محققان امنیت سایبری گفتند که آنها اولین حملات زنجیره تامین نرم افزار منبع باز است که به طور خاص بخش بانکی را هدف قرار می دهد، کشف کرده اند.
چکمارکس در گزارشی که هفته گذشته منتشر شد، گفت: «این حملات تکنیکهای پیشرفتهای را به نمایش گذاشتند، از جمله هدف قرار دادن اجزای خاص در داراییهای وب بانک قربانی با الصاق عملکردهای مخرب به آن».
مهاجمان از تاکتیکهای فریبندهای مانند ایجاد پروفایل جعلی لینکدین استفاده کردند تا مراکز فرماندهی و کنترل (C2) معتبر و سفارشیسازی شده را برای هر هدف به نمایش بگذارند و از خدمات قانونی برای فعالیتهای غیرقانونی سوء استفاده کنند.»
بسته های npm از آن زمان گزارش شده و حذف شده اند. نام بسته ها فاش نشده است.
در اولین حمله، گفته میشود که نویسنده بدافزار چند بسته را در اوایل آوریل 2023 با ظاهر شدن به عنوان کارمند بانک هدف در رجیستری npm آپلود کرده است. ماژول ها با یک اسکریپت از پیش نصب برای فعال کردن توالی عفونت همراه بودند. برای تکمیل این حقه، عامل تهدید پشت آن یک پروفایل جعلی لینکدین ایجاد کرد.
پس از راه اندازی، اسکریپت سیستم عامل میزبان را تعیین کرد تا ببیند آیا ویندوز، لینوکس یا macOS است و با استفاده از یک زیر دامنه در Azure که نام بانک مورد نظر را در خود جای داده بود، یک بدافزار مرحله دوم را از یک سرور راه دور دانلود کرد.
محققان Checkmarx میگویند: «مهاجم هوشمندانه از زیر دامنههای CDN Azure برای تحویل مؤثر بار دوم استفاده کرد. این تاکتیک بهویژه هوشمندانه است، زیرا به دلیل وضعیت Azure به عنوان یک سرویس قانونی، روشهای فهرست انکار سنتی را دور میزند.
محموله مرحله دوم مورد استفاده در نفوذ Havoc است، یک چارچوب فرمان و کنترل منبع باز (C2) که به طور فزاینده ای در معرض دید عوامل مخربی قرار گرفته است که به دنبال نادیده گرفتن تشخیص ناشی از استفاده از Cobalt Strike، Sliver و Brute Ratel هستند.
در یک حمله نامربوط که در فوریه 2023 شناسایی شد و بانک دیگری را هدف قرار داد، دشمن بستهای را در npm آپلود کرد که "بهدقت طراحی شده بود تا در وبسایت بانک قربانی ترکیب شود و تا زمانی که به عمل بیاید، خاموش بماند."
به طور خاص، برای رهگیری مخفیانه داده های ورود و استخراج جزئیات به یک زیرساخت تحت کنترل بازیگر طراحی شده است.
این شرکت گفت: "امنیت زنجیره تامین حول حفاظت از کل فرآیند ایجاد و توزیع نرم افزار، از مراحل ابتدایی توسعه تا تحویل به کاربر نهایی، می چرخد."
حملات زنجیره تامین نرم افزار
هنگامی که یک بسته منبع باز مخرب وارد خط لوله می شود، اساساً یک نقض آنی است - که هر اقدام متقابل بعدی را بی اثر می کند. به عبارت دیگر، آسیب وارد می شود.
F.A.C.C.T، بازوی روسی Group-IB گفت: این توسعه زمانی رخ می دهد که گروه جرایم سایبری روسی زبان RedCurl در نوامبر 2022 و مه 2023 به یک بانک بزرگ روسی و یک شرکت استرالیایی ناشناس نفوذ کرد تا اسرار شرکت و اطلاعات کارکنان را به عنوان بخشی از یک کمپین پیچیده فیشینگ مخفی کند.
این شرکت گفت: "طی چهار سال و نیم گذشته، گروه روسی زبان Red Curl [...] حداقل 34 حمله به شرکت هایی از بریتانیا، آلمان، کانادا، نروژ، اوکراین و استرالیا انجام داده است."
"بیش از نیمی از حملات - 20 - به روسیه انجام شد. در میان قربانیان جاسوسان سایبری شرکت های ساختمانی، مالی، مشاوره، خرده فروشان، بانک ها، بیمه و سازمان های حقوقی بودند."
موسسات مالی همچنین در انتهای حملات با استفاده از ابزار تزریق وب به نام drIBAN برای انجام تراکنشهای غیرمجاز از رایانه قربانی به شیوهای که تأیید هویت و مکانیسمهای ضد کلاهبرداری توسط بانکها را دور میزند، قرار گرفتهاند.
فدریکو والنتینی و الساندرو استرینو، محققین Cleafy در تحلیلی که در 18 ژوئیه 2023 منتشر شد، خاطرنشان کردند: «عملکرد اصلی drIBAN موتور ATS (سیستم انتقال خودکار) است.
"ATS کلاسی از تزریق های وب است که انتقالات بانکی مشروع انجام شده توسط کاربر را تغییر می دهد، ذینفع را تغییر می دهد و پول را به یک حساب بانکی غیرقانونی که توسط TA یا شرکت های وابسته کنترل می شود، منتقل می کند، که پس از آن مسئول رسیدگی و شستشوی پول سرقت شده هستند."
چکمارکس در گزارشی که هفته گذشته منتشر شد، گفت: «این حملات تکنیکهای پیشرفتهای را به نمایش گذاشتند، از جمله هدف قرار دادن اجزای خاص در داراییهای وب بانک قربانی با الصاق عملکردهای مخرب به آن».
مهاجمان از تاکتیکهای فریبندهای مانند ایجاد پروفایل جعلی لینکدین استفاده کردند تا مراکز فرماندهی و کنترل (C2) معتبر و سفارشیسازی شده را برای هر هدف به نمایش بگذارند و از خدمات قانونی برای فعالیتهای غیرقانونی سوء استفاده کنند.»
بسته های npm از آن زمان گزارش شده و حذف شده اند. نام بسته ها فاش نشده است.
در اولین حمله، گفته میشود که نویسنده بدافزار چند بسته را در اوایل آوریل 2023 با ظاهر شدن به عنوان کارمند بانک هدف در رجیستری npm آپلود کرده است. ماژول ها با یک اسکریپت از پیش نصب برای فعال کردن توالی عفونت همراه بودند. برای تکمیل این حقه، عامل تهدید پشت آن یک پروفایل جعلی لینکدین ایجاد کرد.
پس از راه اندازی، اسکریپت سیستم عامل میزبان را تعیین کرد تا ببیند آیا ویندوز، لینوکس یا macOS است و با استفاده از یک زیر دامنه در Azure که نام بانک مورد نظر را در خود جای داده بود، یک بدافزار مرحله دوم را از یک سرور راه دور دانلود کرد.
محققان Checkmarx میگویند: «مهاجم هوشمندانه از زیر دامنههای CDN Azure برای تحویل مؤثر بار دوم استفاده کرد. این تاکتیک بهویژه هوشمندانه است، زیرا به دلیل وضعیت Azure به عنوان یک سرویس قانونی، روشهای فهرست انکار سنتی را دور میزند.
محموله مرحله دوم مورد استفاده در نفوذ Havoc است، یک چارچوب فرمان و کنترل منبع باز (C2) که به طور فزاینده ای در معرض دید عوامل مخربی قرار گرفته است که به دنبال نادیده گرفتن تشخیص ناشی از استفاده از Cobalt Strike، Sliver و Brute Ratel هستند.
در یک حمله نامربوط که در فوریه 2023 شناسایی شد و بانک دیگری را هدف قرار داد، دشمن بستهای را در npm آپلود کرد که "بهدقت طراحی شده بود تا در وبسایت بانک قربانی ترکیب شود و تا زمانی که به عمل بیاید، خاموش بماند."
به طور خاص، برای رهگیری مخفیانه داده های ورود و استخراج جزئیات به یک زیرساخت تحت کنترل بازیگر طراحی شده است.
این شرکت گفت: "امنیت زنجیره تامین حول حفاظت از کل فرآیند ایجاد و توزیع نرم افزار، از مراحل ابتدایی توسعه تا تحویل به کاربر نهایی، می چرخد."
حملات زنجیره تامین نرم افزار
هنگامی که یک بسته منبع باز مخرب وارد خط لوله می شود، اساساً یک نقض آنی است - که هر اقدام متقابل بعدی را بی اثر می کند. به عبارت دیگر، آسیب وارد می شود.
F.A.C.C.T، بازوی روسی Group-IB گفت: این توسعه زمانی رخ می دهد که گروه جرایم سایبری روسی زبان RedCurl در نوامبر 2022 و مه 2023 به یک بانک بزرگ روسی و یک شرکت استرالیایی ناشناس نفوذ کرد تا اسرار شرکت و اطلاعات کارکنان را به عنوان بخشی از یک کمپین پیچیده فیشینگ مخفی کند.
این شرکت گفت: "طی چهار سال و نیم گذشته، گروه روسی زبان Red Curl [...] حداقل 34 حمله به شرکت هایی از بریتانیا، آلمان، کانادا، نروژ، اوکراین و استرالیا انجام داده است."
"بیش از نیمی از حملات - 20 - به روسیه انجام شد. در میان قربانیان جاسوسان سایبری شرکت های ساختمانی، مالی، مشاوره، خرده فروشان، بانک ها، بیمه و سازمان های حقوقی بودند."
موسسات مالی همچنین در انتهای حملات با استفاده از ابزار تزریق وب به نام drIBAN برای انجام تراکنشهای غیرمجاز از رایانه قربانی به شیوهای که تأیید هویت و مکانیسمهای ضد کلاهبرداری توسط بانکها را دور میزند، قرار گرفتهاند.
فدریکو والنتینی و الساندرو استرینو، محققین Cleafy در تحلیلی که در 18 ژوئیه 2023 منتشر شد، خاطرنشان کردند: «عملکرد اصلی drIBAN موتور ATS (سیستم انتقال خودکار) است.
"ATS کلاسی از تزریق های وب است که انتقالات بانکی مشروع انجام شده توسط کاربر را تغییر می دهد، ذینفع را تغییر می دهد و پول را به یک حساب بانکی غیرقانونی که توسط TA یا شرکت های وابسته کنترل می شود، منتقل می کند، که پس از آن مسئول رسیدگی و شستشوی پول سرقت شده هستند."