پایگاه دانش سیمانتک معرفی باج‌افزار Osiris و جایگاه آن در چشم‌انداز تهدیدات سایبری

معرفی باج‌افزار Osiris و جایگاه آن در چشم‌انداز تهدیدات سایبری

معرفی باج‌افزار Osiris و جایگاه آن در چشم‌انداز تهدیدات سایبری

معرفی باج‌افزار Osiris و جایگاه آن در چشم‌انداز تهدیدات سایبری

در ژانویه ۲۰۲۶، تیم‌های اطلاعات تهدید شرکت سیمانتک و Carbon Black Threat Hunter گزارشی منتشر کردند که به معرفی یک خانواده جدید از باج‌افزارها با نام Osiris می‌پردازد؛ تهدیدی که در نوامبر ۲۰۲۵ در جریان حمله‌ای هدفمند علیه یکی از بزرگ‌ترین اپراتورهای فرنچایز خدمات غذایی در جنوب شرق آسیا شناسایی شد. اگرچه نام Osiris پیش‌تر در سال ۲۰۱۶ نیز برای یک باج‌افزار مرتبط با Locky استفاده شده بود، بررسی‌های دقیق سیمانتک نشان می‌دهد که نمونه جدید هیچ ارتباط فنی یا عملیاتی با نسخه قدیمی نداشته و با یک خانواده کاملا جدید و مستقل روبه‌رو هستیم. این تمایز از منظر تحلیل تهدیدات اهمیت بالایی دارد، زیرا نشان می‌دهد بازیگران تهدید به‌صورت آگاهانه از نام‌های قدیمی برای ایجاد ابهام، انحراف تحلیل‌گران یا بهره‌برداری روانی استفاده می‌کنند. سیمانتک در گزارش خود تاکید می‌کند که Osiris نه‌تنها از نظر کد و معماری متفاوت است، بلکه از لحاظ زنجیره حمله، انتخاب ابزارها و شیوه اجرای عملیات نیز نشان‌دهنده بلوغ و تجربه بالای مهاجمان است. اهمیت این کشف در آن است که Osiris در اولین مشاهده خود، نه به‌عنوان یک باج‌افزار ساده، بلکه به‌عنوان بخشی از یک عملیات پیچیده چندمرحله‌ای ظاهر شد که شامل استخراج داده، تخریب دفاع‌های امنیتی، دسترسی پایدار و در نهایت رمزگذاری سیستم‌ها بود. تمرکز سیمانتک بر این نکته است که ظهور چنین تهدیدی نشان‌دهنده ادامه روند حرفه‌ای‌سازی اکوسیستم باج‌افزارها است، جایی که مرز میان گروه‌های مختلف کمرنگ شده و ابزارها و تکنیک‌ها میان بازیگران تهدید دست‌به‌دست می‌شود. از دیدگاه سئو و تحلیل بازار امنیت سایبری، Osiris نمونه‌ای شاخص از نسل جدید باج‌افزارهایی است که دیگر صرفا بر رمزگذاری فایل‌ها تکیه ندارند، بلکه با ترکیب حملات BYOVD، ابزارهای dual-use و سرویس‌های ابری قانونی، به تهدیدی چندوجهی برای سازمان‌ها تبدیل شده‌اند.

 

تحلیل فنی سیمانتک از قابلیت‌های رمزگذاری و عملکرد باج‌افزار Osiris

بر اساس تحلیل فنی سیمانتک، باج‌افزار Osiris از مجموعه‌ای کامل از قابلیت‌های استاندارد و پیشرفته باج‌افزاری برخوردار است که آن را به یک ابزار مخرب موثر در عملیات‌های هدفمند تبدیل می‌کند. این بدافزار توانایی متوقف‌سازی سرویس‌ها، خاتمه دادن به پردازش‌های حیاتی، تعیین مسیرها و پسوندهای خاص برای رمزگذاری و حذف Shadow Copyها از طریق VSS را داراست؛ اقداماتی که همگی با هدف جلوگیری از بازیابی داده‌ها توسط قربانی انجام می‌شوند. سیمانتک گزارش می‌دهد که Osiris از یک مدل رمزگذاری ترکیبی شامل ECC و AES-128 در حالت CTR استفاده می‌کند و برای هر فایل یک کلید AES منحصربه‌فرد تولید می‌شود، موضوعی که بازیابی بدون کلید خصوصی مهاجمان را عملا غیرممکن می‌سازد. استفاده از Completion I/O Port برای مدیریت عملیات I/O غیرهمزمان نیز نشان‌دهنده توجه توسعه‌دهندگان به کارایی و سرعت رمزگذاری است، به‌ویژه در شبکه‌های بزرگ سازمانی. سیمانتک همچنین به لیست گسترده پردازش‌ها و سرویس‌هایی اشاره می‌کند که توسط Osiris متوقف یا خاتمه داده می‌شوند؛ از پایگاه‌های داده مانند SQL و Oracle گرفته تا نرم‌افزارهای آفیس، ابزارهای ایمیل، سرویس‌های بکاپ‌گیری و حتی برنامه‌های کاربرمحور. این گستردگی نشان می‌دهد که مهاجمان درک دقیقی از محیط‌های سازمانی داشته و با هدف حداکثرسازی اثرگذاری حمله عمل می‌کنند. در کنار این موارد، باج‌افزار پسوند .Osiris را به فایل‌های رمزگذاری‌شده اضافه کرده و یادداشت اخاذی با نام Osiris-MESSAGE.txt را در سیستم قربانی قرار می‌دهد که حاوی جزئیات سرقت داده و لینک مذاکره با مهاجمان است. از منظر سیمانتک، این ترکیب از تکنیک‌های رمزگذاری قوی، تخریب قابلیت‌های بازیابی و فشار روانی از طریق تهدید افشای داده‌ها، Osiris را در رده باج‌افزارهای مدرن double extortion قرار می‌دهد. چنین تحلیلی برای سازمان‌ها و متخصصان امنیت سایبری اهمیت بالایی دارد، زیرا نشان می‌دهد دفاع صرف در برابر رمزگذاری کافی نیست و باید کل زنجیره حمله، از دسترسی اولیه تا استخراج داده، مورد توجه قرار گیرد.

 

زنجیره حمله Osiris از دیدگاه تیم Threat Intelligence سیمانتک

سیمانتک در بررسی زنجیره حمله Osiris تاکید ویژه‌ای بر مرحله پیش از استقرار باج‌افزار دارد؛ مرحله‌ای که اغلب نادیده گرفته می‌شود اما نقش کلیدی در موفقیت حمله ایفا می‌کند. چند روز پیش از اجرای نهایی باج‌افزار، فعالیت‌های مشکوکی در شبکه هدف شناسایی شد که شامل استفاده از ابزار Rclone برای استخراج داده‌ها به یک باکت Wasabi بود. Wasabi به‌عنوان یک سرویس ذخیره‌سازی ابری قانونی، بارها توسط گروه‌های باج‌افزاری برای پنهان‌سازی ترافیک مخرب استفاده شده و سیمانتک اشاره می‌کند که همین تاکتیک پیش‌تر در حملات منتسب به باج‌افزار Inc در اکتبر ۲۰۲۵ مشاهده شده بود. این همپوشانی، به‌همراه استفاده از نسخه‌ای از Mimikatz با نام فایل kaz.exe که دقیقا با نمونه‌های مورد استفاده توسط Inc یکسان است، احتمال ارتباط عملیاتی یا حداقل انتقال دانش میان این بازیگران را تقویت می‌کند. در ادامه زنجیره حمله، مهاجمان از ابزارهای dual-use مانند Netscan، Netexec و MeshAgent برای شناسایی شبکه، حرکت جانبی و حفظ دسترسی استفاده کردند. همچنین نسخه‌ای دستکاری‌شده از ابزار Rustdesk به‌عنوان RMM به کار گرفته شد که با تغییر آیکن و توضیحات فایل به “WinZip Remote Desktop” تلاش داشت فعالیت مخرب خود را پنهان کند. از دیدگاه سیمانتک، این سطح از مهندسی اجتماعی فنی نشان می‌دهد که مهاجمان نه‌تنها به ابزارها، بلکه به نحوه دیده‌شدن آن‌ها در محیط قربانی نیز توجه ویژه دارند. زنجیره حمله با استقرار درایور مخرب Poortry یا Abyssworker تکمیل می‌شود؛ درایوری که به‌عنوان بخشی از حمله BYOVD برای غیرفعال‌سازی نرم‌افزارهای امنیتی استفاده شده است. سیمانتک تاکید می‌کند که استفاده همزمان از KillAV، فعال‌سازی RDP و بهره‌گیری از درایورهای سطح کرنل، تصویری واضح از یک عملیات حساب‌شده و چندلایه ارائه می‌دهد که هدف آن از کار انداختن کامل مکانیسم‌های دفاعی پیش از رمزگذاری نهایی است.

 

نقش درایور Poortry و حملات BYOVD در تحلیل سیمانتک

یکی از مهم‌ترین بخش‌های گزارش سیمانتک درباره Osiris، تمرکز بر استفاده از درایور مخرب Poortry در قالب حملات bring-your-own-vulnerable-driver یا BYOVD است؛ روشی که امروزه به شایع‌ترین تکنیک برای تضعیف دفاع‌های امنیتی توسط باج‌افزارها تبدیل شده است. Poortry که نخستین‌بار در سال ۲۰۲۲ توسط تیم Mandiant گزارش شد، در سال‌های ۲۰۲۴ و ۲۰۲۵ نیز در حملات منتسب به گروه Medusa مورد استفاده قرار گرفته بود. نکته قابل‌توجه از نگاه سیمانتک این است که Poortry برخلاف بسیاری از درایورهای مورد استفاده در حملات BYOVD، ظاهرا یک درایور سفارشی است که توسط خود مهاجمان توسعه داده شده و سپس به‌نوعی موفق به دریافت امضای دیجیتال شده است. این موضوع سطح بالاتری از سرمایه‌گذاری و مهارت فنی را نشان می‌دهد و خطر این نوع تهدیدات را برای اکوسیستم امنیتی دوچندان می‌کند. در حمله مورد بررسی، Poortry با جعل هویت یک درایور ضد اکسپلویت Malwarebytes در شبکه قربانی مستقر شد و با دسترسی کرنل‌مود، امکان خاتمه دادن به پردازش‌های امنیتی و غیرفعال‌سازی محصولات دفاعی را فراهم کرد. سیمانتک همچنین اشاره می‌کند که در بسیاری از حملات Medusa، درایور Poortry همراه با لودری به نام Stonestop استفاده شده، اگرچه در این مورد خاص تمرکز بر خود درایور بوده است. اهمیت این تحلیل برای سازمان‌ها در آن است که نشان می‌دهد حتی استفاده از درایورهای امضاشده نیز تضمین‌کننده امنیت نیست و راهکارهای امنیتی باید قادر به تشخیص رفتارهای غیرعادی در سطح کرنل باشند. از منظر راهبردی، سیمانتک تاکید می‌کند که افزایش استفاده از BYOVD بیانگر تغییر موازنه قدرت میان مهاجمان و مدافعان است؛ جایی که مهاجمان با سوءاستفاده از اعتماد ذاتی سیستم‌عامل به درایورها، عملا لایه‌های دفاعی سنتی را دور می‌زنند.

 

ارتباط احتمالی Osiris با Inc و Medusa از منظر سیمانتک

یکی از سوالات کلیدی که در گزارش سیمانتک مطرح می‌شود، این است که آیا Osiris صرفا یک باج‌افزار جدید با تقلید از تاکتیک‌های قدیمی است یا اینکه توسط بازیگرانی با سابقه در گروه‌های شناخته‌شده توسعه و استفاده شده است. شواهدی مانند استفاده از Wasabi برای استخراج داده، بهره‌گیری از Mimikatz با نام فایل kaz.exe و شباهت در شیوه‌های عملیاتی، همگی به فعالیت‌های پیشین گروه Inc اشاره دارند. در عین حال، استفاده از درایور Poortry که پیش‌تر در حملات Medusa مشاهده شده، این فرضیه را تقویت می‌کند که شاید برخی از اعضا یا همکاران این گروه‌ها اکنون در قالبی جدید فعالیت می‌کنند. سیمانتک با احتیاط تاکید می‌کند که این همپوشانی‌ها لزوما به معنای انتساب قطعی نیست، زیرا ابزارها و تکنیک‌ها در اکوسیستم زیرزمینی به‌سرعت منتشر و بازاستفاده می‌شوند. با این حال، از منظر تحلیل تهدید، چنین الگوهایی برای پیش‌بینی رفتارهای آینده اهمیت بالایی دارند. سیمانتک اشاره می‌کند که حتی اگر Osiris یک عملیات تقلیدی باشد، تقلید از Inc و Medusa خود نشان‌دهنده انتخاب آگاهانه روش‌هایی است که پیش‌تر اثربخشی بالایی داشته‌اند. این موضوع برای تیم‌های امنیتی به معنای آن است که شناخت تاکتیک‌ها، تکنیک‌ها و رویه‌های گروه‌های شناخته‌شده همچنان ارزشمند است، حتی زمانی که نام باج‌افزار تغییر می‌کند. در نهایت، سیمانتک نتیجه می‌گیرد که Osiris را باید نه به‌عنوان یک تهدید منفرد، بلکه به‌عنوان بخشی از یک روند پویا و در حال تحول در نظر گرفت که در آن مرز میان گروه‌ها، ابزارها و کمپین‌ها هر روز مبهم‌تر می‌شود.

 

اهمیت تحلیل‌های سیمانتک برای سازمان‌ها

 در جمع‌بندی گزارش، سیمانتک تاکید می‌کند که ظهور باج‌افزار Osiris نمونه‌ای روشن از وضعیت فعلی چشم‌انداز تهدیدات سایبری است؛ فضایی که در آن بازیگران باتجربه با بهره‌گیری از ابزارهای قانونی، تکنیک‌های پیشرفته و زیرساخت‌های ابری، حملاتی چندلایه و هدفمند طراحی می‌کنند. Osiris اگرچه یک نام جدید است، اما ترفندهای آن برای متخصصان امنیت سایبری ناآشنا نیست و همین ترکیب «جدید بودن ظاهری و قدیمی بودن تاکتیکی» آن را به تهدیدی جدی تبدیل می‌کند. تحلیل‌های سیمانتک نشان می‌دهد که سازمان‌ها باید فراتر از راهکارهای سنتی ضدباج‌افزار فکر کنند و تمرکز خود را بر شناسایی فعالیت‌های پیش‌حمله، رفتارهای غیرعادی در سطح کرنل، سوءاستفاده از ابزارهای dual-use و انتقال داده به سرویس‌های ابری قانونی معطوف سازند. از منظر راهبردی، این گزارش بار دیگر اهمیت Threat Intelligence، همبستگی رویدادها و دید جامع نسبت به زنجیره حمله را برجسته می‌کند. سیمانتک با ارائه این تحلیل، نه‌تنها یک تهدید جدید را معرفی کرده، بلکه نقشه‌ای از روندهای آینده باج‌افزاری ترسیم کرده است که برای مدیران فناوری اطلاعات، تیم‌های SOC و تصمیم‌گیرندگان امنیتی ارزش بالایی دارد. در دنیایی که باج‌افزارها به‌سرعت تکامل می‌یابند، چنین گزارش‌هایی به سازمان‌ها کمک می‌کند تا به‌جای واکنش صرف، رویکردی پیش‌دستانه و مبتنی بر آگاهی اتخاذ کنند؛ رویکردی که شاید تنها راه بقا در برابر موج بعدی تهدیدات باشد.

بازخوردها
    ارسال نظر
    (بعد از تائید مدیر منتشر خواهد شد)
    • - نشانی ایمیل شما منتشر نخواهد شد.
    • - لطفا دیدگاهتان تا حد امکان مربوط به مطلب باشد.
    • - لطفا فارسی بنویسید.
    • - میخواهید عکس خودتان کنار نظرتان باشد؟ به gravatar.com بروید و عکستان را اضافه کنید.
    • - نظرات شما بعد از تایید مدیریت منتشر خواهد شد
    مطالب مرتبط