يبدأ بشكل عام بالإعلان الخبيث وينتهي بنشر Royal ransomware ، لكن مجموعة تهديد جديدة ميزت نفسها من خلال قدرتها على ابتكار خطوات ضارة بينهما لجذب أهداف جديدة.
مجموعة الهجمات الإلكترونية ، التي تتبعها Microsoft Security Threat Intelligence باسم DEV-0569 ، جديرة بالملاحظة لقدرتها على التحسين المستمر للاكتشاف والتهرب من الاكتشاف وحمولات ما بعد الاختراق ، وفقًا لتقرير صدر هذا الأسبوع من شركة الحوسبة العملاقة.
“DEV-0569 يعتمد بشكل خاص على malvertisingوروابط التصيد التي تشير إلى أداة تنزيل برامج ضارة تتظاهر بأنها مثبتات برامج أو تحديثات مضمنة في رسائل البريد الإلكتروني العشوائية وصفحات المنتديات المزيفة وتعليقات المدونات ".
في غضون بضعة أشهر فقط ، لاحظ فريق Microsoft ابتكارات المجموعة ، بما في ذلك إخفاء الروابط الخبيثة في نماذج الاتصال الخاصة بالمؤسسات ؛ دفن أدوات التثبيت المزيفة في مواقع التنزيل والمستودعات الشرعية ؛ واستخدام إعلانات جوجل في حملاتها للتمويه على أنشطتها الخبيثة.
وأضاف فريق Microsoft: "يستخدم نشاط DEV-0569 ثنائيات موقعة ويقدم حمولات مشفرة من البرامج الضارة". "المجموعة ، المعروفة أيضًا بالاعتماد بشكل كبير على تقنيات التهرب الدفاعي ، استمرت في استخدام أداة المصدر المفتوح Nsudo لمحاولة تعطيل حلول مكافحة الفيروسات في الحملات الأخيرة."
مواقف نجاح المجموعة ديف-0569 ليكون بمثابة وسيط وصول لعمليات الفدية الأخرى ، قال Microsoft Security.
كيفية مكافحة براعة الهجمات الإلكترونية
وبغض النظر عن الحيل الجديدة ، يشير مايك باركين ، كبير المهندسين التقنيين في شركة Vulcan Cyber ، إلى أن مجموعة التهديد تقوم بالفعل بإجراء تعديلات على حدود تكتيكات حملتها ، ولكنها تعتمد باستمرار على المستخدمين لارتكاب الأخطاء. وبالتالي ، بالنسبة للدفاع ، فإن تعليم المستخدم هو المفتاح ، كما يقول.
يقول باركين لـ Dark Reading: "تعتمد هجمات التصيد والإعلانات الخبيثة المبلغ عنها هنا بشكل كامل على جعل المستخدمين يتفاعلون مع الإغراء". "مما يعني أنه إذا لم يتفاعل المستخدم ، فلا يوجد خرق".
ويضيف: "تحتاج فرق الأمان إلى البقاء في طليعة أحدث عمليات الاستغلال والبرامج الضارة التي يتم نشرها في البرية ، ولكن لا يزال هناك عنصر من تعليم المستخدم وتوعيته مطلوب ، وسيظل مطلوبًا دائمًا ، لتحويل مجتمع المستخدمين عن المجتمع الأساسي الهجوم على خط دفاع متين ".
يبدو بالتأكيد جعل المستخدمين منيعين عن الإغراءات بمثابة استراتيجية قوية ، لكن كريس كليمنتس ، نائب رئيس هندسة الحلول في شركة Cerberus Sentinel ، قال لـ Dark Reading إنه "غير واقعي وغير عادل" أن نتوقع من المستخدمين أن يحافظوا على يقظتهم بنسبة 100٪ في مواجهة التواصل الاجتماعي المقنع بشكل متزايد حيل هندسية. ويوضح أنه بدلاً من ذلك ، يلزم اتباع نهج أكثر شمولية للأمن.
يقول كليمنتس: "يقع على عاتق الفرق الفنية والأمن السيبراني في مؤسسة ما ضمان ألا يؤدي اختراق مستخدم واحد إلى ضرر تنظيمي واسع النطاق من أهداف الجريمة الإلكترونية الأكثر شيوعًا المتمثلة في سرقة البيانات الجماعية وبرامج الفدية".
IAM الضوابط المسألة
يوصي روبرت هيوز ، CISO في RSA ، بالبدء بضوابط إدارة الهوية والوصول (IAM).
"يمكن أن تساعد إدارة الهوية والوصول القوية في التحكم في الانتشار الجانبي للبرامج الضارة والحد من تأثيرها ، حتى بعد حدوث فشل على مستوى منع البرامج الضارة البشرية ونقطة النهاية ، مثل منع الشخص المصرح له من النقر فوق ارتباط وتثبيت البرامج المسموح لهم بها تثبيت ، "قال هيوز لقراءة الظلام. "بمجرد التأكد من أن بياناتك وهوياتك آمنة ، لن تكون تداعيات هجوم برامج الفدية ضارة - ولن يكون هناك جهد كبير لإعادة صورة نقطة نهاية."
يوافقه الرأي فيل نيراي من CardinalOps. وأوضح أن التكتيكات مثل إعلانات Google الخبيثة يصعب الدفاع عنها ، لذلك يجب على فرق الأمان أيضًا التركيز على تقليل التداعيات بمجرد حدوث هجوم فدية.
"هذا يعني التأكد من أن شركة نفط الجنوب لديها عمليات رصد مطبقة للسلوك المشبوه أو غير المصرح به ، مثل تصعيد الامتيازات واستخدام أدوات إدارية للعيش خارج الأرض مثل PowerShell وأدوات الإدارة عن بُعد ، كما يقول نيراي.
- كوينسمارت. أفضل بورصة للبيتكوين والعملات المشفرة في أوروبا.انقر هنا لمعرفة ذلك
- بلاتوبلوكشين. Web3 Metaverse Intelligence. تضخيم المعرفة. الوصول هنا.
- المصدر https://www.darkreading.com/endpoint/dev-0569-ransomware-group-remarkably-innovative-microsoft-cautions
