GodDamn Ransomware؛ جدیدترین بازسازی Beast با درایور مخرب امضاشده توسط مایکروسافت برای غیرفعالسازی دفاعیات
در دنیای امنیت سایبری، تغییر نام و بازسازی (Rebranding) یکی از تاکتیکهای رایج گروههای باجافزاری برای فرار از شناسایی و ادامه فعالیتهای مجرمانه است. تیم شکار تهدید سیمانتک (Symantec) اخیراً یک باجافزار جدید به نام GodDamn را شناسایی کرده است که در نگاه اول ممکن است یک تهدید تازه به نظر برسد، اما در واقع جدیدترین بازسازی از خانواده باجافزارهای Beast و Monster است. تحلیلهای سیمانتک نشان میدهد که این باجافزار که اولین بار در ۲۱ مه ۲۰۲۶ مشاهده شد، از یک درایور کرنل مخرب به نام PoisonX استفاده میکند که توسط خود مایکروسافت امضا شده است تا دفاعیات امنیتی را قبل از رمزگذاری فایلها از کار بیندازد.
سیر تکامل Hyadina؛ از Monster تا GodDamn
گروهی که سیمانتک آن را با نام Hyadina ردیابی میکند، از مارس ۲۰۲۲ با باجافزار Monster فعالیت خود را آغاز کرد. این باجافزار که به زبان Delphi نوشته شده بود، نسخههای ۳۲ بیتی ویندوز را هدف قرار میداد و از هدفگیری سیستمهای مستقر در کشورهای مستقل همسود (CIS) خودداری میکرد. در نوامبر ۲۰۲۲، سیمانتک حملاتی را مستند کرد که در آن مهاجمان از ابزارهای سرقت اعتبارنامه مانند Mimikatz و مجموعهای از ابزارهای NirSoft استفاده میکردند.
در ژوئن ۲۰۲۴، Hyadina باجافزار خود را به Beast تغییر نام داد. این نسخه جدید علاوه بر بهبود عملکرد رمزگذاری، قابلیتهای بیشتری برای سفارشیسازی و کنترل در اختیار مهاجمان قرار میداد و برای اولین بار از سیستمهای لینوکس و VMware ESXi نیز پشتیبانی میکرد. اکنون در سال ۲۰۲۶، GodDamn به عنوان سومین بازسازی این خانواده ظاهر شده است. تحلیل سیمانتک نشان میدهد که کدهای GodDamn و Beast اشتراکات قابلتوجهی دارند که نشاندهنده تداوم توسعه توسط یک تیم واحد است.
PoisonX؛ درایور کرنل مخرب با امضای معتبر مایکروسافت
نقطه عطف و پیشرفت قابلتوجه در GodDamn، استفاده از درایور کرنل PoisonX است. این درایور که توسط "Microsoft Windows Hardware Compatibility Publisher" امضا شده است,به سیستم به عنوان یک درایور قانونی و قابل اعتماد معرفی میشود و ویندوز آن را بدون هیچ هشداری بارگذاری میکند. تفاوت اساسی PoisonX با حملات سنتی BYOVD (Bring Your Own Vulnerable Driver) در این است که در روش BYOVD، مهاجمان از یک درایور قانونی اما دارای آسیبپذیری سوءاستفاده میکنند. اما PoisonX به گفته سیمانتک «یک درایور مخرب است که توسعهدهندگان آن موفق شدهاند آن را توسط مایکروسافت امضا کنند». این درایور اولین بار در اوایل سال ۲۰۲۶ مستند شد، زمانی که برای خاتمه دادن به سرویس CrowdStrike Falcon از طریق یک رابط مستند نشده استفاده شد.
پس از بارگذاری، PoisonX در سطح کرنل اجرا میشود و به مهاجمان اجازه میدهد تا فرآیندهای امنیتی را خاتمه دهند و هوکهای API سطح کاربر را حذف کنند، که عملاً دیدگاه امنیتی نقطه پایانی را کور میکند. این قابلیت به مهاجمان امکان میدهد تا محصولات امنیتی از جمله آنتیویروسها و راهکارهای EDR را بدون کوچکترین هشداری از کار بیندازند. تیم سیمانتک با اشاره به این که «نباید توسط مایکروسافت امضا میشد»، بر خطرناک بودن این روند تأکید کرده است.
زنجیره حمله GodDamn؛ نفوذ، گسترش و رمزگذاری
تحلیل سیمانتک از یک حمله واقعی در اوایل ژوئن ۲۰۲۶، زنجیره پیچیدهای از فعالیتهای مخرب را آشکار کرده است که نشاندهنده سطح بالایی از برنامهریزی و تخصص است. بردار نفوذ اولیه در این حمله مشخص نیست، اما اولین فعالیت مخرب در ۲۹ مه ۲۰۲۶، زمانی که فایل AnyDesk در پوشه Music یکی از کاربران ظاهر شد، مشاهده گردید. قرارگیری AnyDesk در این مسیر غیرمعمول نشان میدهد که مهاجمان از قبل به سیستم دسترسی داشته و آن را به صورت دستی نصب کردهاند.
در ۳۰ مه، مهاجمان روی یک میزبان دوم در همان شبکه، دو ابزار فرار از شناسایی را مستقر کردند. اولین ابزار یک فایل با نام symantec.exe بود که در پوشه Music قرار داده شده بود تا خود را به عنوان یک محصول قانونی سیمانتک جا بزند. این ابزار مخرب، درایور امضاشده PoisonX را در سیستم بارگذاری میکرد. در همان میزبان، مهاجمان یک مجموعه کامل از ابزارهای سرقت اعتبارنامه شامل Mimikatz و ۱۴ ابزار NirSoft را در یک زیرپوشه قرار دادند. این ابزارها برای استخراج رمزهای عبور از مرورگرها، Windows Credential Manager، جلسات VNC، کلاینتهای ایمیل و پروفایلهای Wi-Fi طراحی شده بودند.
پس از یک وقفه دو روزه، در ۱ ژوئن، حرکت جانبی در شبکه آغاز شد. مهاجمان با استفاده از PsExec (ابزار قانونی مایکروسافت) و اعتبارنامههای سرقتشده، دستورات را به میزبانهای راهدور ارسال کردند. آنها ابتدا غیرفعالسازی نظارت بلادرنگ Windows Defender را انجام دادند و سپس روی هر میزبان جدید، AnyDesk را به صورت مخفیانه نصب کردند. برای اطمینان از ماندگاری، AnyDesk به عنوان دو سرویس ویندوز جداگانه ثبت شد تا پس از راهاندازی مجدد نیز فعال بماند. تا پایان ۲ ژوئن، این دنباله استقرار حداقل روی ۱۰ میزبان در سازمان هدف تکرار شده بود. در ۳ ژوئن، باینری GodDamn با نام encrypter-windows-gui-x86.exe برای اولین بار در یک بخش شبکه مجزا شناسایی شد. فاصله پنج روزه بین اولین فعالیت و رمزگذاری، نشاندهنده یک دوره اقامت (Dwell Time) است که در طی آن مهاجمان احتمالاً دادهها را خارج کرده یا شناسایی بیشتری انجام دادهاند.
شباهتهای GodDamn با حملات قبلی Hyadina
ابزارها و تکنیکهای استفادهشده در این حمله GodDamn، شباهتهای قابلتوجهی با کمپینهای قبلی Hyadina دارد که توسط سیمانتک مستند شدهاند. در یک حمله Monster در نوامبر ۲۰۲۲، مهاجمان از یک آرشیو خوداستخراج با رمز عبور حاوی Mimikatz و ابزارهای NirSoft استفاده کردند. در حملات Beast در ژوئن ۲۰۲۵، سیمانتک مشاهده کرد که مهاجمان از ابزارهای سفارشی برای یافتن اعتبارنامههای معتبر管理员، اسکنر روتکیت Gmer برای خاتمه فرآیندها، Defender Control برای غیرفعالسازی Windows Defender و IObit Unlocker برای باز کردن قفل فایلها و پوشهها استفاده میکردند.
استفاده مداوم از ابزارهای NirSoft و Mimikatz در کنار AnyDesk و NetScan در تمامی نسخههای Monster، Beast و GodDamn نشان میدهد که Hyadina یک مجموعه ابزار ثابت و اثباتشده را در طول سالها حفظ کرده و به تدریج آن را با قابلیتهای جدید مانند PoisonX ارتقا داده است.
نقش حیاتی سیمانتک در کشف و مقابله با تهدیدات پیشرفته
تکامل باجافزار GodDamn و استفاده از درایور PoisonX با امضای معتبر مایکروسافت، نشاندهنده یک تغییر پارادایم در تاکتیکهای فرار از شناسایی است. مهاجمان به جای سوءاستفاده از درایورهای آسیبپذیر، اکنون موفق به دریافت امضای معتبر برای درایورهای مخرب خود شدهاند که تشخیص و مسدودسازی آنها را برای راهکارهای امنیتی سنتی بسیار دشوار میسازد. تیم شکار تهدید سیمانتک با تحلیل دقیق این تهدید، اطلاعات حیاتی در مورد زنجیره حمله، ابزارهای مورد استفاده و شاخصهای آلودگی (IOCs) را در اختیار جامعه امنیت سایبری قرار داده است. کشف این که فایل symantec.exe به عنوان یک ابزار فرار از شناسایی استفاده میشود، نشان میدهد که مهاجمان چگونه از اعتبار برندهای معتبر سوءاستفاده میکنند. برای سازمانها، این تحقیق نشان میدهد که نظارت بر رفتارهای غیرعادی مانند نصب نرمافزار در مسیرهای غیراستاندارد، استفاده از ابزارهای مدیریت از راه دور و تلاش برای غیرفعالسازی دفاعیات، برای شناسایی حملات پیشرفته حیاتی است. سیمانتک با ارائه راهکارهای امنیتی پیشرفته مانند Symantec Endpoint Security و Symantec Endpoint Protection، به سازمانها کمک میکند تا در برابر این تهدیدات روزافزون مقاومت کنند و با تحلیل رفتار و شناسایی ناهنجاریها، از تبدیل شدن به قربانی بعدی GodDamn جلوگیری نمایند.