کمتر از دو هفتهها پیش، آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده و FBI یک مورد را منتشر ،د مشاوره مش، در مورد تهدید حملات باج افزار از سوی باندی که خود را “کوبا” می نامند. این گروه، که محققان معتقدند در واقع در روسیه مستقر هستند، در حال غوغا بوده اند در طول سال گذشته هدف قرار دادن تعداد فزاینده ای از مشاغل و سایر موسسات در ایالات متحده و خارج از کشور. تحقیق جدید که امروز منتشر شد نشان می دهد که کوبا از قطعات ب،زاری در حملات خود استفاده می کند که توسط مایکروسافت تأیید شده یا مهر تأیید شده است.
کوبا از این “درایورهای” امضا شده رمزنگاری شده پس از به خطر انداختن سیستم های هدف به ،وان بخشی از تلاش برای غیرفعال ، ابزارهای اسکن امنیتی و تغییر تنظیمات استفاده کرد. این فعالیت قرار بود زیر رادار پرواز کند، اما توسط ابزارهای نظارتی شرکت امنیتی Sop،s علامت گذاری شد. محققان واحد 42 شبکههای پالو ،و قبلاً مشاهده کرده بودند که کوبا یک نرمافزار ممتاز به نام «درایور هسته» را با گواهی NVIDIA امضا میکند که اوایل امسال توسط گروه هکر Lapsus$ فاش شد. و Sop،s میگوید همچنین دیده است که این گروه از این استراتژی با گواهیهای به خطر افتاده از حداقل یک شرکت فناوری چینی دیگر استفاده میکند که شرکت امنیتی Mandiant آن را با نام Zhuhai Liancheng Technology Co شناسایی کرده است.
این شرکت در گزارشی اعلام کرد: «مایکروسافت اخیراً مطلع شد که درایورهای تأیید شده توسط برنامه توسعه سخت افزار ویندوز مایکروسافت به طور م،ب در فعالیت های پس از بهره برداری استفاده می شوند. مشاوره امنیتی امروز. چندین حساب توسعهدهنده برای مرکز شریک مایکروسافت مشغول ارسال درایورهای م،ب برای به دست آوردن امضای مایکروسافت بودند … درایورهای م،ب امضا شده احتمالاً برای تسهیل فعالیتهای نفوذ پس از بهرهبرداری مانند استقرار باجافزار استفاده میشدند.
Sop،s در 19 اکتبر به مایکروسافت اطلاع داد ماندانت و شرکت امنیتی SentinelOne. مایکروسافت میگوید حسابهای Partner Center را که مورد سوء استفاده قرار میگرفتند، معلق کرده، گواهیهای سرکش را باطل کرده و بهروزرس،های امنیتی مرتبط با این وضعیت را برای ویندوز منتشر کرده است. این شرکت اضافه میکند که هیچ آسیبی در سیستمهای خود فراتر از سوء استفاده از حساب شریک شناسایی نکرده است.
مایکروسافت درخواست WIRED برای اظهار نظر فراتر از توصیهها را رد کرد.
کریستوفر باد، مدیر تحقیقات تهدید در Sop،s، میگوید: «این مهاجمان، به احتمال زیاد وابستههای گروه باجافزار کوبا، میدانند که چه کار میکنند – و همچنان سرسخت هستند. همه انواع کشف اولیه. این محرکها ت، هماهنگ برای ارتقای زنجیره اعتماد را نشان میدهند، حداقل از جولای گذشته شروع میشود. ایجاد یک راننده م،ب از ابتدا و امضای آن توسط یک مقام قانونی دشوار است. با این حال، فوقالعاده موثر است. زیرا راننده اساساً میتواند هر فرآیندی را بدون سؤال انجام دهد.”
امضای نرمافزار رمزنگاری یک مک،سم اعتبارسنجی مهم است که به منظور اطمینان از اینکه نرمافزار توسط یک شخص مورد اعتماد یا «مرجع صدور گواهینامه» بررسی و تأیید شده است. با این حال، مهاجمان همیشه به دنبال نقاط ضعفی در این زیرساخت هستند، جایی که میتوانند گواهیها را به خطر بیاندازند یا فرآیند امضا را برای مشروعیت بخشیدن به ب،زار خود تضعیف و سوء استفاده کنند.
این شرکت “ماندیانت قبلاً سناریوهایی را مشاهده کرده است که مشکوک به استفاده از یک سرویس جنایی مش، برای امضای کد هستند.” در گزارشی نوشت امروز منتشر شد استفاده از گواهینامههای امضای کد دزدیده شده یا بهدستآمده از طریق کلاهبرداری توسط عوامل تهدید یک تاکتیک رایج بوده است و ارائه این گواهیها یا خدمات امضا، جایگاه سودآوری در اقتصاد زیرزمینی به اثبات رسانده است.»
در اوایل این ماه، گوگل یافتههایی را منتشر کرد مبنی بر اینکه تعدادی از «گواهیهای پلتفرم» به خطر افتاده که توسط سازندگان دستگاههای اندرویدی از جمله سامسونگ و الجی مدیریت میشوند برای امضای برنامههای م،ب اندرویدی که از طریق کانالهای شخص ثالث توزیع شدهاند، استفاده شدهاند. آی تی ظاهر می شود که حداقل مقداری از گواهی های به خطر افتاده برای امضای اجزای ابزار دسترسی از راه دور M،crypt استفاده شد. FBI و CISA دارند قبلا نسبت داده شده است فعالیت های مرتبط با خانواده ب،زار M،crypt به هکرهای تحت حمایت ،ت کره شمالی که پلتفرم ها و صرافی های ارزهای دیجیتال را هدف قرار می دهند.
Sop،s’ Budd میگوید: «در سال 2022، مهاجمان باجافزار را دیدیم که بهطور فزایندهای تلاش میکنند تا از محصولات شناسایی و پاسخدهی نقاط پای، بسیاری، اگر نگوییم ا،ر فروشندگان بزرگ، عبور کنند. جامعه امنیتی باید از این تهدید آگاه باشد تا بتواند اقدامات امنیتی بیشتری را اجرا کند. علاوه بر این، ممکن است شاهد تلاش مهاجمان دیگر برای تقلید از این نوع حمله باشیم.»
با توجه به تعداد زیادی گواهی در معرض خطر، به نظر می رسد که بسیاری از مهاجمان قبلاً یادداشتی در مورد تغییر به سمت این استراتژی دریافت کرده اند.
منبع: https://www.wired.com/story/microsoft-certificates-ransomware-cuba-malware/