Charon Ransomware يضرب قطاعات الشرق الأوسط باستخدام تكتيكات التهرب على مستوى APT
اكتشف باحثو الأمن السيبرانيين حملة جديدة توظف عائلة فدية غير موثقة سابقًا تدعى Charon لاستهداف قطاع الشرق الأوسط والطيران في الشرق الأوسط.
أظهر ممثل التهديد وراء هذا النشاط ، وفقًا لـ Trend Micro ، تكتيكات تعكس مجموعات التهديدات المستمرة المتقدمة (APT) ، مثل التحميل الجانبي DLL ، وحقن العملية ، والقدرة على التهرب من برنامج الكشف عن نقطة النهاية والاستجابة (EDR).
تشبه تقنيات التحميل الجانبي DLL تلك التي تم توثيقها مسبقًا كجزء من الهجمات التي تنشرها مجموعة اختراق مرتبطة في الصين تدعى Earth Baxia ، والتي تم وضع علامة عليها من قبل شركة الأمن السيبراني باسم استهداف الكيانات الحكومية في تايوان ومنطقة Asia-Pacific لتسليم Backdoor المعروفة باسم Eagledoor بعد الإقرار للاختراق الأمنية المحمولة الآن.
“سلسلة الهجوم استفادت من ملف متصفح مرتبط ، edge.exe (المسمى أصلاً cookie_exporter.exe) ، لضبط حمولة msedge.dll خالية (swordldr) ، والتي نشرت لاحقًا حمولة Charon Ransomware” ، الباحثين جاكوب سانتوس ، قال.
مثل ثنائيات الفدية الأخرى ، فإن Charon قادر على الإجراءات التخريبية التي تنهي الخدمات المتعلقة بالأمان وعمليات التشغيل ، بالإضافة إلى حذف نسخ الظل والنسخ الاحتياطية ، وبالتالي تقليل فرص الاسترداد. كما أنه يستخدم تقنيات تشفير متعددة التربعات الجزئية لجعل روتين قفل الملف أسرع وأكثر كفاءة.
هناك جانب آخر ملحوظ من الفدية هو استخدام برنامج تشغيل تم تجميعه من المصدر المفتوح مشروع القاتل المظلم لتعطيل حلول EDR عن طريق ما يسمى هجوم السائق الضعيف الخاص بك (BYOVD). ومع ذلك ، لا يتم تشغيل هذه الوظيفة أبدًا أثناء التنفيذ ، مما يشير إلى أن الميزة قيد التطوير على الأرجح.
هناك أدلة تشير إلى أن الحملة كانت مستهدفة بدلاً من الانتهازية. ينبع هذا من استخدام ملاحظة فدية مخصصة تستدعي على وجه التحديد منظمة الضحايا بالاسم ، وهو تكتيك لم يلاحظه في هجمات الفدية التقليدية. لا يُعرف حاليًا كيف تم الحصول على الوصول الأولي.
على الرغم من التداخل التقني مع Earth Baxia ، فقد أكد Trend Micro أن هذا قد يعني أحد الأشياء الثلاثة –
- المشاركة المباشرة في باكسيا الأرض
- عملية علمية خاطئة مصممة لتقليد TradeCraft’s Baxia عن عمد ، أو
- ممثل تهديد جديد طور بشكل مستقل تكتيكات مماثلة
“من دون أدلة مثبتة مثل البنية التحتية المشتركة أو أنماط الاستهداف المتسقة ، فإننا نقيم هذا الهجوم يوضح التقارب التقني المحدود ولكنه الملحوظ مع عمليات باكسيا الأرضية المعروفة” ، أشار Trend Micro إلى.
بغض النظر عن الإسناد ، فإن النتائج تجسد الاتجاه المستمر لمشغلي البرامج الفدية التي تعتمد بشكل متزايد طرقًا متطورة لنشر البرامج الضارة والتهرب من الدفاع ، مما يزيد من عدم وضوح الخطوط بين الجريمة الإلكترونية ونشاط الدولة القومية.
وخلص الباحثون إلى أن “هذا التقارب بين التكتيكات المناسبة مع عمليات الفدية يشكل خطرًا مرتفعًا للمؤسسات ، ويجمع بين تقنيات التهرب المتطورة مع التأثير التجاري الفوري لتشفير الفدية”.
يأتي هذا الإفصاح في الوقت الذي قام فيه Esentire بالتفصيل حملة Ransomware التي تعاني من استفادة من ClickFix لإسقاط الباب الخلفي المستند إلى PHP والتي ، بدورها تنشر العقد (المعروفة أيضًا باسم الفئران الملقب) لسرقة بيانات الاعتماد وزراعة قائمة على C تدعم الأوامر المتمثلة في الهجوم لمزيد من الاستجابة والرنسوم.
“توظف Group Interlock عملية متعددة المراحل معقدة تتضمن نصوص PowerShell ، PHP/NODEJS/C الخلفية ، مع تسليط الضوء على أهمية مراقبة نشاط العملية المشبوهة ، LOLBINS ، وغيرها قال.
تظهر النتائج أن Ransomware لا تزال تهديد متطور، حتى مع استمرار الضحايا في دفع فدية لاستعادة الوصول إلى الأنظمة بسرعة. من ناحية أخرى ، بدأ مجرمو الإنترنت في اللجوء إلى التهديدات الجسدية وهجمات DDOs كوسيلة للضغط على الضحايا.
الإحصائيات التي يشاركها باراكودا يعرض أن 57 ٪ من المنظمات شهدت هجومًا ناجحًا في الفدية في الأشهر الـ 12 الماضية ، منها 71 ٪ والتي شهدت خرقًا عبر البريد الإلكتروني قد تعرضت أيضًا إلى Ransomware. ما هو أكثر من ذلك ، دفع 32 ٪ فدية ، ولكن 41 ٪ فقط من الضحايا حصلوا على جميع بياناتهم.
