پایگاه دانش سیمانتک هدایای ناخواسته سایبری؛ چگونه مهاجمان با دعوت‌نامه‌های جعلی شبکه‌ها را آلوده می‌کنند؟ (تحلیل سیمانتک)

هدایای ناخواسته سایبری؛ چگونه مهاجمان با دعوت‌نامه‌های جعلی شبکه‌ها را آلوده می‌کنند؟ (تحلیل سیمانتک)

هدایای ناخواسته سایبری؛ چگونه مهاجمان با دعوت‌نامه‌های جعلی شبکه‌ها را آلوده می‌کنند؟ (تحلیل سیمانتک)

کمپین‌های فیشینگ نوین و چالش‌های امنیتی پیش‌روی سازمان‌ها از نگاه سیمانتک

 در سال‌های اخیر، چشم‌انداز تهدیدات سایبری به شکل قابل توجهی پیچیده‌تر شده است و مهاجمان سایبری با بهره‌گیری از ابزارهای قانونی و ظاهرا بی‌خطر، حملات خود را مخفی‌تر، ماندگارتر و سودآورتر کرده‌اند. یکی از جدیدترین نمونه‌های این تحول، کمپین گسترده‌ای است که با استفاده از دعوت‌نامه‌های جعلی مهمانی، فاکتورهای ساختگی و مکاتبات اداری، سازمان‌ها را هدف قرار داده و با نصب ابزارهای مدیریت و پایش از راه دور یا همان RMM، دسترسی طولانی‌مدت به شبکه قربانیان ایجاد می‌کند. شرکت سیمانتک به عنوان یکی از پیشگامان جهانی در حوزه امنیت سایبری، این نوع حملات را نمونه‌ای بارز از سوءاستفاده مهاجمان از اعتماد کاربران و ابزارهای قانونی می‌داند.

 

معرفی سیمانتک و نقش آن در شناسایی تهدیدات پیشرفته سایبری

 سیمانتک سال‌هاست که به عنوان یکی از معتبرترین برندهای امنیت اطلاعات در جهان شناخته می‌شود و با بهره‌گیری از شبکه گسترده جمع‌آوری داده، تحلیل تهدیدات و هوش مصنوعی، توانسته است بسیاری از کمپین‌های پیچیده بدافزاری را در مراحل اولیه شناسایی کند. تمرکز سیمانتک تنها بر شناسایی بدافزارهای سنتی نیست، بلکه تحلیل رفتار مهاجمان، زنجیره حمله و اهداف نهایی آن‌ها بخش اصلی تحقیقات این شرکت را تشکیل می‌دهد. در بررسی اخیر نیز سیمانتک با تحلیل دقیق الگوهای حمله، تغییر تاکتیک‌ها و ابزارهای مورد استفاده مهاجمان، تصویری روشن از یک تهدید در حال تکامل ارائه داده است.

 

تعریف ابزارهای RMM و چرایی جذابیت آن‌ها برای مهاجمان سایبری

 ابزارهای Remote Monitoring and Management یا RMM در اصل برای مدیریت سیستم‌ها، پشتیبانی فنی و نگهداری زیرساخت‌های فناوری اطلاعات طراحی شده‌اند. این ابزارها امکان دسترسی از راه دور، نصب نرم‌افزار، عیب‌یابی و پایش سیستم‌ها را فراهم می‌کنند و در بسیاری از سازمان‌ها به صورت گسترده و قانونی استفاده می‌شوند. از دید مهاجمان سایبری، همین مشروعیت و فراگیری، RMMها را به ابزاری ایده‌آل برای نفوذ تبدیل کرده است. سیمانتک تاکید می‌کند که استفاده از RMM باعث می‌شود فعالیت مهاجم در بسیاری از موارد به عنوان رفتار عادی IT تلقی شده و مدت زمان شناسایی حمله به شدت افزایش یابد.

 

شروع کمپین: فیشینگ با طعم دعوت‌نامه‌های فریبنده

 طبق تحلیل سیمانتک، نقطه آغاز این کمپین، ایمیل‌های فیشینگی است که با موضوعاتی جذاب و متناسب با مناسبت‌های فصلی ارسال می‌شوند. دعوت‌نامه‌های جعلی مهمانی‌های پایان سال، ایمیل‌های مرتبط با جشن‌های سازمانی یا حتی پیام‌هایی با عنوان پرداخت‌های معوقه و اسناد مالی، همگی برای تحریک کاربر به کلیک روی لینک مخرب طراحی شده‌اند. این روش نشان می‌دهد که مهاجمان به خوبی با روانشناسی کاربران آشنا هستند و از فضای کاری و اجتماعی سازمان‌ها سوءاستفاده می‌کنند.

 

زنجیره حمله از دید سیمانتک: از کلیک ساده تا نفوذ عمیق

 پس از کلیک کاربر روی لینک موجود در ایمیل، فایل‌های نصب‌کننده مخرب که اغلب به شکل فایل‌های MSI یا اجرایی ارائه می‌شوند، دانلود می‌گردند. در برخی موارد، این فایل‌ها دارای امضای دیجیتال هستند که شناسایی آن‌ها را برای راهکارهای امنیتی سنتی دشوارتر می‌کند. سیمانتک توضیح می‌دهد که این فایل‌ها در گذشته عمدتا اقدام به نصب ScreenConnect می‌کردند، اما با گذشت زمان، مهاجمان تنوع ابزارهای خود را افزایش داده‌اند تا احتمال شناسایی کاهش یابد.

 

ScreenConnect و سوءاستفاده مهاجمان از ابزارهای قانونی

 ScreenConnect یکی از ابزارهای شناخته‌شده RMM است که به طور گسترده در شرکت‌های پشتیبانی فناوری اطلاعات استفاده می‌شود. مهاجمان در این کمپین با نصب ScreenConnect، یک کانال ارتباطی پایدار با سیستم قربانی ایجاد می‌کنند و از آن برای دانلود و اجرای ابزارهای ثانویه استفاده می‌نمایند. سیمانتک این مرحله را نقطه تثبیت حمله می‌داند، جایی که مهاجم دیگر نیازی به تعامل مستقیم کاربر ندارد و می‌تواند به صورت نامحسوس فعالیت خود را ادامه دهد.

 

ابزارهای ثانویه: پوشاندن ردپا و سرقت اطلاعات حساس

 پس از استقرار اولیه RMM، مجموعه‌ای از ابزارهای کمکی روی سیستم قربانی نصب می‌شود که هرکدام هدف مشخصی را دنبال می‌کنند. از جمله این ابزارها می‌توان به HideMouse اشاره کرد که حرکت نشانگر ماوس را مخفی می‌کند و به مهاجم اجازه می‌دهد بدون جلب توجه کاربر فعالیت کند. ابزار WebBrowserPassView نیز برای استخراج گذرواژه‌های ذخیره‌شده در مرورگرها استفاده می‌شود. سیمانتک تاکید می‌کند که استفاده از این ابزارها نشان‌دهنده تمرکز مهاجمان بر سرقت اعتبارنامه‌ها و گسترش دسترسی در شبکه است.

 

غیرفعال‌سازی راهکارهای امنیتی و نقش Defender Control

 یکی دیگر از ابزارهای مورد استفاده مهاجمان Defender Control است که برای غیرفعال‌سازی Windows Defender به کار می‌رود. این اقدام به مهاجم اجازه می‌دهد سایر ابزارها و بدافزارها را بدون مزاحمت اجرا کند. از دید سیمانتک، این مرحله نشان می‌دهد که مهاجمان به خوبی با محیط‌های ویندوزی آشنا هستند و به صورت هدفمند، لایه‌های دفاعی سیستم را تضعیف می‌کنند.

 

تغییر تاکتیک‌ها: حرکت از یک RMM به چندین RMM

 یکی از نکات کلیدی که سیمانتک در این کمپین شناسایی کرده، تغییر تدریجی تاکتیک مهاجمان است. در ابتدا تمرکز اصلی بر ScreenConnect بود، اما از ماه ژوئن، ابزار SimpleHelp نیز به زنجیره حمله اضافه شد. سپس در ماه‌های بعدی، ابزارهایی مانند PDQ و Atera نیز مورد استفاده قرار گرفتند. این تنوع ابزارها نشان‌دهنده تلاش مهاجمان برای افزایش ماندگاری و انعطاف‌پذیری حمله است.

 

LogMeIn Resolve و Naverisk: مرحله جدید حملات

 از ماه اکتبر، تمرکز مهاجمان به شکل قابل توجهی به سمت LogMeIn Resolve و Naverisk تغییر کرده است. این ابزارها نیز مانند سایر RMMها، کاملا قانونی هستند و در بسیاری از سازمان‌ها استفاده می‌شوند. سیمانتک توضیح می‌دهد که نصب این ابزارها اغلب با نام فایل‌های جعلی مانند adobereaderdc.clientsetup.msi انجام می‌شود تا کاربر و حتی تیم IT به آن‌ها مشکوک نشوند.

 

نصب تدریجی ابزارها و افزایش زمان ماندگاری در شبکه

 برخلاف بسیاری از حملات سنتی که همه ابزارها به صورت همزمان نصب می‌شوند، در این کمپین ابزارهای RMM به صورت مرحله‌ای و با فاصله زمانی نصب می‌شوند. این رویکرد باعث می‌شود الگوی حمله پراکنده‌تر به نظر برسد و شناسایی آن دشوارتر شود. سیمانتک این روش را نشانه‌ای از بلوغ عملیاتی مهاجمان می‌داند.

 نمونه‌های واقعی از حملات شناسایی‌شده توسط سیمانتک

 در یکی از موارد بررسی‌شده، یک سازمان در ماه آگوست با نصب اولیه ScreenConnect آلوده شد و سپس در ماه سپتامبر نسخه دیگری از همان ابزار و پس از آن LogMeIn Resolve روی سیستم نصب گردید. در نمونه‌ای دیگر، ابتدا LogMeIn Resolve نصب شد و بلافاصله برای استقرار ScreenConnect و ابزارهای سرقت اطلاعات مورد استفاده قرار گرفت. این مثال‌ها نشان می‌دهد که مهاجمان بسته به شرایط، ترتیب ابزارها را تغییر می‌دهند.

 

اهداف نهایی مهاجمان از نگاه سیمانتک

 اگرچه هدف نهایی این کمپین به طور قطعی مشخص نشده است، اما تحلیل سیمانتک نشان می‌دهد که تمرکز بر دسترسی پایدار و سرقت اعتبارنامه‌ها، می‌تواند مقدمه‌ای برای فروش دسترسی به سایر گروه‌های مجرم سایبری باشد. این دسترسی‌ها اغلب برای حملات باج‌افزاری، استخراج داده یا جاسوسی صنعتی مورد استفاده قرار می‌گیرند.

 

احتمال فروش دسترسی و ارتباط با حملات باج‌افزاری

 یکی از سناریوهای محتمل، فروش دسترسی ایجادشده به گروه‌های باج‌افزاری است. سیمانتک در گزارش‌های پیشین نیز به این مدل تجاری اشاره کرده است که در آن یک گروه مسئول نفوذ اولیه بوده و گروه دیگر مرحله نهایی حمله را اجرا می‌کند. این تقسیم کار باعث افزایش بهره‌وری مجرمان سایبری شده است.

 

نقش سیمانتک در مقابله با سوءاستفاده از ابزارهای قانونی

 سیمانتک تاکید می‌کند که مقابله با چنین حملاتی نیازمند رویکردی فراتر از شناسایی بدافزارهای سنتی است. تحلیل رفتار، بررسی الگوهای نصب نرم‌افزار و نظارت دقیق بر ابزارهای مدیریتی از جمله اقداماتی است که می‌تواند فعالیت مشکوک را آشکار کند. راهکارهای پیشرفته سیمانتک با تمرکز بر رفتارشناسی، قادر به شناسایی استفاده غیرعادی از RMMها هستند.

 

اهمیت آموزش کاربران در کاهش موفقیت حملات فیشینگ

 اگرچه راهکارهای فنی نقش مهمی دارند، اما سیمانتک همواره بر اهمیت آموزش کاربران تاکید می‌کند. بسیاری از این حملات با یک کلیک ساده آغاز می‌شوند و آگاهی کاربران نسبت به ایمیل‌های مشکوک می‌تواند به شکل قابل توجهی سطح ریسک را کاهش دهد. دعوت‌نامه‌های غیرمنتظره و فایل‌های اجرایی پیوست‌شده باید همیشه با دیده تردید بررسی شوند.

 

توصیه‌های امنیتی سیمانتک برای سازمان‌ها

 سیمانتک به سازمان‌ها توصیه می‌کند که فهرستی دقیق از ابزارهای RMM مجاز تهیه کرده و هرگونه نصب خارج از این فهرست را به عنوان رویداد مشکوک بررسی کنند. همچنین پایش مداوم سیستم‌ها، ثبت لاگ‌های دقیق و استفاده از راهکارهای EDR می‌تواند به شناسایی سریع‌تر این نوع نفوذها کمک کند.

 

درس‌هایی از یک کمپین پیچیده و در حال تحول

 کمپین توزیع RMM با استفاده از دعوت‌نامه‌های جعلی نشان می‌دهد که تهدیدات سایبری تا چه حد می‌توانند خلاقانه و فریبنده باشند. تحلیل سیمانتک به روشنی نشان می‌دهد که مهاجمان دیگر صرفا به بدافزارهای سنتی متکی نیستند، بلکه از ابزارهای قانونی برای پنهان‌سازی فعالیت خود استفاده می‌کنند. مقابله با این تهدیدات نیازمند ترکیبی از فناوری پیشرفته، تحلیل رفتاری و آگاهی انسانی است.

 

چرا نگاه سیمانتک برای آینده امنیت سایبری حیاتی است

 در دنیایی که مرز بین ابزار قانونی و مخرب روزبه‌روز کمرنگ‌تر می‌شود، دیدگاه و تحلیل شرکت‌هایی مانند سیمانتک اهمیت دوچندانی پیدا می‌کند. این گزارش نه تنها یک کمپین خاص را افشا می‌کند، بلکه زنگ خطری برای تمامی سازمان‌هاست تا سیاست‌های امنیتی خود را بازبینی کرده و برای تهدیدات پیچیده‌تر آینده آماده شوند. امنیت سایبری دیگر یک گزینه نیست، بلکه ضرورتی اجتناب‌ناپذیر است که بدون آن، بقای دیجیتال سازمان‌ها به خطر خواهد افتاد.

بازخوردها
    ارسال نظر
    (بعد از تائید مدیر منتشر خواهد شد)
    • - نشانی ایمیل شما منتشر نخواهد شد.
    • - لطفا دیدگاهتان تا حد امکان مربوط به مطلب باشد.
    • - لطفا فارسی بنویسید.
    • - میخواهید عکس خودتان کنار نظرتان باشد؟ به gravatar.com بروید و عکستان را اضافه کنید.
    • - نظرات شما بعد از تایید مدیریت منتشر خواهد شد
    مطالب مرتبط