بدأ مُحمل برامج ضارة جديد وخطير مزود بميزات لتحديد ما إذا كان موجودًا على نظام تجاري أو جهاز كمبيوتر شخصي في إصابة الأنظمة بسرعة في جميع أنحاء العالم خلال الأشهر القليلة الماضية.
يتتبع الباحثون في VMware Carbon Black التهديد ، الذي يطلق عليه اسم BatLoader ، ويقولون إن مشغليها يستخدمون القطارة لتوزيع مجموعة متنوعة من أدوات البرامج الضارة بما في ذلك حصان طروادة المصرفي ، وسرقة المعلومات ، ومجموعة أدوات Cobalt Strike لما بعد الاستغلال على أنظمة الضحايا. كان تكتيك ممثل التهديد هو استضافة البرامج الضارة على مواقع الويب المخترقة وجذب المستخدمين إلى تلك المواقع باستخدام طرق تسميم تحسين محركات البحث (SEO).
العيش خارج الأرض
يعتمد BatLoader بشكل كبير على البرامج النصية الدفعية و PowerShell للحصول على موطئ قدم أولي على جهاز الضحية وتنزيل برامج ضارة أخرى عليه. هذا جعل الحملة من الصعب اكتشافها ومنعهاقال محللون من فريق الكشف والاستجابة المدار (MDR) في VMware Carbon Black في تقرير صدر في 14 نوفمبر ، خاصة في المراحل المبكرة.
قالت VMware إن فريق Carbon Black MDR التابع لها لاحظ 43 إصابة ناجحة في آخر 90 يومًا ، بالإضافة إلى العديد من المحاولات الفاشلة الأخرى حيث قام الضحية بتنزيل ملف الإصابة الأولي ولكنه لم ينفذه. وكان تسعة من الضحايا من المنظمات العاملة في قطاع خدمات الأعمال ، وسبع من شركات الخدمات المالية ، وخمسة في مجال التصنيع. ومن بين الضحايا الآخرين منظمات في قطاعات التعليم والبيع بالتجزئة وتكنولوجيا المعلومات والرعاية الصحية.
في 9 نوفمبر ، قال eSentire إن فريق البحث عن التهديدات قد لاحظ أن مشغل BatLoader يجذب الضحايا إلى مواقع الويب التي تتنكر في شكل صفحات تنزيل لبرامج الأعمال الشهيرة مثل LogMeIn و Zoom و TeamViewer و AnyDesk. قام ممثل التهديد بتوزيع روابط لهذه المواقع عبر الإعلانات التي ظهرت بشكل بارز في نتائج محرك البحث عندما بحث المستخدمون عن أي من منتجات البرامج هذه.
قال بائع الأمن إنه في إحدى حادثة أواخر أكتوبر ، وصل عميل eSentire إلى صفحة تنزيل LogMeIn وهمية وقام بتنزيل برنامج تثبيت Windows الذي ، من بين أمور أخرى ، يقوم بتوصيف النظام ويستخدم المعلومات لاسترداد حمولة المرحلة الثانية.
"ما يجعل BatLoader مثيرًا للاهتمام هو أنه يحتوي على منطق مدمج فيه يحدد ما إذا كان الكمبيوتر الضحية هو جهاز كمبيوتر شخصي أم كمبيوتر شركة" ، كما يقول Keegan Keplinger ، رئيس البحث والتقرير مع فريق البحث في TRU في eSentire. "ثم يسقط نوع البرامج الضارة المناسبة للموقف."
تسليم الحمولة الانتقائي
على سبيل المثال ، إذا اصطدم BatLoader بجهاز كمبيوتر شخصي ، فإنه يقوم بتنزيل البرامج الضارة المصرفية Ursnif و Vidar للمعلومات. إذا اصطدمت بجهاز كمبيوتر متصل بمجال أو شركة ، فإنه يقوم بتنزيل Cobalt Strike وأداة Syncro للمراقبة والإدارة عن بُعد ، بالإضافة إلى حصان طروادة المصرفي وسرقة المعلومات.
يقول كيجان: "إذا هبطت BatLoader على جهاز كمبيوتر شخصي ، فسيتم المضي قدمًا في عمليات الاحتيال ، واستدراج المعلومات ، والحمولات المصرفية مثل Ursnif". "إذا اكتشف BatLoader أنه في بيئة تنظيمية ، فسيواصل استخدام أدوات التطفل مثل Cobalt Strike و Syncro."
يقول كيجان إن eSentire قد لاحظ "الكثير" من الهجمات الإلكترونية الأخيرة التي شملت BatLoader. معظم الهجمات انتهازية وتضرب أي شخص يبحث عن أدوات برمجية مجانية موثوقة وشائعة.
"للوقوف أمام المؤسسات ، يستفيد BatLoader من الإعلانات المسمومة بحيث عندما يبحث الموظفون عن برامج مجانية موثوق بها ، مثل LogMeIn و Zoom ، فإنهم بدلاً من ذلك يهبطون على مواقع يسيطر عليها المهاجمون ، ويقدمون BatLoader."
يتداخل مع Conti و ZLoader
قال VMware Carbon Black أنه على الرغم من وجود العديد من جوانب حملة BatLoader الفريدة ، إلا أن هناك أيضًا العديد من سمات سلسلة الهجوم التي تشبه عملية Conti ransomware.
تتضمن التداخلات عنوان IP الذي استخدمته مجموعة Conti في حملة تستفيد من ثغرة Log4j ، واستخدام أداة إدارة عن بُعد تسمى Atera استخدمتها شركة Conti في العمليات السابقة.
بالإضافة إلى أوجه التشابه مع Conti ، يحتوي BatLoader أيضًا على العديد من التداخلات مع زلودر ، حصان طروادة مصرفي يبدو أن هذا مستمد من حصان طروادة المصرفي زيوس في أوائل العقد الأول من القرن الحادي والعشرين ، كما قال بائع الأمن. تشمل أكبر أوجه التشابه هناك استخدام تسمم مُحسّنات محرّكات البحث لجذب الضحايا إلى مواقع الويب المحملة بالبرامج الضارة ، واستخدام Windows Installer لإنشاء موطئ قدم أولي واستخدام PowerShell والبرامج النصية الدفعية وثنائيات نظام التشغيل الأصلية الأخرى أثناء سلسلة الهجوم.
كان Mandiant أول من قدم تقريرًا عن BatLoader. في منشور مدونة في فبراير ، أبلغ مورد الأمان عن ملاحظة ممثل تهديد باستخدام "تثبيت تطبيقات الإنتاجية المجانية" و "تثبيت أدوات تطوير البرامج المجانية" ككلمات رئيسية لتحسين محركات البحث لجذب المستخدمين لتنزيل المواقع.
"كانت تسوية BatLoader الأولية هذه هي بداية سلسلة عدوى متعددة المراحل التي توفر للمهاجمين موطئ قدم داخل المنظمة المستهدفة "، قال مانديانت. استخدم المهاجمون كل مرحلة لإعداد المرحلة التالية من سلسلة الهجوم باستخدام أدوات مثل PowerShell و Msiexec.exe و Mshta.exe لتجنب الاكتشاف.
- كوينسمارت. أفضل بورصة للبيتكوين والعملات المشفرة في أوروبا.انقر هنا لمعرفة ذلك
- بلاتوبلوكشين. Web3 Metaverse Intelligence. تضخيم المعرفة. الوصول هنا.
- المصدر https://www.darkreading.com/attacks-breaches/researchers-alarm-batloader-malware-dropper
