افشای ساختار و عملکرد درونی باند جنایت سایبری میلیارد دلاری Wizard Spider
اخبار داغ فناوری اطلاعات و امنیت شبکه
عملکرد سازمانی و درونی یک گروه مجرم سایبری معروف به Wizard Spider یا عنکبوت جادوگر فاش شده است که ساختار سازمانی و انگیزههای آن را روشن میکند.
شرکت امنیت سایبری سوئیسی PRODAFT در گزارش جدیدی که با هکرنیوز به اشتراک گذاشته شده، گفت: "بیشتر تلاشهای Wizard Spider با یک ابزار کرک ویژه که توسط برخی از مهاجمان آنها برای نقض اهداف با ارزش استفاده میشود، به هک کردن مشاغل اروپایی و آمریکایی میپردازد. بخشی از پولی که آنها به دست میآورند برای توسعه ابزارها و پتانسیلهای جدید به پروژه بازگردانده میشود".
گروه Wizard Spider، همچنین به عنوان Gold Blackburn شناخته میشود و تصور میشود که در خارج از روسیه فعالیت میکند و به یک عامل تهدید با انگیزه مالی اشاره دارد که به باتنت TrickBot، یک بدافزار مدولار که در اوایل سال جاری به طور رسمی به نفع بدافزارهای بهبود یافتهای مانند BazarBackdoor، به طور رسمی متوقف شد، مرتبط است.
اما این همه ماجرا نیست. اپراتورهای TrickBot همچنین به طور گسترده با Conti، یکی دیگر از گروههای جرایم سایبری مرتبط با روسیه که به دلیل ارائه پکیجهای ransomware-as-a-service به شرکتهای وابسته خود بدنام است، همکاری کردهاند.
گروه Gold Ulrick (با نام مستعار Grim Spider)، به عنوان گروهی که مسئول توزیع باجافزار Conti (که قبلاً Ryuk بوده است) نامیده میشود، از لحاظ تاریخی و تقویمی، از دسترسی اولیه ارائه شده توسط TrickBot برای استقرار باجافزار در برابر شبکههای هدف استفاده کرده است.
شرکت امنیت سایبری Secureworks در پروفایلی از سندیکای مجرمان سایبری خاطرنشان کرده است: «Gold Ulrick از برخی یا همه اپراتورهای مشابه Gold Blackburn، که همان گروه تهدید مسئول توزیع بدافزارهایی مانند TrickBot، BazarLoader و Beur Loader است، تشکیل شده است".
همچنین PRODAFT با بیان اینکه این گروه "قادر به کسب درآمد از جنبههای مختلف عملیات خود" است، بر توانایی دشمن برای گسترش جرایم سازمانیافته خود تأکید کرد، که به گفته او با "سودآوری فوقالعاده" این باند امکانپذیر شده است.
زنجیرههای حمله معمولی که گروه را درگیر میکند با کمپینهای هرزنامه شروع میشود که بدافزارهایی مانند Qakbot (معروف به QBot) و SystemBC را توزیع میکنند و از آنها بهعنوان سکوی پرتاب برای استقرار ابزارهای اضافی، از جمله Cobalt Strike برای حرکت جانبی، قبل از اجرای نرمافزار قفلگذاری استفاده میکنند.
گروه Wizard Spider علاوه بر استفاده از ابزارهای متعدد برای سرقت مدارک و اعتبارنامهها، به استفاده از یک جعبه ابزار بهرهبرداری که از آسیبپذیریهای امنیتی شناخته شده مانند Log4Shell برای به دست آوردن جایگاه اولیه در شبکههای قربانی استفاده میکند، شناخته شده است.
همچنین یک کرک استیشن است که میزبان هشهای کرک شده مرتبط با اعتبارنامههای دامین، تیکتهای Kerberos و فایلهای KeePass و غیره است.
علاوه بر این، این گروه روی یک راهاندازی سفارشی VoIP سرمایهگذاری کرده است که در آن اپراتورهای تلفنی استخدام شده با قربانیان تماس جعلی میگیرند تا پس از حمله باجافزاری فشار بیشتری وارد کرده و آنها را مجبور به پرداخت باج کنند.
این اولین بار نیست که این گروه به چنین تاکتیکی متوسل میشود. سال گذشته، مایکرؤسافت یک کمپین BazarLoader به نام BazaCall را شرح داد که از مراکز تماس ساختگی برای فریب قربانیان ناآگاه برای نصب باجافزار بر روی سیستمهایشان استفاده میکرد.
محققان گفتند: "این گروه تعداد زیادی دستگاه در معرض خطر را تحت فرمان خود دارد و از یک ساختار کار بسیار حرفهای توزیع شده برای حفظ امنیت و سرعت عملیاتی بالا استفاده میکند".
این دستگاه مسئول حجم عظیمی از هرزنامه در صدها میلیارد دستگاه، و همچنین نقض متمرکز دادهها و حملات باجافزار به اهداف با ارزش است.
برچسب ها: BazaCall, VoIP, KeePass, Kerberos, Beur Loader, Grim Spider, BazarBackdoor, Gold Blackburn, عنکبوت جادوگر, Gold Ulrick, SystemBC, Qbot, نرمافزار, Log4j, Log4Shell, مجرم سایبری, Russia, باتنت, Qakbot, باجافزار, Secureworks, Ransomware-as-a-Service, Cobalt Strike, Wizard Spider, Conti, اعتبارنامه, Credentials, Ryuk, جرایم سایبری, cybersecurity, malware, ransomware , Trickbot, Botnet, روسیه, بدافزار, امنیت سایبری, Cyber Attacks, حمله سایبری