قیمت چند مجوز تخفیف
پایگاه داده تهدید باج افزار باج‌افزار LeakNet

باج‌افزار LeakNet

تا Mezo در باج افزار, تهدید مداوم پیشرفته (APT)
ترجمه به:

عملیات باج‌افزاری LeakNet با بهره‌گیری از تکنیک مهندسی اجتماعی ClickFix به عنوان مسیر اصلی ورود خود، تحول قابل توجهی در تاکتیک‌های نفوذ ایجاد کرده است. این رویکرد، کاربران را تحت پوشش رفع خطاهای سیستمی ساختگی، به اجرای دستورات مخرب ترغیب می‌کند. برخلاف روش‌های دسترسی سنتی، مانند خرید اعتبارنامه‌های سرقت شده از کارگزاران دسترسی اولیه، این تاکتیک مستقیماً از اعتماد کاربر و رفتار معمول او سوءاستفاده می‌کند.

وب‌سایت‌های آلوده اما در عین حال قانونی، برای ارائه پیام‌های جعلی تأیید CAPTCHA مورد استفاده قرار می‌گیرند. این پیام‌ها به کاربران دستور می‌دهند که یک دستور مخرب msiexec.exe را از طریق پنجره Run ویندوز کپی و اجرا کنند. از آنجا که این تعامل، فعالیت روزمره سیستم را تقلید می‌کند، حمله روتین به نظر می‌رسد و از ایجاد سوءظن فوری جلوگیری می‌کند. این استراتژی گسترده و فرصت‌طلبانه، امکان هدف قرار دادن صنایع مختلف را بدون تبعیض فراهم می‌کند.

تغییر استراتژیک: استقلال از کارگزاران دسترسی اولیه

انتقال LeakNet به ClickFix نشان دهنده یک تغییر عملیاتی حساب شده است. با حذف وابستگی به تامین کنندگان اعتبارنامه شخص ثالث، این گروه هم هزینه و هم تاخیر مرتبط با دستیابی به دسترسی را کاهش می‌دهد. این استقلال، یک گلوگاه کلیدی را از بین می‌برد و به کمپین‌ها اجازه می‌دهد تا سریع‌تر و کارآمدتر مقیاس‌پذیر شوند.

علاوه بر این، استفاده از زیرساخت‌های قانونیِ آسیب‌پذیر به جای سیستم‌های تحت کنترل مهاجم، شاخص‌های قابل تشخیص شبکه را به میزان قابل توجهی کاهش می‌دهد. این امر باعث می‌شود که دفاع‌های سنتی مبتنی بر محیط، اثربخشی کمتری داشته باشند، زیرا فعالیت‌های مخرب به طور یکپارچه با ترافیک قابل اعتماد ترکیب می‌شوند.

اجرای بدون فایل: لودر مبتنی بر Deno در عمل

یکی از ویژگی‌های فنی بارز این حملات، استقرار یک بارگذار مرحله‌ای فرمان و کنترل است که بر روی زمان اجرای جاوا اسکریپت Deno ساخته شده است. این بارگذار، جاوا اسکریپت کدگذاری شده با Base64 را مستقیماً در حافظه اجرا می‌کند و از نوشتن روی دیسک جلوگیری کرده و مصنوعات قانونی را به حداقل می‌رساند.

پس از فعال شدن، لودر چندین عملکرد حیاتی را انجام می‌دهد:

  • سیستم آسیب‌دیده را برای جمع‌آوری اطلاعات محیطی، پروفایل می‌کند.
  • برای بازیابی بارهای ثانویه، با یک سرور خارجی ارتباط برقرار می‌کند.
  • از طریق یک مکانیسم نظرسنجی که به طور مداوم کد اضافی را دریافت و اجرا می‌کند، پایداری را حفظ می‌کند.

این مدل اجرای بدون فایل، پنهان‌کاری را افزایش می‌دهد و تلاش‌های شناسایی توسط ابزارهای امنیتی سنتی را پیچیده می‌کند.

دفترچه راهنمای جامع پس از بهره‌برداری

علیرغم تغییرات در دسترسی اولیه، عملیات LeakNet پس از نفوذ به یک گردش کار قابل پیش‌بینی تبدیل می‌شود. این سازگاری، فرصت‌های ارزشمندی را برای مدافعان جهت تشخیص و ایجاد اختلال قبل از استقرار باج‌افزار فراهم می‌کند.

توالی حمله معمول شامل موارد زیر است:

  • بارگذاری جانبی DLL برای اجرای کتابخانه‌های مخرب ارائه شده توسط لودر
  • حرکت جانبی با استفاده از ابزارهایی مانند PsExec برای گسترش دسترسی به شبکه
  • شناسایی اعتبارنامه از طریق cmd.exe /c klist برای شناسایی جلسات فعال احراز هویت
  • مرحله‌بندی داده‌ها و استخراج داده‌ها از طریق سطل‌های S3، پنهان کردن فعالیت به عنوان ترافیک ابری قانونی
  • مرحله نهایی رمزگذاری برای استقرار باج‌افزار

استفاده از ابزارهای بومی ویندوز و سرویس‌های ابری رایج، به اقدامات مخرب اجازه می‌دهد تا با رفتار عادی سیستم و شبکه ترکیب شوند.

مشخصات تهدید: ریشه‌ها و دامنه هدف‌گیری

لیک‌نت که در نوامبر ۲۰۲۴ ظهور کرد، در ابتدا خود را به عنوان یک «ناظر دیجیتال» معرفی کرد و مضامین شفافیت و آزادی اینترنت را ترویج می‌داد. با این حال، فعالیت‌های مشاهده‌شده، دامنه عملیاتی گسترده‌تر و تهاجمی‌تری را نشان می‌دهد، از جمله حملات علیه سازمان‌های صنعتی.

استراتژی هدف‌گیری بی‌قید و شرط این کمپین، همراه با روش‌های آلودگی مقیاس‌پذیر، بر قصد آن برای به حداکثر رساندن دسترسی به جای تمرکز بر بخش‌های خاص تأکید می‌کند.

پیامدهای دفاعی: پیش‌بینی‌پذیری به عنوان یک مزیت

اگرچه تکنیک‌های ورود LeakNet تکامل یافته‌اند، اما اتکای آن به یک زنجیره بهره‌برداری تکرارپذیر، یک نقطه ضعف اساسی را ایجاد می‌کند. هر مرحله از حمله، از اجرا تا حرکت جانبی و استخراج داده‌ها، از الگوهای رفتاری قابل شناسایی پیروی می‌کند.

این ثبات، مدافعان را قادر می‌سازد تا:

  • تشخیص استفاده غیرعادی از ابزارهای قانونی سیستم
  • الگوهای اجرای غیرمعمول در حافظه را رصد کنید
  • شناسایی تعاملات مشکوک در فضای ذخیره‌سازی ابری
  • قبل از وقوع رمزگذاری، پیشرفت حمله را قطع کنید

نکته کلیدی واضح است: در حالی که روش‌های دسترسی اولیه ممکن است متفاوت باشند، طرح عملیاتی اساسی ثابت می‌ماند و فرصت‌های متعددی را برای تشخیص و واکنش زودهنگام ارائه می‌دهد.

پرطرفدار

ایمیل‌های مخرب ارتقاء اتاق هتل

هرزنامه, بدافزار
هوشیاری در مواجهه با ایمیل‌های غیرمنتظره در چشم‌انداز تهدیدهای امروزی بسیار مهم است. مجرمان سایبری اغلب پیام‌های مخرب را در پوشش مکاتبات قانونی قرار می‌دهند تا گیرندگان را به انجام اقدامات مضر سوق دهند. ایمیل‌های موسوم به «ارتقاء اتاق هتل» نمونه بارزی از این تاکتیک هستند. این پیام‌ها به هیچ هتل، آژانس مسافرتی، ارائه‌دهنده خدمات ماه عسل یا سایر سازمان‌های معتبر مرتبط نیستند. در عوض، آنها بخشی از...

کلاهبرداری ایمیلی مربوط به به‌روزرسانی فریمور لجر

فیشینگ, هرزنامه
احتیاط در هنگام دریافت ایمیل‌های غیرمنتظره در چشم‌انداز تهدیدهای امروزی، به‌ویژه زمانی که پای دارایی‌های دیجیتال در میان است، بسیار مهم است. مجرمان سایبری اغلب برای ایجاد حس کاذب فوریت و مشروعیت، هویت برندهای معتبر را جعل می‌کنند. ایمیل‌های «سیستم‌عامل لجر خود را به‌روزرسانی کنید» بخشی از چنین طرحی هستند و با وجود اینکه به نظر می‌رسد از یک ارائه‌دهنده کیف پول سخت‌افزاری ارز دیجیتال مشهور ارسال...

پربیننده ترین

بارگذاری...