عندما تميز صناعة الأمن مشهد تهديد الجريمة الإلكترونية ، هناك إغراء للتركيز على عمليات الاحتيال اليومية والجانب الكبير الحجم من مشهد التهديد الإجرامي. هؤلاء المجرمون لا يهتمون بالأهداف إذا كانت هناك مكافآت مالية في النهاية. ومن الأمثلة الواضحة على هذه الأنواع من عمليات الاحتيال البرامج الضارة الموزعة على نطاق واسع والتي تهدف إلى سرقة بيانات اعتماد الحساب المصرفي والفدية التي يتم نشرها من خلال حملات تصيد البريد العشوائي على نطاق واسع.
يمكن لهؤلاء المجرمين كسب دخل لائق بمرور الوقت من خلال "الأسماك المالية" الصغيرة من خلال عمليات الاحتيال الانتهازية. ومع ذلك ، فإن بعض مجرمي الإنترنت يضعون أهدافهم أعلى ويركزون على أسماك أكبر بكثير. لاحظ باحثو Secureworks® Counter Threat Unit ™ (CTU) تهديدًا متزايدًا من الجهات الفاعلة المهددة المتطورة التي تسعى إلى تحقيق أهداف عالية القيمة مثل البنوك وشركات الخدمات المالية ولديها القدرة على استغلال الوصول إلى أنظمة الدفع والأنظمة المالية الأخرى وتحويلها إلى نقود. يطلق باحثو CTU ™ على إحدى مجموعات التهديد هذه اسم GOLD KINGSWOOD.
غولد كينغسوود: مجموعة متقدّمة من الجرائم الإلكترونية الثابتة
GOLD KINGSWOOD (تُعرف أيضًا باسم Cobalt Gang) هي مجموعة تهديدات إجرامية قادرة ومتطورة ولديها دوافع مالية والتي نجحت في اختراق المؤسسات المالية منذ عام 2016 على الأقل. كن نقدا. اعتبارًا من مارس 2018 ، كان لدى الجهات الفاعلة التهديد يقال سرقت ما يقرب من 1.2 مليار دولار أمريكي من خلال عملياتها العالمية. على عكس معظم الجهات الفاعلة في الجريمة الإلكترونية ذات الدوافع الإجرامية التي لاحظها باحثو CTU ، فإن تكتيكات وتقنيات وإجراءات GOLD KINGSWOOD (TTPs) تشبه سمات الجهات الفاعلة التقليدية التي ترعاها الحكومة أو الجهات المدفوعة بالتجسس. على سبيل المثال ، في العمليات ضد البنك التجاري الأول (FCB) التايواني ، استخدم GOLD KINGSWOOD برامج ضارة مخصصة استفادت من ملف CSCWCNG.dll الخاص بأجهزة الصراف الآلي المستخدمة في FCB. بعد تلقي تأكيد على مواقع أجهزة الصراف الآلي حيث كانت تنتظر البغال ، نفذ ممثلو التهديدات أوامر بصرف الأموال من الآلات. أظهر هذا الحادث الموارد الفنية والبشرية الهائلة لـ GOLD KINGSWOOD.
يقدم GOLD KINGSWOOD لعبة SpicyOmelette
في عام 2018 ، لاحظ باحثو CTU العديد من حملات GOLD KINGSWOOD التي تنطوي على SpicyOmelette ، وهي أداة تستخدمها المجموعة خلال الاستغلال الأولي لمنظمة. يتم تقديم أداة الوصول عن بُعد JavaScript المتقدمة هذه عمومًا عبر التصيد الاحتيالي ، وهي تستخدم تقنيات تهرب دفاعية متعددة لإعاقة أنشطة الوقاية والكشف. قام GOLD KINGSWOOD بتسليم SpicyOmelette من خلال رسالة بريد إلكتروني تصيّد تحتوي على رابط مختصر يبدو أنه مرفق مستند PDF. عند النقر فوقها ، استخدم الرابط تطبيق Google AppEngine لإعادة توجيه النظام إلى عنوان URL لخدمات الويب من خلال موقع الويب الخاص بـ Amazon (WebS) التي تسيطر عليها GOLD KINGSWOOD والذي قام بتثبيت ملف JavaScript موقَّع ، وهو SpicyOmelette.
كشف تحليل CTU لإحدى حملات GOLD KINGSWOOD باستخدام SpicyOmelette (DOC2018.js) عن طرق متطورة إضافية للتنازل عن الأهداف. تم استخدام شهادة رقمية صالحة لتوقيع البرنامج النصي الضار. يدعم Windows Scripting Host تضمين التوقيعات الرقمية ، ويوضح الشكل 2 كيفية إلحاق التوقيع بالبرنامج النصي. اعتمادًا على الملف الشخصي الأمني لنظام الضحية ، ربما حذر إشعار منبثق من تشغيل محتوى خارجي. ومع ذلك ، كان النظام قد أشار أيضًا إلى أن البرنامج النصي تم توقيعه من قبل مرجع مصدق صالح وموثوق (CA). كما قامت SpicyOmelette بتمرير المعلمات إلى أداة Microsoft صالحة ، والتي سمحت للجهات المسؤولة عن التهديد بتنفيذ تعليمات JavaScript عشوائية على نظام مُخترق وتجاوز العديد من دفاعات تطبيق القائمة البيضاء.
الشكل 1. سلسلة العدوى SpicyOmelette. (المصدر: Secureworks)
بمجرد التثبيت ، يوفر SpicyOmelette موطئ قدم مثالي على نظام مستهدف لـ GOLD KINGSWOOD. أنها تمكن الجهات الفاعلة التهديد لأداء مختلف الإجراءات:
- تعريف النظام المصاب للحصول على معلومات (مثل تشغيل البرامج واسم النظام وعنوان IP)
- تثبيت برامج ضارة إضافية على النظام
- تحقق من وجود 29 أداة مختلفة لمكافحة الفيروسات
يساعد الوصول الذي توفره SpicyOmelette وغيرها من أدوات ما بعد التسوية التي تستخدمها GOLD KINGSWOOD بانتظام الجهات الفاعلة في التهديدات على تصعيد الامتيازات على نظام ما من خلال سرقة بيانات اعتماد الحساب ، ومسح وتقييم البيئة المعرضة للخطر ، وتحديد الأنظمة المرغوبة (مثل أنظمة الدفع وبوابات الدفع وأجهزة الصراف الآلي الأنظمة) ، ونشر البرامج الضارة المصممة خصيصًا لاستهداف هذه الأنظمة.
وفي الختام
تنبع الطبيعة "المتقدمة" لعمليات اقتحام GOLD KINGSWOOD من الرعاية والتركيز الذي يظهره الممثلون المهددون ، وتحديدًا العثور على أنظمة الاهتمام والوصول إليها. لم تمنع عمليات القبض على مشغلي GOLD KINGSWOOD المشتبه بهم في مارس 2018 حملات جماعة التهديد ، على الأرجح بسبب شبكة مواردها الواسعة. يتوقع باحثو CTU استمرار عمليات وعمليات مجموعة أدوات GOLD KINGSWOOD ، وقد تتعرض المؤسسات المالية من جميع الأحجام والمناطق الجغرافية لتهديدات من هذه المجموعة. إن الفهم التفصيلي لمجموعة التهديد للأنظمة المالية وتاريخ الحملات الناجحة يجعلها تهديدًا هائلاً.
