بدافزار MixShell

محققان امنیت سایبری یک عملیات مهندسی اجتماعی پیچیده با نام رمز ZipLine را کشف کرده‌اند که از یک بدافزار مخفی در حافظه به نام MixShell استفاده می‌کند. این کمپین در درجه اول شرکت‌های تولیدی حیاتی زنجیره تأمین را هدف قرار داده و نشان دهنده روند رو به رشد مهاجمانی است که به جای روش‌های سنتی فیشینگ، از گردش‌های کاری معتبر تجاری سوءاستفاده می‌کنند.

از فرم‌های تماس تا سازش

برخلاف حملات فیشینگ مرسوم که از طریق ایمیل‌های ناخواسته انجام می‌شوند، اپراتورهای ZipLine نفوذ خود را از طریق فرم «تماس با ما»ی یک شرکت آغاز می‌کنند. این رویکرد ظریف از همان ابتدا اعتبار ایجاد می‌کند. آنچه در ادامه می‌آید، تبادل چند هفته‌ای ارتباطات حرفه‌ای و قانع‌کننده است که اغلب با NDAهای ساختگی تقویت می‌شود، قبل از اینکه مهاجمان یک آرشیو ZIP مخرب حاوی MixShell را تحویل دهند.

این تاکتیک اعتمادسازی برای بیمار، ZipLine را از کمپین‌های مبتنی بر ترس متمایز می‌کند. در برخی موارد، مهاجمان حتی رویکرد خود را حول ابتکارات مبتنی بر هوش مصنوعی تنظیم می‌کنند و خود را به عنوان شرکایی معرفی می‌کنند که می‌توانند به کاهش هزینه‌ها و افزایش کارایی کمک کنند.

چه کسی در تیررس است؟

هدف‌گیری ZipLine گسترده است، اما بر سازمان‌های مستقر در ایالات متحده در صنایع حیاتی زنجیره تأمین متمرکز است. سایر مناطق تحت تأثیر شامل سنگاپور، ژاپن و سوئیس هستند.

بخش‌های کلیدی مورد هدف عبارتند از:

• تولید صنعتی (ماشین‌آلات، فلزکاری، قطعات، سیستم‌های مهندسی)
• سخت‌افزار و نیمه‌هادی‌ها
• بیوتکنولوژی و داروسازی
• تولید کالاهای مصرفی

مهاجمان همچنین از دامنه‌هایی که از شرکت‌های با مسئولیت محدود ثبت‌شده در ایالات متحده تقلید می‌کنند، استفاده می‌کنند و گاهی اوقات از دامنه‌های متعلق به کسب‌وکارهای قانونی اما غیرفعال، استفاده‌ی مجدد می‌کنند. این وب‌سایت‌های شبیه‌سازی‌شده به یک عملیات بسیار ساختاریافته و در مقیاس بزرگ اشاره دارند.

آناتومی زنجیره حمله

موفقیت ZipLine در فرآیند آلوده‌سازی چند مرحله‌ای آن نهفته است که برای پنهان‌کاری و ماندگاری طراحی شده است. آرشیوهای ZIP مورد استفاده برای حمله معمولاً در Herokuapp.com، یک سرویس ابری قانونی، میزبانی می‌شوند و به بدافزار کمک می‌کنند تا در فعالیت‌های عادی شبکه ادغام شود.

فرآیند عفونت شامل موارد زیر است:

• یک میانبر ویندوز (LNK) درون فایل زیپ، یک بارگذار پاورشل را فعال می‌کند.

پیوندها به فعالیت‌های تهدیدآمیز قبلی

محققان همپوشانی‌هایی بین گواهی‌های دیجیتال مورد استفاده در زیرساخت ZipLine و گواهی‌های مرتبط با حملات TransferLoader منتسب به گروه تهدید UNK_GreenSec شناسایی کرده‌اند. اگرچه نسبت دادن این موضوع هنوز نامشخص است، اما این ارتباط به یک عامل سازمان‌یافته و کارآمد با تجربه قبلی در کمپین‌های بزرگ اشاره دارد.

خطرات کمپین زیپ‌لاین

عواقب یک آلودگی موفق به MixShell می‌تواند شدید باشد، از سرقت مالکیت معنوی و به خطر افتادن ایمیل‌های تجاری گرفته تا حوادث باج‌افزاری و اختلال در زنجیره تأمین. با توجه به ماهیت صنایع هدف، این تأثیر می‌تواند فراتر از شرکت‌های منفرد به کل اکوسیستم‌های تولیدی سرایت کند.

اقدامات دفاعی: پیشی گرفتن از تهدیدهای مهندسی اجتماعی

کمپین ZipLine نشان می‌دهد که چگونه مجرمان سایبری با نوآوری، از روانشناسی انسانی، کانال‌های ارتباطی قابل اعتماد و مضامین مرتبط با هوش مصنوعی برای سوءاستفاده از اعتماد استفاده می‌کنند.

برای مقابله با چنین تهدیدهایی، سازمان‌ها باید:

• از روش‌های دفاعیِ مبتنی بر پیشگیریِ اولیه که قادر به تشخیص رفتارهای غیرعادی هستند، استفاده کنید.
• کارمندان را آموزش دهید تا صرف نظر از کانال ارتباطی مورد استفاده، با شک و تردید به هر درخواست ورودی نزدیک شوند.
• سیاست‌های سختگیرانه‌ای را در مدیریت فایل‌ها، به خصوص در مورد آرشیوهای ZIP و فایل‌های میانبر، اعمال کنید.
• نظارت بر ناهنجاری‌های ارتباطی مبتنی بر DNS که ممکن است نشان‌دهنده‌ی تونل‌زنی باشند را تقویت کنید.

ایجاد فرهنگ هوشیاری بسیار مهم است. اعتماد، زمانی که به سلاحی تبدیل شود، به یکی از مؤثرترین ابزارها در زرادخانه یک مهاجم تبدیل می‌شود.