ITProgrammers

تم الاستعانة ببرنامج تشغيل ضعيف لمكافحة الغش في لعبة فيديو Genshin Impact بواسطة ممثل جرائم الإنترنت لتعطيل برامج مكافحة الفيروسات لتسهيل نشر برامج الفدية ، وفقًا لنتائج Trend Micro.

استندت الإصابة بفيروس الفدية ، التي ظهرت في الأسبوع الأخير من يوليو 2022 ، إلى حقيقة أن السائق المعني ("mhyprot2.sys") قد تم توقيعه بشهادة صالحة ، مما يجعل من الممكن التحايل على الامتيازات وإنهاء الخدمات المرتبطة تطبيقات حماية نقطة النهاية.

Genshin Impact هي لعبة لعب الأدوار الشهيرة التي تم تطويرها ونشرها من قبل شركة miHoYo ومقرها شنغهاي في سبتمبر 2020.

يقال إن السائق المستخدم في سلسلة الهجوم تم بناؤه في أغسطس 2020 ، مع وجود خلل في الوحدة تمت مناقشته بعد إصدار اللعبة ، مما أدى إلى ثغرات تظهر القدرة على قتل أي عملية تعسفية والتصعيد إلى النواة. الوضع.

الفكرة ، باختصار ، هي استخدام وحدة برنامج تشغيل الجهاز المشروعة مع توقيع رمز صالح لتصعيد الامتيازات من وضع المستخدم إلى وضع kernel ، مما يؤكد مجددًا كيف يبحث الخصوم باستمرار عن طرق مختلفة لنشر البرامج الضارة خلسة.

قال محللا الاستجابة للحوادث ريان سوليفن وهيتومي كيمورا: "هدف التهديد إلى نشر برامج الفدية داخل جهاز الضحية ثم نشر العدوى".

"يجب أن تكون المنظمات وفرق الأمن حذرة بسبب عدة عوامل: سهولة الحصول على وحدة mhyprot2.sys ، وتعدد استخدامات السائق من حيث تجاوز الامتيازات ، ووجود أدلة جيدة الصنع للمفهوم (PoCs)."

في الحادث الذي تم تحليله بواسطة Trend Micro ، تم استخدام نقطة نهاية مخترقة تنتمي إلى كيان غير مسمى كقناة للاتصال بوحدة التحكم بالمجال عبر بروتوكول سطح المكتب البعيد (RDP) ونقل مثبت Windows إليها متظاهرًا باسم AVG Internet Security ، والذي أسقط و تنفيذ ، من بين ملفات أخرى ، برنامج التشغيل الضعيف.

وقال الباحثون إن الهدف كان نشر برنامج الفدية على نطاق واسع لاستخدام وحدة تحكم المجال عبر ملف دفعي يقوم بتثبيت برنامج التشغيل ، ويقتل خدمات مكافحة الفيروسات ، ويطلق حمولة برامج الفدية.

أشار Trend Micro إلى أن اللعبة "لا تحتاج إلى أن يتم تثبيتها على جهاز الضحية حتى يعمل هذا" ، مما يعني أنه يمكن لممثلي التهديد ببساطة تثبيت برنامج مكافحة الغش كخطوة تمهيدية لنشر برامج الفدية.

لقد تواصلنا مع miHoYo للتعليق ، وسنقوم بتحديث القصة إذا سمعنا مرة أخرى.

وقال الباحثون: "لا يزال من النادر العثور على وحدة تحمل توقيع رمز كمشغل جهاز يمكن إساءة استخدامها". "من السهل جدًا الحصول على هذه الوحدة وستكون متاحة للجميع حتى يتم محوها من الوجود. ويمكن أن تظل لفترة طويلة كأداة مفيدة لتجاوز الامتيازات."

"قد يساعد إبطال الشهادة واكتشاف برامج مكافحة الفيروسات في تثبيط إساءة الاستخدام ، ولكن لا توجد حلول في الوقت الحالي لأنها وحدة نمطية شرعية."

تم استخدام برنامج تشفير مراوغ قائم على .NET يسمى DarkTortilla من قبل الجهات المهددة لتوزيع مجموعة واسعة من البرامج الضارة للسلع بالإضافة إلى الحمولات المستهدفة مثل Cobalt Strike و Metasploit ، على الأرجح منذ عام 2015.

وقالت شركة الأمن السيبراني Secureworks في تقرير يوم الأربعاء: "يمكنها أيضًا تقديم" حزم إضافية "مثل الحمولات الخبيثة الإضافية والوثائق الخبيثة الحميدة والملفات التنفيذية". "إنها تتميز بضوابط قوية لمكافحة التحليل ومكافحة العبث التي يمكن أن تجعل الاكتشاف والتحليل والقضاء أمرًا صعبًا."

تتضمن البرامج الضارة التي يقدمها برنامج التشفير أدوات توصيل المعلومات وأحصنة طروادة (RATs) مثل Agent Tesla و AsyncRat و NanoCore و RedLine Stealer. وأشار الباحثون إلى أن "DarkTortilla لديها براعة لا تمتلكها البرامج الضارة المماثلة".

أدوات التشفير هي أدوات برمجية تستخدم مزيجًا من التشفير والتشويش ومعالجة التعليمات البرمجية للبرامج الضارة لتجاوز الاكتشاف بواسطة حلول الأمان.

يتم تسليم DarkTortilla عبر رسائل البريد الإلكتروني الضارة التي تحتوي على أرشيفات ذات ملف تنفيذي لأداة تحميل أولية تُستخدم لفك شفرة وحدة المعالج الأساسية وتشغيلها إما مضمنة داخل نفسها أو يتم جلبها من مواقع تخزين النصوص مثل Pastebin.

DarkTortilla Crypter
بعد ذلك ، يكون المعالج الأساسي مسؤولاً عن إنشاء الثبات وحقن حمولة RAT الأساسية في الذاكرة دون ترك أثر على نظام الملفات من خلال ملف تكوين مفصل يسمح له أيضًا بإسقاط الحزم الإضافية ، بما في ذلك keyloggers ، وسرقة الحافظة ، وعمال المناجم المشفرة .

DarkTortilla جدير بالملاحظة أيضًا لاستخدامه لعناصر تحكم مكافحة التلاعب التي تضمن إعادة تشغيل كل من العمليات المستخدمة لتنفيذ المكونات في الذاكرة فور الإنهاء.

على وجه التحديد ، يتم تحقيق استمرار اللودر الأولي عن طريق ملف تنفيذي ثانٍ يُشار إليه باسم WatchDog المصمم للاحتفاظ بعلامات تبويب على العملية المعينة وإعادة تشغيلها في حالة تعرضها للقتل.

تذكرنا هذه التقنية بآلية مماثلة اعتمدها ممثل تهديد يسمى Moses Staff ، والذي تم اكتشافه ، في وقت سابق من هذا العام ، يعتمد على نهج قائم على المراقبة لمنع أي انقطاع في حمولاته. كما تم استخدام ضابطين آخرين لضمان استمرار تنفيذ برنامج WatchDog القابل للتنفيذ الذي تم إسقاطه واستمرار المحمل الأولي.

قالت Secureworks أنها حددت ما معدله 93 عينة فريدة DarkTortilla يتم تحميلها إلى قاعدة بيانات VirusTotal للبرامج الضارة أسبوعيًا على مدى 17 شهرًا من يناير 2021 إلى مايو 2022. من بين جميع العينات البالغ عددها 10000 التي تم تتبعها خلال الإطار الزمني ، كان تسعة منها فقط تستخدم لنشر برامج الفدية - سبعة منها تقدم بابوك واثنان آخران يديران MedusaLocker.

وخلص الباحثون إلى أن "DarkTortilla قادرة على تجنب الاكتشاف ، وهي قابلة للتكوين بدرجة كبيرة ، وتوفر مجموعة واسعة من البرامج الضارة الشائعة والفعالة". وقدراتها وانتشارها يجعلانها تهديدا هائلا ".

ومع ذلك ، فإن طريقة العمل الدقيقة لكيفية وصول جهاز crypter إلى أيدي الجهات الفاعلة المهددة لا تزال غير واضحة ، على الرغم من أنه يشتبه في أنه قد يتم الترويج لها في العمل السري الإجرامي كخدمة.

قال روب بانتازوبولوس ، كبير الباحثين الأمنيين في Secureworks Counter Threat Unit (CTU) لصحيفة The Hacker News: "على الرغم من تجوب الأسواق والمنتديات السرية ، لم نتمكن من العثور على مكان أو كيفية بيع DarkTortilla".

"لقد واجهنا برنامج تشفير آخر تم الإعلان عنه باسم PureCrypter ، وهو ليس DarkTortilla ولكنه يعرض الكثير من نفس الشيء. وبالنظر إلى أوجه التشابه ، نشك في أنه يعمل في نفس السوق ؛ مما يعني أنه من المحتمل أن يكون انتهازيًا ويتم بيعه لأي شخص يرغب في دفع رسوم معقولة ".

يتم إشراك أداة تحميل البرامج الضارة المعروفة باسم Bumblebee بشكل متزايد من قبل الجهات الفاعلة في التهديد المرتبطة بـ BazarLoader و TrickBot و IcedID في حملاتهم لخرق الشبكات المستهدفة لأنشطة ما بعد الاستغلال.

قال الباحثان في Cybereason Meroujan Antonyan و Alon Laufer في تقرير فني: "يقوم مشغلو Bumblebee بأنشطة استطلاع مكثفة ويعيدون توجيه إخراج الأوامر المنفذة إلى ملفات للتسلل".

ظهر Bumblebee لأول مرة في مارس 2022 عندما كشفت مجموعة تحليل التهديدات (TAG) التابعة لـ Google عن أنشطة وسيط وصول أولي أطلق عليه اسم Exotic Lily مع علاقات مع TrickBot ومجموعات Conti الأكبر.

Bumblebee محمل البرامج الضارة
عادةً ما يتم تسليمه عبر الوصول الأولي الذي تم الحصول عليه من خلال حملات التصيد الاحتيالي ، وقد تم تعديل طريقة العمل منذ ذلك الحين عن طريق تجنب المستندات ذات الصلة بالماكرو لصالح ملفات ISO و LNK ، وذلك في المقام الأول استجابةً لقرار Microsoft بحظر وحدات الماكرو افتراضيًا.

Bumblebee محمل البرامج الضارة
وقال الباحثون: "يتم توزيع البرامج الضارة عن طريق رسائل البريد الإلكتروني المخادعة التي تحتوي على مرفق أو رابط لأرشيف ضار يحتوي على Bumblebee". "يعتمد التنفيذ الأولي على تنفيذ المستخدم النهائي الذي يتعين عليه استخراج الأرشيف ، وتركيب ملف صورة ISO ، والنقر فوق ملف اختصار Windows (LNK)."

يحتوي ملف LNK ، من جانبه ، على أمر تشغيل محمل Bumblebee ، والذي يتم استخدامه بعد ذلك كقناة لإجراءات المرحلة التالية مثل المثابرة ، وتصعيد الامتياز ، والاستطلاع ، وسرقة بيانات الاعتماد.

كما تم استخدام إطار محاكاة خصم Cobalt Strike أثناء الهجوم عند الحصول على امتيازات مرتفعة على نقاط النهاية المصابة ، مما يتيح للمهاجم التحرك بشكل جانبي عبر الشبكة. يتم تحقيق الثبات من خلال نشر برنامج AnyDesk لسطح المكتب البعيد.

في الحادث الذي حلله Cybereason ، تم استخدام بيانات الاعتماد المسروقة الخاصة بمستخدم ذي امتيازات عالية لاحقًا للسيطرة على Active Directory ، ناهيك عن إنشاء حساب مستخدم محلي لاستخراج البيانات.

وقالت شركة الأمن السيبراني: "كان الوقت المستغرق بين الوصول الأولي وتسوية Active Directory أقل من يومين". "يجب التعامل مع الهجمات التي تتضمن Bumblebee على أنها حرجة ، [...] وهذا المُحمل معروف بتسليم برامج الفدية الضارة."