الدافع المادي ممثل FIN8، على الأرجح ، عادت إلى الظهور بسلسلة من برامج الفدية لم يسبق لها مثيل تسمى "الأرنب الأبيض"التي تم نشرها مؤخرًا ضد بنك محلي في الولايات المتحدة في ديسمبر 2021.
هذا وفقًا للنتائج الجديدة التي نشرتها Trend Micro ، والتي تستدعي تداخل البرامج الضارة مع Egregor ، والتي تم إزالتها من قبل سلطات إنفاذ القانون الأوكرانية في فبراير 2021.
"أحد أبرز جوانب هجوم White Rabbit هو كيف أن ملف الحمولة الثنائي يتطلب كلمة مرور محددة لسطر الأوامر لفك تشفير التكوين الداخلي الخاص به والمضي قدمًا في روتين برامج الفدية" ، كما قال الباحثون وأشار. "هذه الطريقة لإخفاء النشاط الضار هي خدعة تستخدمها مجموعة برامج الفدية Egregor لإخفاء تقنيات البرامج الضارة من التحليل."
يُعتقد على نطاق واسع أن Egregor ، التي بدأت عملياتها في سبتمبر 2020 حتى تعرضت عملياتها لضربة كبيرة ، هي a تناسخ المتاهة، التي أغلقت مشروعها الإجرامي في وقت لاحق من ذلك العام.
إلى جانب أخذ ورقة من كتاب اللعب في Egregor ، يلتزم White Rabbit بمخطط الابتزاز المزدوج ويُعتقد أنه تم تسليمه عبر Cobalt Strike ، وهو إطار عمل بعد الاستغلال يتم استخدامه من قبل الجهات الفاعلة في التهديد لاستكشاف ، والتسلل ، وإسقاط الحمولات الخبيثة في النظام المصاب.
يشير الابتزاز المزدوج ، المعروف أيضًا باسم الدفع الآن أو الحصول على الخرق ، إلى إستراتيجية برامج الفدية الشائعة بشكل متزايد والتي يتم فيها إخراج البيانات القيمة من الأهداف قبل إطلاق روتين التشفير ، متبوعًا بالضغط على الضحايا لدفع ما يصل لمنع المعلومات المسروقة من النشر على الإنترنت.
وبالفعل ، فإن مذكرة الفدية التي تظهر بعد إتمام عملية التشفير تحذر الضحية من أنه سيتم نشر بياناتها أو بيعها بمجرد انقضاء مهلة الأربعة أيام لتلبية مطالبهم. وتضيف المذكرة: "سنرسل البيانات أيضًا إلى جميع المنظمات الإشرافية ووسائل الإعلام المهتمة".
على الرغم من أن الهجمات الواقعية التي تنطوي على White Rabbit قد اكتسبت الاهتمام مؤخرًا فقط ، إلا أن أدلة الطب الشرعي الرقمية تجمع معًا نقطة تتبعها لسلسلة من الأنشطة الخبيثة التي بدأت في وقت مبكر من يوليو 2021.
علاوة على ذلك ، يُظهر تحليل عينات برامج الفدية التي يعود تاريخها إلى أغسطس 2021 أن البرنامج الضار هو نسخة محدثة من ساردونيك الباب الخلفي، والذي وصفه Bitdefender العام الماضي بأنه برنامج ضار مطور بشكل نشط تمت مواجهته في أعقاب هجوم غير ناجح استهدف مؤسسة مالية في الولايات المتحدة
"العلاقة الدقيقة بين مجموعة White Rabbit Group و FIN8 غير معروفة حاليًا ،" شركة الأمن السيبراني Lodestone محمد، مضيفًا أنه وجد "عددًا من TTPs يشير إلى أن White Rabbit ، إذا كان يعمل بشكل مستقل عن FIN8 ، لديه علاقة وثيقة مع مجموعة التهديد الأكثر رسوخًا أو يقلدها."
وقالت تريند مايكرو: "نظرًا لأن FIN8 معروفة في الغالب بأدوات التسلل والاستطلاع ، فقد يكون الاتصال مؤشراً على كيفية قيام المجموعة بتوسيع ترسانتها لتشمل برامج الفدية". "حتى الآن ، كانت أهداف White Rabbit قليلة ، مما قد يعني أنها لا تزال تختبر المياه أو تستعد لهجوم واسع النطاق."
المصدر: https://thehackernews.com/2022/01/fin8-hackers-spotted-using-new-white.html
