نقش Symantec در شناسایی ابزارهای مخرب گروه باجافزار Play
در دنیای امروز که تهدیدات سایبری روز به روز پیچیدهتر و هدفمندتر میشوند، نقش شرکتهای امنیتی در شناسایی و مهار این تهدیدات بیش از پیش حیاتی شده است. یکی از بازیگران کلیدی در این عرصه، شرکت Symantec است که با سابقهای طولانی در حوزه امنیت سایبری، بارها موفق به شناسایی کمپینهای پیچیده بدافزاری شده است. در یکی از آخرین اقدامات مؤثر خود، Symantec موفق به شناسایی ابزارهای سفارشی و پیچیدهای شد که توسط گروه باجافزار Play برای جمعآوری اطلاعات و استخراج فایلهای قفلشده مورد استفاده قرار میگیرند.
به بررسی دقیق نقش Symantec در کشف این ابزارها، نحوه عملکرد گروه باجافزاری Play و تکنیکهای نوین مورد استفاده آنها خواهیم پرداخت. همچنین به اهمیت استفاده از راهکارهای امنیتی پیشرفته برای مقابله با تهدیدات اینچنینی اشاره خواهیم کرد.
معرفی گروه باجافزار Play
گروه باجافزاری Play که با نام دیگر PlayCrypt نیز شناخته میشود، از ژوئن 2022 فعالیتهای مخرب خود را آغاز کرده است. این گروه که توسط Symantec با نام Balloonfly دنبال میشود، به سرعت توانست خود را در میان بازیگران خطرناک دنیای سایبری مطرح کند. برخلاف بسیاری از گروههای باجافزاری که به صورت مدل سرویسدهی (Ransomware-as-a-Service) فعالیت میکنند، گروه Play خود مسئول توسعه و اجرای بدافزارهاست. این رویکرد باعث شده که حملات آنها با انسجام، انسداد کمتر و اثربخشی بالاتری انجام شود.
تکنیکهای نفوذ و رمزگذاری
Play عمدتاً با سوءاستفاده از آسیبپذیریهای نرمافزارهای مایکروسافت، بهویژه Microsoft Exchange (مانند CVE-2022-41080 و CVE-2022-41082)، موفق به اجرای کد از راه دور (RCE) در شبکههای قربانی میشود. این گروه همچنین یکی از پیشگامان استفاده از تکنیک رمزگذاری متناوب است؛ روشی که فقط بخشهایی از فایلها را رمزگذاری میکند، تا هم سرعت حمله افزایش یابد و هم امکان بازیابی اطلاعات برای قربانی کاهش یابد.
ابزارهای سفارشی کشفشده توسط Symantec
یکی از ویژگیهای مهم گروه Play، استفاده از ابزارهای سفارشیسازیشده و ناشناخته برای جمعآوری اطلاعات و استخراج دادههاست. در تازهترین کشفیات Symantec، دو ابزار جدید معرفی شدهاند که عبارتند از:
Grixba (Infostealer.Grixba)
ابزار کپی از Volume Shadow Copy Service (VSS)
این دو ابزار به شکل خاص برای دور زدن محدودیتهای سیستمعامل و افزایش اثربخشی حملات طراحی شدهاند.
Grixba: ابزاری برای جمعآوری اطلاعات دقیق
معرفی ابزار
Grixba که توسط Symantec به عنوان یک ابزار جمعآوری اطلاعات شبکه و جاسوسی طبقهبندی شده، برای اسکن کل دامنه قربانی، شناسایی نرمافزارهای امنیتی، ابزارهای پشتیبانگیری و نرمافزارهای مدیریت از راه دور به کار گرفته میشود. این ابزار با استفاده از زبان برنامهنویسی .NET توسعه یافته و با کمک کتابخانه Costura تمام وابستگیهای خود را در قالب یک فایل اجرایی ترکیب میکند. این ویژگی، شناسایی و تحلیل ابزار را برای متخصصان امنیتی دشوارتر میسازد.
عملکرد فنی
Grixba با استفاده از روشهای مختلفی از جمله WMI، WinRM، رجیستری از راه دور و Remote Services اطلاعات را جمعآوری میکند. در این فرآیند، ابزار مذکور لیستی از نرمافزارها و سرویسهای نصبشده، کاربران دامنه، نشستهای RDP و اطلاعات پارتیشنها را در قالب فایلهای CSV ذخیره کرده و در نهایت آنها را با استفاده از WinRAR فشردهسازی میکند.
فایلهای خروجی شامل موارد زیر هستند:
alive.csv
users.csv
mount.csv
cached_RDP.csv
soft.csv
all_soft.csv
remote_svc.csv
wm.csv
این دادهها در قالب فایلی با نام export.zip برای استخراج دستی از سوی مهاجمان آماده میشوند.
حالتهای عملکرد Grixba
Scan Mode: جمعآوری اطلاعات از نرمافزارهای امنیتی، ابزارهای پشتیبانگیری و کنترل از راه دور.
ScanAll Mode: مشابه حالت اول ولی با دامنه گستردهتر.
Clr Mode: حذف لاگها و ردپاها از سیستم محلی و سایر سیستمهای شبکه.
در حالت Clr، Grixba با استفاده از توابع “EvtOpenLog” و “EvtClearLog” لاگهای امنیتی و فعالیتهای WMI را پاک میکند، که این امر شناسایی حمله را به شدت دشوار میسازد.
ابزار استخراج اطلاعات از VSS و دور زدن قفل فایلها
دومین ابزار کشفشده توسط Symantec یک فایل اجرایی .NET است که با استفاده از کتابخانه AlphaVSS طراحی شده است. این ابزار به مهاجمان اجازه میدهد تا به فایلهای ذخیرهشده در Volume Shadow Copy Service (VSS) دسترسی یابند و آنها را به دایرکتوری مورد نظر کپی کنند. در حالت عادی، این فایلها توسط سیستمعامل قفل میشوند و غیرقابل دسترسی هستند، اما با استفاده از این ابزار، مهاجمان میتوانند اطلاعات حساس را پیش از رمزگذاری نهایی استخراج کنند.
این تکنیک، قدرت تخریب و اخاذی گروه Play را دوچندان میکند، چرا که به آنها امکان اجرای حملات دوگانه (Double Extortion) را میدهد: ابتدا اطلاعات را میدزدند و سپس سیستم را رمزگذاری میکنند.
اهمیت شناسایی Symantec در مقابله با تهدیدات
شرکت Symantec، که بخشی از Broadcom Software است، با تحلیل دقیق نمونههای بدافزاری و ابزارهای سفارشی گروه Play، موفق شد چندین فایل و هش مخرب را شناسایی کند که هماکنون توسط محصولات امنیتی Symantec مسدود میشوند. از جمله این شناسهها میتوان به موارد زیر اشاره کرد:
f71476f9adec70acc47a911a0cd1d6fea1f85469aa16f5873dd3ffd5146ccd6b – Grixba
f81bd2ac937ed9e254e8b3b003cc35e010800cbbce4d760f5013ff911f01d4f9 – ابزار VSS
762bb8a7209da29afb89f7941ae1c00a04cf45a144c6c5dddcfa78ff0d941539 – Play Ransomware
این شناساییها، نه تنها از گسترش بدافزار جلوگیری میکند، بلکه به شرکتها و سازمانها امکان میدهد تا با اطلاع کامل از تهدید، اقدامات امنیتی خود را تقویت کنند.
چرا استفاده از راهکارهای Symantec حیاتی است؟
با پیچیدهتر شدن تهدیدات و استفاده روزافزون از ابزارهای سفارشی، استفاده از محصولات امنیتی معمولی دیگر کافی نیست. راهکارهای Symantec با تکیه بر فناوریهای مبتنی بر هوش مصنوعی، تحلیل رفتاری و پایگاه دادههای تهدیدات جهانی، توانایی شناسایی سریع و دقیق حملات پیشرفته را دارند.
ویژگیهای برجسته راهکارهای Symantec
تحلیل بلادرنگ بدافزارها و فایلهای مشکوک
قابلیت شناسایی حملات مبتنی بر رفتار (Behavioral Analysis)
تشخیص فعالیتهای مشکوک در شبکه
سازگاری کامل با سیستمعاملهای سازمانی
بهروزرسانی سریع پایگاه تهدیدات (Threat Intelligence)
گروه باجافزار Play با بهرهگیری از ابزارهای سفارشیسازیشده مانند Grixba و ابزار استخراج از VSS، تهدیدی جدی برای سازمانها در سراسر جهان به شمار میآید. این تهدید، بار دیگر اهمیت سرمایهگذاری در راهکارهای امنیتی قدرتمند مانند محصولات Symantec را یادآور میشود.
Symantec با کشف و تحلیل دقیق این ابزارها، توانست گام مؤثری در راستای محافظت از زیرساختهای فناوری اطلاعات بردارد. استفاده از راهکارهای این شرکت نهتنها به شناسایی تهدیدات کمک میکند، بلکه توانایی پاسخگویی سریع به حملات را نیز افزایش میدهد. زمان آن فرا رسیده که از راهکارهای جامع و چندلایه Symantec بهره ببرید. آلما شبکه نماینده شرکت سیمانتک آماده ارائه انواع راهکارهای امنیتی بر پایه محصولات سیمانتک می باشد.