قیمت چند مجوز تخفیف
پایگاه داده تهدید باج افزار Charon Ransomware

Charon Ransomware

تا Mezo در باج افزار, تهدید مداوم پیشرفته (APT)
ترجمه به:

کارشناسان امنیت سایبری یک کمپین باج‌افزاری جدید را کشف کرده‌اند که از یک گونه ناشناخته به نام Charon استفاده می‌کند و به‌طور خاص بخش دولتی و صنعت هوانوردی در خاورمیانه را هدف قرار داده است. این عملیات سطح بالایی از پیچیدگی را نشان می‌دهد و تاکتیک‌های آن معمولاً با عوامل تهدید پیشرفته مداوم (APT) مرتبط است.

اقتباس تاکتیک‌ها از کتاب‌های راهنمای APT

مهاجمان از تکنیک‌های پیشرفته‌ای مانند بارگذاری جانبی DLL، تزریق فرآیند و مانورهای گریز که برای دور زدن ابزارهای تشخیص و پاسخ نقطه پایانی (EDR) طراحی شده‌اند، استفاده کردند. نکته قابل توجه این است که رویکرد بارگذاری جانبی DLL، روش‌های مشاهده شده در حملات Earth Baxia، یک گروه هکری مرتبط با چین که به خاطر هدف قرار دادن نهادهای دولتی در تایوان و منطقه آسیا و اقیانوسیه شناخته می‌شود، را منعکس می‌کند.

در آن حوادث گذشته، Earth Baxia از یک نقص که اکنون وصله شده است در OSGeo GeoServer GeoTools برای ارائه یک در پشتی به نام EAGLEDOOR سوءاستفاده کرده بود. در مورد Charon، این حمله از یک فایل قانونی، Edge.exe (در اصل cookie_exporter.exe)، برای بارگذاری یک msedge.dll مخرب به نام SWORDLDR استفاده کرد که سپس بار داده باج‌افزار Charon را مستقر کرد.

قابلیت‌های باج‌افزار Charon

پس از استقرار، Charon مانند سایر انواع باج‌افزارهای مخرب رفتار می‌کند، اما با بهینه‌سازی‌هایی که آن را هم مخرب و هم کارآمد می‌کند. می‌تواند:

  • سرویس‌های مرتبط با امنیت و فرآیندهای فعال را خاتمه دهید.
  • برای جلوگیری از بازیابی، نسخه‌های پشتیبان و کپی‌های سایه را حذف کنید.
  • برای قفل کردن سریع‌تر فایل‌ها، از چندنخی بودن و رمزگذاری جزئی استفاده کنید.

یکی دیگر از ویژگی‌های جالب، ادغام درایور کامپایل‌شده از پروژه متن‌باز Dark-Kill است. این امر امکان حمله درایور آسیب‌پذیر خودتان (BYOVD) را برای غیرفعال کردن ابزارهای EDR فراهم می‌کند. با این حال، محققان دریافتند که این قابلیت هنوز فعال نیست و نشان می‌دهد که هنوز در دست توسعه است.

نشانه‌های یک عملیات هدفمند

محققان معتقدند که این کمپین عمدی بوده و نه فرصت‌طلبانه. این نتیجه‌گیری بر اساس وجود یک یادداشت باج‌خواهی است که برای ذکر نام سازمان قربانی تنظیم شده است، امری نادر در حوادث باج‌افزاری معمول. روش مورد استفاده برای دسترسی اولیه هنوز ناشناخته است.

انتساب نامشخص

اگرچه تکنیک‌های شارون شباهت‌هایی با عملیات زمین باکسیا دارند، کارشناسان هشدار می‌دهند که این همپوشانی می‌تواند نشان دهنده موارد زیر باشد:

  • دخالت مستقیم زمین باکسی.
  • یک عملیات پرچم دروغین که برای تقلید از باکسیای زمینی طراحی شده است.
  • یک گروه جدید به طور مستقل تاکتیک‌های مشابهی را توسعه می‌دهد.

بدون شواهد روشنی مانند زیرساخت مشترک یا الگوهای هدف‌گیری منسجم، این ارتباط همچنان در حد حدس و گمان باقی می‌ماند.

همگرایی فزاینده جرایم سایبری و تاکتیک‌های دولت-ملت

این حادثه یک روند نگران‌کننده را برجسته می‌کند: گروه‌های باج‌افزاری به طور فزاینده‌ای از روش‌های سطح APT برای نفوذ و گریز استفاده می‌کنند. ترکیب ترفندهای مخفیانه با آسیب‌های مالی و عملیاتی فوری رمزگذاری باج‌افزاری، خطرات را برای سازمان‌های هدف به طور قابل توجهی افزایش می‌دهد.

پرطرفدار

Searcherone.com

وب سایت های سرکش, ربایندگان مرورگر, برنامه های بالقوه ناخواسته
با افزایش تعداد تهدیدات آنلاین، کاربران باید در برابر برنامه‌های ناخواسته (PUP) هوشیار باشند. این برنامه‌ها ممکن است بی‌ضرر به نظر برسند، اما اغلب عملکردهای مزاحمی دارند که حریم خصوصی کاربر را به...

پربیننده ترین

بد افزار

فیشینگ, هرزنامه
36,129
پیام کلاهبرداری «Apple Pay Suspended» نوعی تاکتیک فیشینگ است که کاربران Apple Pay را هدف قرار می دهد. در این پیام ادعا شده است که کیف پول Apple Pay کاربر به حالت تعلیق درآمده است و از آن‌ها می‌خواهد برای بازیابی آن روی پیوندی کلیک کنند. با این حال، با کلیک بر روی لینک، کاربر به یک وب سایت جعلی هدایت می شود که برای سرقت اطلاعات شخصی و مالی آنها طراحی شده است. اگر کاربر قربانی این طرح شود، عواقب...
بارگذاری...