باج افزار کوبا از گواهینامه های مایکروسافت برای امضای بدافزار سوء استفاده کرد


کمتر از دو هفته‌ها پیش، آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده و FBI یک مورد را منتشر ،د مشاوره مش، در مورد تهدید حملات باج افزار از سوی باندی که خود را “کوبا” می نامند. این گروه، که محققان معتقدند در واقع در روسیه مستقر هستند، در حال غوغا بوده اند در طول سال گذشته هدف قرار دادن تعداد فزاینده ای از مشاغل و سایر موسسات در ایالات متحده و خارج از کشور. تحقیق جدید که امروز منتشر شد نشان می دهد که کوبا از قطعات ب،زاری در حملات خود استفاده می کند که توسط مایکروسافت تأیید شده یا مهر تأیید شده است.

کوبا از این “درایورهای” امضا شده رمزنگاری شده پس از به خطر انداختن سیستم های هدف به ،وان بخشی از تلاش برای غیرفعال ، ابزارهای اسکن امنیتی و تغییر تنظیمات استفاده کرد. این فعالیت قرار بود زیر رادار پرواز کند، اما توسط ابزارهای نظارتی شرکت امنیتی Sop،s علامت گذاری شد. محققان واحد 42 شبکه‌های پالو ،و قبلاً مشاهده کرده بودند که کوبا یک نرم‌افزار ممتاز به نام «درایور هسته» را با گواهی NVIDIA امضا می‌کند که اوایل امسال توسط گروه هکر Lapsus$ فاش شد. و Sop،s می‌گوید همچنین دیده است که این گروه از این استراتژی با گواهی‌های به خطر افتاده از حداقل یک شرکت فناوری چینی دیگر استفاده می‌کند که شرکت امنیتی Mandiant آن را با نام Zhuhai Liancheng Technology Co شناسایی کرده است.

این شرکت در گزارشی اعلام کرد: «مایکروسافت اخیراً مطلع شد که درایورهای تأیید شده توسط برنامه توسعه سخت افزار ویندوز مایکروسافت به طور م،ب در فعالیت های پس از بهره برداری استفاده می شوند. مشاوره امنیتی امروز. چندین حساب توسعه‌دهنده برای مرکز شریک مایکروسافت مشغول ارسال درایورهای م،ب برای به دست آوردن امضای مایکروسافت بودند … درایورهای م،ب امضا شده احتمالاً برای تسهیل فعالیت‌های نفوذ پس از بهره‌برداری مانند استقرار باج‌افزار استفاده می‌شدند.

Sop،s در 19 اکتبر به مایکروسافت اطلاع داد ماندانت و شرکت امنیتی SentinelOne. مایکروسافت می‌گوید حساب‌های Partner Center را که مورد سوء استفاده قرار می‌گرفتند، معلق کرده، گواهی‌های سرکش را باطل کرده و به‌روزرس،‌های امنیتی مرتبط با این وضعیت را برای ویندوز منتشر کرده است. این شرکت اضافه می‌کند که هیچ آسیبی در سیستم‌های خود فراتر از سوء استفاده از حساب شریک شناسایی نکرده است.

مایکروسافت درخواست WIRED برای اظهار نظر فراتر از توصیه‌ها را رد کرد.

کریستوفر باد، مدیر تحقیقات تهدید در Sop،s، می‌گوید: «این مهاجمان، به احتمال زیاد وابسته‌های گروه باج‌افزار کوبا، می‌دانند که چه کار می‌کنند – و همچنان سرسخت هستند. همه انواع کشف اولیه. این محرک‌ها ت، هماهنگ برای ارتقای زنجیره اعتماد را نشان می‌دهند، حداقل از جولای گذشته شروع می‌شود. ایجاد یک راننده م،ب از ابتدا و امضای آن توسط یک مقام قانونی دشوار است. با این حال، فوق‌العاده موثر است. زیرا راننده اساساً می‌تواند هر فرآیندی را بدون سؤال انجام دهد.”

امضای نرم‌افزار رمزنگاری یک مک،سم اعتبارسنجی مهم است که به منظور اطمینان از اینکه نرم‌افزار توسط یک شخص مورد اعتماد یا «مرجع صدور گواهینامه» بررسی و تأیید شده است. با این حال، مهاجمان همیشه به دنبال نقاط ضعفی در این زیرساخت هستند، جایی که می‌توانند گواهی‌ها را به خطر بیاندازند یا فرآیند امضا را برای مشروعیت بخشیدن به ب،زار خود تضعیف و سوء استفاده کنند.

این شرکت “ماندیانت قبلاً سناریوهایی را مشاهده کرده است که مشکوک به استفاده از یک سرویس جنایی مش، برای امضای کد هستند.” در گزارشی نوشت امروز منتشر شد استفاده از گواهینامه‌های امضای کد دزدیده شده یا به‌دست‌آمده از طریق کلاهبرداری توسط عوامل تهدید یک تاکتیک رایج بوده است و ارائه این گواهی‌ها یا خدمات امضا، جایگاه سودآوری در اقتصاد زیرزمینی به اثبات رسانده است.»

در اوایل این ماه، گوگل یافته‌هایی را منتشر کرد مبنی بر اینکه تعدادی از «گواهی‌های پلتفرم» به خطر افتاده که توسط سازندگان دستگاه‌های اندرویدی از جمله سامسونگ و ال‌جی مدیریت می‌شوند برای امضای برنامه‌های م،ب اندرویدی که از طریق کانال‌های شخص ثالث توزیع شده‌اند، استفاده شده‌اند. آی تی ظاهر می شود که حداقل مقداری از گواهی های به خطر افتاده برای امضای اجزای ابزار دسترسی از راه دور M،crypt استفاده شد. FBI و CISA دارند قبلا نسبت داده شده است فعالیت های مرتبط با خانواده ب،زار M،crypt به هکرهای تحت حمایت ،ت کره شمالی که پلتفرم ها و صرافی های ارزهای دیجیتال را هدف قرار می دهند.

Sop،s’ Budd می‌گوید: «در سال 2022، مهاجمان باج‌افزار را دیدیم که به‌طور فزاینده‌ای تلاش می‌کنند تا از محصولات شناسایی و پاسخ‌دهی نقاط پای، بسیاری، اگر نگوییم ا،ر فروشندگان بزرگ، عبور کنند. جامعه امنیتی باید از این تهدید آگاه باشد تا بتواند اقدامات امنیتی بیشتری را اجرا کند. علاوه بر این، ممکن است شاهد تلاش مهاجمان دیگر برای تقلید از این نوع حمله باشیم.»

با توجه به تعداد زیادی گواهی در معرض خطر، به نظر می رسد که بسیاری از مهاجمان قبلاً یادداشتی در مورد تغییر به سمت این استراتژی دریافت کرده اند.


منبع: https://www.wired.com/story/microsoft-certificates-ransomware-cuba-malware/