول توسط سیستم‌عامل قفل شده‌اند، استفاده می‌کند

ابزار Grixba: ابزاری برای اسکن شبکه

یکی از ابزارهای جدید که توسط سیمانتک شناسایی شده است، Grixba (با نام دیگر Infostealer.Grixba) است. Grixba یک ابزار اسکن شبکه است که به مهاجمان اجازه می‌دهد تمام کاربران و رایانه‌ها در دامنه‌ی شبکه مورد هدف را شناسایی کنند. این ابزار سفارشی، که توسط گروه Play توسعه یافته، از زبان برنامه‌نویسی .NET برای انجام اسکن‌های پیشرفته استفاده می‌کند.

 

Grixba با استفاده از تکنولوژی‌هایی مانند WMI، WinRM، رجیستری از راه دور و سرویس‌های راه دور به جستجوی اطلاعات مربوط به نرم‌افزارها و سرویس‌های نصب شده روی سیستم‌ها می‌پردازد. این ابزار به طور خاص به دنبال وجود نرم‌افزارهای امنیتی مانند آنتی‌ویروس‌ها، نرم‌افزارهای پشتیبان‌گیری و ابزارهای مدیریت از راه دور می‌گردد و سپس اطلاعات جمع‌آوری شده را در فایل‌های CSV ذخیره می‌کند. این فایل‌ها سپس به صورت یک فایل ZIP فشرده‌ شده و برای مهاجمان ارسال می‌شود.

 

فناوری Costura در توسعه ابزارها

ابزار Grixba با استفاده از Costura توسعه داده شده است؛ یک ابزار محبوب برای توسعه‌ی برنامه‌های .NET که به توسعه‌دهندگان اجازه می‌دهد وابستگی‌های برنامه را به‌طور مستقیم در فایل اجرایی برنامه جاسازی کنند. با استفاده از این تکنیک، نیازی به توزیع جداگانه وابستگی‌های برنامه مانند کتابخانه‌ها و DLL‌ها نیست. این موضوع باعث می‌شود برنامه‌ها به سادگی اجرا شوند و در حملات مهاجمان، شناسایی آن‌ها برای نرم‌افزارهای امنیتی دشوارتر باشد.

 

به عنوان نمونه، در Grixba از کتابخانه‌ی costura.commandline.dll استفاده شده که به این ابزار اجازه می‌دهد تا دستورات خط فرمان را تفسیر و اجرا کند. این قابلیت به مهاجمان کمک می‌کند تا به راحتی دستورات مختلفی را برای جمع‌آوری اطلاعات اجرا کنند.

 

عملکرد و حالت‌های مختلف Grixba

ابزار Grixba دارای سه حالت اصلی برای اجرای عملیات است:

 

حالت Scan: در این حالت، Grixba به جستجوی نرم‌افزارها و سرویس‌ها در شبکه می‌پردازد. همچنین این ابزار نرم‌افزارهای امنیتی مانند Defender، Kaspersky، Norton، Avast، ESET و دیگر ابزارهای امنیتی را شناسایی می‌کند. علاوه بر این، نرم‌افزارهای پشتیبان‌گیری مانند Veeam، Dropbox، Acronis و همچنین ابزارهای مدیریت از راه دور مانند TeamViewer، AnyDesk، RemotePC را بررسی می‌کند. تمامی این اطلاعات در فایل‌های CSV ذخیره می‌شوند.

 

حالت Scanall: این حالت مشابه حالت Scan است اما به طور جامع‌تری به جستجو می‌پردازد و لیست بیشتری از برنامه‌ها و سرویس‌ها را بررسی می‌کند.

 

حالت Clr: در این حالت، Grixba اقدام به حذف لاگ‌ها از سیستم‌های محلی و راه دور می‌کند. همچنین با استفاده از APIهای “EvtOpenLog” و “EvtClearLog” لاگ‌های مربوط به فعالیت‌های WMI را حذف می‌کند تا اثری از فعالیت‌های مخرب باقی نماند.

 

ابزار کپی VSS: نفوذ به فایل‌های قفل شده

گروه باج‌افزاری Play همچنین از یک ابزار دیگر استفاده می‌کند که به صورت یک فایل اجرایی .NET ساخته شده و با استفاده از کتابخانه‌ی AlphaVSS کار می‌کند. این ابزار به مهاجمان اجازه می‌دهد فایل‌های قفل شده توسط سیستم‌عامل را از طریق سرویس Volume Shadow Copy کپی کنند. AlphaVSS یک فریم‌ورک .NET است که به برنامه‌نویسان اجازه می‌دهد با سرویس Volume Shadow Copy به سادگی تعامل کنند. این ابزار به مهاجمان کمک می‌کند تا قبل از رمزگذاری فایل‌ها، آن‌ها را از سیستم‌های مورد هدف استخراج کنند.

 

استفاده از این ابزار به مهاجمان امکان می‌دهد به فایل‌های سیستم‌عامل دسترسی پیدا کنند که به‌طور معمول قفل شده‌اند و امکان دسترسی به آن‌ها وجود ندارد. این موضوع برای گروه Play بسیار مهم است، زیرا به آن‌ها اجازه می‌دهد اطلاعات حساس را پیش از رمزگذاری استخراج کنند و از قربانیان برای باج‌گیری استفاده کنند.

 

پیش‌زمینه‌ی گروه باج‌افزاری Play

گروه باج‌افزاری Play، که توسط سیمانتک با نام Balloonfly ردیابی می‌شود، اولین بار در ژوئن 2022 فعالیت خود را آغاز کرد. این گروه تاکنون مسئول چندین حمله‌ی سایبری مهم بوده و به استفاده از روش‌های دوبار اخاذی مشهور است. در این روش، ابتدا داده‌های قربانی استخراج و سپس سیستم‌ها رمزگذاری می‌شوند. این گروه به طور خاص به آسیب‌پذیری‌های Microsoft Exchange و سایر نقاط ضعف امنیتی نفوذ کرده و از این طریق به سیستم‌ها دسترسی پیدا می‌کند.

 

یکی از ویژگی‌های منحصر به فرد این گروه، استفاده از تکنیک رمزگذاری متناوب است. در این روش، تنها بخشی از فایل‌ها رمزگذاری می‌شود که باعث افزایش سرعت عملیات رمزگذاری و کاهش زمان لازم برای اجرای حمله می‌شود.

 

افزایش استفاده از ابزارهای سفارشی توسط گروه‌های باج‌افزاری

استفاده از ابزارهای سفارشی توسط گروه‌های باج‌افزاری در حال افزایش است. این ابزارها به مهاجمان اجازه می‌دهد حملات خود را بهینه‌سازی کرده و زمان حضور در شبکه‌های قربانی را کاهش دهند. با استفاده از ابزارهای سفارشی، مهاجمان می‌توانند به طور خاص برای محیط‌های هدف حمله طراحی شوند و از شناسایی توسط نرم‌افزارهای امنیتی جلوگیری کنند. همچنین، توسعه ابزارهای سفارشی به گروه‌های باج‌افزاری امکان کنترل بیشتری بر عملیات خود می‌دهد و از امکان مهندسی معکوس ابزارهای عمومی جلوگیری می‌کند.

 

گروه باج‌افزاری Play با استفاده از ابزارهای جدید و سفارشی مانند Grixba و ابزار کپی VSS، حملات خود را به سطح جدیدی ارتقا داده است. این ابزارها به مهاجمان امکان می‌دهد اطلاعات مهم را از شبکه‌های قربانی استخراج کرده و لاگ‌های فعالیت خود را پاک کنند تا شناسایی آن‌ها دشوارتر شود. با افزایش استفاده از این نوع ابزارهای سفارشی، سازمان‌ها باید بیشتر از گذشته به امنیت شبکه‌های خود اهمیت دهند و از روش‌های پیشرفته‌تری برای محافظت در برابر حملات باج‌افزاری استفاده کنند. آلما شبکه نماینده سیمانتک در ایران، آماده ارائه مشاوره در خصوص ساختارهای امنیتی سازمان شما می باشد.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دو × 5 =