محققان امنیت سایبری چهارمین مورد جدید مخرب را کشف کرده‌اند که برای پخش بدافزار روی رایانه‌های دیگر در شبکه‌های قربانیان طراحی شده است که به عنوان بخشی از حمله زنجیره‌ای SolarWinds در اواخر سال گذشته به کار گرفته شده است.

این بدافزار که توسط سیمانتک Raindrop لقب گرفته است، به سایر ابزارهای مخرب مانند Sunspot ، Sunburst (یا Solorigate) و Teardrop که به طور پنهانی به شبکه‌های سازمانی تحویل داده شده بودند می‌پیوندد.
محققان Symantec گفتند: کشف Raindrop گام مهمی در تحقیقات ما در مورد حملات SolarWinds است زیرا اطلاعات بیشتری در مورد فعالیت در سازمان‌های مورد علاقه مهاجمان فراهم می‌کند.
این شرکت امنیت سایبری گفت که تنها چهار نمونه از Raindrop تا به امروز کشف شده است که برای تحویل Cobalt Strike Beacon استفاده شده است. یک Memory Backdoor که قادر به اجرای دستور، ورود به سیستم، انتقال پرونده، افزایش امتیاز و اسکن پورت است.

سیمانتک ماه گذشته بیش از ۲۰۰۰ سیستم متعلق به ۱۰۰ مشتری را که بروزرسانی تروجان شده SolarWinds Orion را دریافت کرده بودند، با اهداف انتخابی آلوده به محموله مرحله دوم به نام Teardrop که برای نصب Cobalt Strike Beacon نیز استفاده می‌شود کشف کرده است.

برای دیدن سایز بزرگ روی عکس کلیک کنید
نام: raindrop-malware.jpg
مشاهده: 32
حجم: 58.9 کیلو بایت

در حالی که از Teardrop در رایانه‌هایی استفاده شده بود که توسط Trojan Sunburst اصلی آلوده شده بودند، Raindrop در جای دیگری از شبکه ظاهر شد و توسط مهاجمان برای حرکت جانبی و استقرار Payloadها در رایانه‌های دیگر مورد استفاده قرار گرفت.
شایان ذکر است که مهاجمان از بدافزار Sunspot به طور انحصاری علیه SolarWinds در سپتامبر ۲۰۱۹ استفاده کردند تا محیط ساخت آن را به خطر بیندازند و Sunburst Trojan را به سیستم نظارت بر شبکه Orion خود تزریق کنند، سپس نرم‌افزار آلوده به ۱۸۰۰۰ مشتری این شرکت تحویل داده شد.
​​​
اکنون (Raindrop (bproxy.dll به ترکیب حمله می‌پیوندد. در حالی که هر دو بدافزار Teardrop و Raindrop به عنوان یک قطره چکان برای Cobalt Strike Beacon عمل می‌کنند اما از جهات مختلفی نیز متفاوت هستند.
برای شروع، Teardrop مستقیماً توسط Backdoor اولیه Sunburst تحویل داده می‌شود، در حالی که به نظر می‌رسد Raindrop با هدف گسترش در شبکه قربانیان مستقر شده باشد. علاوه بر این بدافزار در شبکه‌هایی نشان داده می‌شود که حداقل یک رایانه قبلاً توسط Sunburst به خطر افتاده است‌، بدون اینکه نشانه‌ای از نصب Sunburst باشد.
این دو نوع بدافزار همچنین از تنظیمات Cobalt Strike استفاده می‌کنند.

سیمانتک قادر به شناسایی سازمان‌های تحت تأثیر Raindrop نبوده است اما گفت که این نمونه‌ها در یک سیستم قربانی که در حال اجرای نرم‌افزار دسترسی و مدیریت رایانه بوده و در دستگاهی که برای اجرای دستورات PowerShell برای آلوده کردن رایانه‌های اضافی در سازمان با همان بدافزار کشف شده است، پیدا شده‌اند.


دوست داشتید؟ لطفا با دوستان خود به اشتراک بگذارید.

75

یک نظر

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *