GodDamn Ransomware؛ جدیدترین بازسازی Beast با درایور مخرب امضاشده توسط مایکروسافت برای غیرفعال‌سازی دفاعیات

GodDamn Ransomware؛ جدیدترین بازسازی Beast با درایور مخرب امضاشده توسط مایکروسافت برای غیرفعال‌سازی دفاعیات

در دنیای امنیت سایبری، تغییر نام و بازسازی (Rebranding) یکی از تاکتیک‌های رایج گروه‌های باج‌افزاری برای فرار از شناسایی و ادامه فعالیت‌های مجرمانه است. تیم شکار تهدید سیمانتک (Symantec) اخیراً یک باج‌افزار جدید به نام GodDamn را شناسایی کرده است که در نگاه اول ممکن است یک تهدید تازه به نظر برسد، اما در واقع جدیدترین بازسازی از خانواده باج‌افزارهای Beast و Monster است. تحلیل‌های سیمانتک نشان می‌دهد که این باج‌افزار که اولین بار در ۲۱ مه ۲۰۲۶ مشاهده شد، از یک درایور کرنل مخرب به نام PoisonX استفاده می‌کند که توسط خود مایکروسافت امضا شده است تا دفاعیات امنیتی را قبل از رمزگذاری فایل‌ها از کار بیندازد.

 

 

سیر تکامل Hyadina؛ از Monster تا GodDamn

گروهی که سیمانتک آن را با نام Hyadina ردیابی می‌کند، از مارس ۲۰۲۲ با باج‌افزار Monster فعالیت خود را آغاز کرد. این باج‌افزار که به زبان Delphi نوشته شده بود، نسخه‌های ۳۲ بیتی ویندوز را هدف قرار می‌داد و از هدف‌گیری سیستم‌های مستقر در کشورهای مستقل همسود (CIS) خودداری می‌کرد. در نوامبر ۲۰۲۲، سیمانتک حملاتی را مستند کرد که در آن مهاجمان از ابزارهای سرقت اعتبارنامه مانند Mimikatz و مجموعه‌ای از ابزارهای NirSoft استفاده می‌کردند.

 

در ژوئن ۲۰۲۴، Hyadina باج‌افزار خود را به Beast تغییر نام داد. این نسخه جدید علاوه بر بهبود عملکرد رمزگذاری، قابلیت‌های بیشتری برای سفارشی‌سازی و کنترل در اختیار مهاجمان قرار می‌داد و برای اولین بار از سیستم‌های لینوکس و VMware ESXi نیز پشتیبانی می‌کرد. اکنون در سال ۲۰۲۶، GodDamn به عنوان سومین بازسازی این خانواده ظاهر شده است. تحلیل سیمانتک نشان می‌دهد که کدهای GodDamn و Beast اشتراکات قابل‌توجهی دارند که نشان‌دهنده تداوم توسعه توسط یک تیم واحد است.

 

PoisonX؛ درایور کرنل مخرب با امضای معتبر مایکروسافت

نقطه عطف و پیشرفت قابل‌توجه در GodDamn، استفاده از درایور کرنل PoisonX است. این درایور که توسط "Microsoft Windows Hardware Compatibility Publisher" امضا شده است,به سیستم به عنوان یک درایور قانونی و قابل اعتماد معرفی می‌شود و ویندوز آن را بدون هیچ هشداری بارگذاری می‌کند. تفاوت اساسی PoisonX با حملات سنتی BYOVD (Bring Your Own Vulnerable Driver) در این است که در روش BYOVD، مهاجمان از یک درایور قانونی اما دارای آسیب‌پذیری سوءاستفاده می‌کنند. اما PoisonX به گفته سیمانتک «یک درایور مخرب است که توسعه‌دهندگان آن موفق شده‌اند آن را توسط مایکروسافت امضا کنند». این درایور اولین بار در اوایل سال ۲۰۲۶ مستند شد، زمانی که برای خاتمه دادن به سرویس CrowdStrike Falcon از طریق یک رابط مستند نشده استفاده شد.

 

پس از بارگذاری، PoisonX در سطح کرنل اجرا می‌شود و به مهاجمان اجازه می‌دهد تا فرآیندهای امنیتی را خاتمه دهند و هوک‌های API سطح کاربر را حذف کنند، که عملاً دیدگاه امنیتی نقطه پایانی را کور می‌کند. این قابلیت به مهاجمان امکان می‌دهد تا محصولات امنیتی از جمله آنتی‌ویروس‌ها و راهکارهای EDR را بدون کوچک‌ترین هشداری از کار بیندازند. تیم سیمانتک با اشاره به این که «نباید توسط مایکروسافت امضا می‌شد»، بر خطرناک بودن این روند تأکید کرده است.

 

زنجیره حمله GodDamn؛ نفوذ، گسترش و رمزگذاری

تحلیل سیمانتک از یک حمله واقعی در اوایل ژوئن ۲۰۲۶، زنجیره پیچیده‌ای از فعالیت‌های مخرب را آشکار کرده است که نشان‌دهنده سطح بالایی از برنامه‌ریزی و تخصص است. بردار نفوذ اولیه در این حمله مشخص نیست، اما اولین فعالیت مخرب در ۲۹ مه ۲۰۲۶، زمانی که فایل AnyDesk در پوشه Music یکی از کاربران ظاهر شد، مشاهده گردید. قرارگیری AnyDesk در این مسیر غیرمعمول نشان می‌دهد که مهاجمان از قبل به سیستم دسترسی داشته و آن را به صورت دستی نصب کرده‌اند.

 

در ۳۰ مه، مهاجمان روی یک میزبان دوم در همان شبکه، دو ابزار فرار از شناسایی را مستقر کردند. اولین ابزار یک فایل با نام symantec.exe بود که در پوشه Music قرار داده شده بود تا خود را به عنوان یک محصول قانونی سیمانتک جا بزند. این ابزار مخرب، درایور امضاشده PoisonX را در سیستم بارگذاری می‌کرد. در همان میزبان، مهاجمان یک مجموعه کامل از ابزارهای سرقت اعتبارنامه شامل Mimikatz و ۱۴ ابزار NirSoft را در یک زیرپوشه قرار دادند. این ابزارها برای استخراج رمزهای عبور از مرورگرها، Windows Credential Manager، جلسات VNC، کلاینت‌های ایمیل و پروفایل‌های Wi-Fi طراحی شده بودند.

 

پس از یک وقفه دو روزه، در ۱ ژوئن، حرکت جانبی در شبکه آغاز شد. مهاجمان با استفاده از PsExec (ابزار قانونی مایکروسافت) و اعتبارنامه‌های سرقت‌شده، دستورات را به میزبان‌های راه‌دور ارسال کردند. آنها ابتدا غیرفعال‌سازی نظارت بلادرنگ Windows Defender را انجام دادند و سپس روی هر میزبان جدید، AnyDesk را به صورت مخفیانه نصب کردند. برای اطمینان از ماندگاری، AnyDesk به عنوان دو سرویس ویندوز جداگانه ثبت شد تا پس از راه‌اندازی مجدد نیز فعال بماند. تا پایان ۲ ژوئن، این دنباله استقرار حداقل روی ۱۰ میزبان در سازمان هدف تکرار شده بود. در ۳ ژوئن، باینری GodDamn با نام encrypter-windows-gui-x86.exe برای اولین بار در یک بخش شبکه مجزا شناسایی شد. فاصله پنج روزه بین اولین فعالیت و رمزگذاری، نشان‌دهنده یک دوره اقامت (Dwell Time) است که در طی آن مهاجمان احتمالاً داده‌ها را خارج کرده یا شناسایی بیشتری انجام داده‌اند.

 

شباهت‌های GodDamn با حملات قبلی Hyadina

ابزارها و تکنیک‌های استفاده‌شده در این حمله GodDamn، شباهت‌های قابل‌توجهی با کمپین‌های قبلی Hyadina دارد که توسط سیمانتک مستند شده‌اند. در یک حمله Monster در نوامبر ۲۰۲۲، مهاجمان از یک آرشیو خوداستخراج با رمز عبور حاوی Mimikatz و ابزارهای NirSoft استفاده کردند. در حملات Beast در ژوئن ۲۰۲۵، سیمانتک مشاهده کرد که مهاجمان از ابزارهای سفارشی برای یافتن اعتبارنامه‌های معتبر管理员، اسکنر روت‌کیت Gmer برای خاتمه فرآیندها، Defender Control برای غیرفعال‌سازی Windows Defender و IObit Unlocker برای باز کردن قفل فایل‌ها و پوشه‌ها استفاده می‌کردند.

 

استفاده مداوم از ابزارهای NirSoft و Mimikatz در کنار AnyDesk و NetScan در تمامی نسخه‌های Monster، Beast و GodDamn نشان می‌دهد که Hyadina یک مجموعه ابزار ثابت و اثبات‌شده را در طول سال‌ها حفظ کرده و به تدریج آن را با قابلیت‌های جدید مانند PoisonX ارتقا داده است.

 

نقش حیاتی سیمانتک در کشف و مقابله با تهدیدات پیشرفته

تکامل باج‌افزار GodDamn و استفاده از درایور PoisonX با امضای معتبر مایکروسافت، نشان‌دهنده یک تغییر پارادایم در تاکتیک‌های فرار از شناسایی است. مهاجمان به جای سوءاستفاده از درایورهای آسیب‌پذیر، اکنون موفق به دریافت امضای معتبر برای درایورهای مخرب خود شده‌اند که تشخیص و مسدودسازی آنها را برای راهکارهای امنیتی سنتی بسیار دشوار می‌سازد. تیم شکار تهدید سیمانتک با تحلیل دقیق این تهدید، اطلاعات حیاتی در مورد زنجیره حمله، ابزارهای مورد استفاده و شاخص‌های آلودگی (IOCs) را در اختیار جامعه امنیت سایبری قرار داده است. کشف این که فایل symantec.exe به عنوان یک ابزار فرار از شناسایی استفاده می‌شود، نشان می‌دهد که مهاجمان چگونه از اعتبار برندهای معتبر سوءاستفاده می‌کنند. برای سازمان‌ها، این تحقیق نشان می‌دهد که نظارت بر رفتارهای غیرعادی مانند نصب نرم‌افزار در مسیرهای غیراستاندارد، استفاده از ابزارهای مدیریت از راه دور و تلاش برای غیرفعال‌سازی دفاعیات، برای شناسایی حملات پیشرفته حیاتی است. سیمانتک با ارائه راهکارهای امنیتی پیشرفته مانند Symantec Endpoint Security و Symantec Endpoint Protection، به سازمان‌ها کمک می‌کند تا در برابر این تهدیدات روزافزون مقاومت کنند و با تحلیل رفتار و شناسایی ناهنجاری‌ها، از تبدیل شدن به قربانی بعدی GodDamn جلوگیری نمایند.

بازخوردها
    ارسال نظر
    (بعد از تائید مدیر منتشر خواهد شد)
    • - نشانی ایمیل شما منتشر نخواهد شد.
    • - لطفا دیدگاهتان تا حد امکان مربوط به مطلب باشد.
    • - لطفا فارسی بنویسید.
    • - میخواهید عکس خودتان کنار نظرتان باشد؟ به gravatar.com بروید و عکستان را اضافه کنید.
    • - نظرات شما بعد از تایید مدیریت منتشر خواهد شد