تم إنشاء روابط محتملة بين حل برمجيات الجريمة كخدمة (Caas) القائم على الاشتراك ونسخة متصدعة من Cobalt Strike فيما يشتبه الباحثون أنه يتم تقديمه كأداة لعملائها لتنظيم أنشطة ما بعد الاستغلال.
محب العمل، كما تسمى الخدمة ، ظهرت لأول مرة في أغسطس 2021 عندما كشفت شركة الأمن السيبراني Group-IB عن تفاصيل حملات توزيع البرامج الضارة التي تقوم بها مجموعات مجرمي الإنترنت لتوزيع Campo Loader و Hancitor و IcedID و QBot و Buer Loader و SocGholish في بلجيكا و الولايات المتحدة
بتكلفة 250 دولارًا شهريًا ، يتم تسويقها في المنتديات الروسية السرية كنظام توجيه حركة المرور (TDS) لتمكين إعادة توجيه التصيد الاحتيالي على نطاق واسع إلى الصفحات المقصودة المارقة المصممة لنشر حمولات البرامج الضارة على الأنظمة المستهدفة.
"يمكن اعتبار بروميثيوس خدمة / نظام أساسي كامل الجسم يسمح لمجموعات التهديد بتزويد برامجهم الضارة أو عمليات التصيد الاحتيالي بسهولة ،" فريق BlackBerry Research and Intelligence Team محمد في تقرير مشترك مع The Hacker News. "تشتمل المكونات الرئيسية لـ Prometheus على شبكة من البنية التحتية الضارة وتوزيع البريد الإلكتروني الضار واستضافة الملفات غير المشروعة من خلال خدمات مشروعة وإعادة توجيه حركة المرور والقدرة على تسليم الملفات الضارة."
عادةً ما يتم توجيه إعادة التوجيه من أحد مصدرين رئيسيين ، أي بمساعدة الإعلانات الخبيثة (المعروفة أيضًا باسم الإعلانات الخبيثة) على مواقع الويب الشرعية ، أو عبر مواقع الويب التي تم العبث بها لإدخال تعليمات برمجية ضارة.
في حالة Prometheus ، تبدأ سلسلة الهجوم برسالة بريد إلكتروني غير مرغوب فيها تحتوي على ملف HTML أو صفحة محرّر مستندات Google والتي ، عند التفاعل ، تعيد توجيه الضحية إلى موقع ويب مخترق يستضيف بابًا خلفيًا لـ PHP يقوم ببصمات أصابع الجهاز لتحديد ما إذا كان يجب "خدمة ضحية ببرامج ضارة أو إعادة توجيههم إلى صفحة أخرى قد تحتوي على عملية تصيد احتيالي ".
يُقال إن أقدم نشاط مرتبط بمشغلي الخدمة ، الذين يستخدمون اسم "Ma1n" في منتديات القرصنة ، قد بدأ في أكتوبر 2018 ، مع ربط المؤلف بأدوات غير مشروعة أخرى تقدم عمليات إعادة توجيه عالية الجودة ومجموعات PowerMTA لإرسالها بالبريد إلى الشركات صناديق البريد ، قبل طرح Prometheus TDS للبيع في 22 سبتمبر 2020.
هذا ليس كل شئ. وجد BlackBerry أيضًا تداخلات بين النشاط المرتبط بـ Prometheus ونسخة غير شرعية من إضراب الكوبالت برنامج محاكاة الخصم ومحاكاة التهديد ، مما يزيد من احتمال "انتشار النسخة من قبل مشغلي بروميثيوس أنفسهم."
قال الباحثون: "من المحتمل أن يكون شخص ما مرتبط بـ Prometheus TDS يحتفظ بهذه النسخة المتصدعة ويقدمها عند الشراء". "من الممكن أيضًا أن يتم توفير هذا التثبيت المتصدع كجزء من دليل التشغيل القياسي أو تثبيت الجهاز الظاهري (VM)."
ومما يثبت ذلك حقيقة أن عددًا من الجهات الفاعلة في التهديد ، بما في ذلك DarkCrystal RAT ، فيكرستيلر, FIN7, ققبوتو IceID ، بالإضافة إلى كارتلات برامج الفدية مثل REvil و Ryuk (Wizard Spider) ، مادة سوداء، و Cerber ، النسخة المكسورة المعنية خلال العامين الماضيين.
علاوة على ذلك ، تمت ملاحظة نفس Cobalt Strike Beacon بالاقتران مع الأنشطة المرتبطة بوسيط الوصول الأولي الذي تم تتبعه على أنه Zebra2104، التي تم استخدام خدماتها بواسطة مجموعات مثل StrongPity و MountLocker و Phobos في حملاتهم الخاصة.
وأشار الباحثون إلى أنه "على الرغم من أن TDS ليست مفهومًا جديدًا ، إلا أن مستوى التعقيد والدعم والتكلفة المالية المنخفضة يضيف مصداقية إلى النظرية القائلة بأن هذا الاتجاه من المرجح أن يرتفع في مشهد التهديد في المستقبل القريب".
"يتحدث حجم المجموعات التي تستخدم عروض مثل Prometheus TDS ، عن نجاح وفعالية هذه البنية التحتية غير المشروعة لخدمات التوظيف ، والتي تعد في جوهرها مؤسسات كاملة الأهلية تدعم الأنشطة الضارة للمجموعات بغض النظر عن حجمها ومستواها من الموارد أو الدوافع ".
المصدر: https://thehackernews.com/2022/01/russian-hackers-heavily-using-malicious.html
