افشای ساختار و عملکرد درونی باند جنایت سایبری میلیارد دلاری Wizard Spider

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian.ir researchers expose inner working of wizard spider 1
عملکرد سازمانی و درونی یک گروه مجرم سایبری معروف به Wizard Spider یا عنکبوت جادوگر فاش شده است که ساختار سازمانی و انگیزه‌های آن را روشن می‌کند.

شرکت امنیت سایبری سوئیسی PRODAFT در گزارش جدیدی که با هکرنیوز به اشتراک گذاشته شده، گفت: "بیشتر تلاش‌های Wizard Spider با یک ابزار کرک ویژه که توسط برخی از مهاجمان آن‌ها برای نقض اهداف با ارزش استفاده می‌شود، به هک کردن مشاغل اروپایی و آمریکایی می‌پردازد. بخشی از پولی که آن‌ها به دست می‌آورند برای توسعه ابزار‌ها و پتانسیل‌های جدید به پروژه بازگردانده می‌شود".

گروه Wizard Spider، همچنین به عنوان Gold Blackburn شناخته می‌شود و تصور می‌شود که در خارج از روسیه فعالیت می‌کند و به یک عامل تهدید با انگیزه مالی اشاره دارد که به بات‌نت TrickBot، یک بدافزار مدولار که در اوایل سال جاری به طور رسمی به نفع بدافزار‌های بهبود یافته‌ای مانند BazarBackdoor، به طور رسمی متوقف شد، مرتبط است.

اما این همه ماجرا نیست. اپراتور‌های TrickBot همچنین به طور گسترده با Conti، یکی دیگر از گروه‌های جرایم سایبری مرتبط با روسیه که به دلیل ارائه پکیج‌های ransomware-as-a-service به شرکت‌های وابسته خود بدنام است، همکاری کرده‌اند.

گروه Gold Ulrick (با نام مستعار Grim Spider)، به عنوان گروهی که مسئول توزیع باج‌افزار Conti (که قبلاً Ryuk بوده است) نامیده می‌شود، از لحاظ تاریخی و تقویمی، از دسترسی اولیه ارائه شده توسط TrickBot برای استقرار باج‌افزار در برابر شبکه‌های هدف استفاده کرده است.

شرکت امنیت سایبری Secureworks در پروفایلی از سندیکای مجرمان سایبری خاطرنشان کرده است: «Gold Ulrick از برخی یا همه اپراتور‌های مشابه Gold Blackburn، که همان گروه تهدید مسئول توزیع بدافزار‌هایی مانند TrickBot، BazarLoader و Beur Loader است، تشکیل شده است".
takian.ir researchers expose inner working of wizard spider 2
همچنین PRODAFT با بیان اینکه این گروه "قادر به کسب درآمد از جنبه‌های مختلف عملیات خود" است، بر توانایی دشمن برای گسترش جرایم سازمان‌یافته خود تأکید کرد، که به گفته او با "سودآوری فوق‌العاده" این باند امکان‌پذیر شده است.

زنجیره‌های حمله معمولی که گروه را درگیر می‌کند با کمپین‌های هرزنامه شروع می‌شود که بدافزار‌هایی مانند Qakbot (معروف به QBot) و SystemBC را توزیع می‌کنند و از آن‌ها به‌عنوان سکوی پرتاب برای استقرار ابزار‌های اضافی، از جمله Cobalt Strike برای حرکت جانبی، قبل از اجرای نرم‌افزار قفل‌گذاری استفاده می‌کنند.

گروه Wizard Spider علاوه بر استفاده از ابزار‌های متعدد برای سرقت مدارک و اعتبارنامه‌ها، به استفاده از یک جعبه ابزار بهره‌برداری که از آسیب‌پذیری‌های امنیتی شناخته شده مانند Log4Shell برای به دست آوردن جایگاه اولیه در شبکه‌های قربانی استفاده می‌کند، شناخته شده است.

همچنین یک کرک استیشن است که میزبان هش‌های کرک شده مرتبط با اعتبارنامه‌های دامین، تیکت‌های Kerberos و فایل‌های KeePass و غیره است.

علاوه بر این، این گروه روی یک راه‌اندازی سفارشی VoIP سرمایه‌گذاری کرده است که در آن اپراتور‌های تلفنی استخدام شده با قربانیان تماس جعلی می‌گیرند تا پس از حمله باج‌افزاری فشار بیشتری وارد کرده و آن‌ها را مجبور به پرداخت باج کنند.

این اولین بار نیست که این گروه به چنین تاکتیکی متوسل می‌شود. سال گذشته، مایکرؤسافت یک کمپین BazarLoader به نام BazaCall را شرح داد که از مراکز تماس ساختگی برای فریب قربانیان ناآگاه برای نصب باج‌افزار بر روی سیستم‌هایشان استفاده می‌کرد.

محققان گفتند: "این گروه تعداد زیادی دستگاه در معرض خطر را تحت فرمان خود دارد و از یک ساختار کار بسیار حرفه‌ای توزیع شده برای حفظ امنیت و سرعت عملیاتی بالا استفاده می‌کند".

این دستگاه مسئول حجم عظیمی از هرزنامه در صد‌ها میلیارد دستگاه، و همچنین نقض متمرکز داده‌ها و حملات باج‌افزار به اهداف با ارزش است.

برچسب ها: BazaCall, VoIP, KeePass, Kerberos, Beur Loader, Grim Spider, BazarBackdoor, Gold Blackburn, عنکبوت جادوگر, Gold Ulrick, SystemBC, Qbot, نرم‌افزار, Log4j, Log4Shell, مجرم سایبری, Russia, بات‌نت, Qakbot, باج‌افزار, Secureworks, Ransomware-as-a-Service, Cobalt Strike, Wizard Spider, Conti, اعتبارنامه, Credentials, Ryuk, جرایم سایبری, cybersecurity, malware, ransomware , Trickbot, Botnet, روسیه, بدافزار, امنیت سایبری, Cyber Attacks, حمله سایبری

نوشته شده توسط تیم خبر.

چاپ