کشف ابزار اختصاصی سرقت داده توسط همکاران باج‌افزار Trigona

کشف ابزار اختصاصی سرقت داده توسط همکاران باج‌افزار Trigona

کشف ابزار اختصاصی سرقت داده توسط همکاران باج‌افزار Trigona؛ نگاهی عمیق به تحلیل سیمانتک

در چشم‌انداز همیشه در حال تحول تهدیدات سایبری، باج‌افزارها (Ransomware) به عنوان یکی از مخرب‌ترین و پرسودترین ابزارهای مجرمان سایبری شناخته می‌شوند. در حالی که بسیاری از گروه‌های باج‌افزاری برای سرقت داده‌های قربانیان خود به ابزارهای عمومی و در دسترس مانند Rclone یا MegaSync متکی هستند، اما تحولات اخیر نشان از تغییر رویکرد برخی از این گروه‌ها دارد. بر اساس گزارش تیم تحلیل تهدیدات سیمانتک، همکاران باج‌افزار Trigona که با نام Rhantus نیز شناخته می‌شود، در حملات اخیر خود در مارس ۲۰۲۶ از یک ابزار اختصاصی و سفارشی‌سازی‌شده برای سرقت داده‌ها استفاده کرده‌اند. این ابزار که uploader_client.exe نام دارد، یک نرم‌افزار خط فرمان است که با سرورهای تحت کنترل مهاجمان ارتباط برقرار کرده و کنترل دقیقی بر فرآیند سرقت داده فراهم می‌آورد. سیمانتک با تحلیل دقیق این ابزار و روش‌های حمله، نشان داده است که گروه‌های باج‌افزاری به سمت استفاده از ابزارهای اختصاصی حرکت می‌کنند تا ردپای خود را کاهش دهند و از شناسایی توسط راه‌حل‌های امنیتی فرار کنند.

 

ابزار اختصاصی سرقت داده (uploader_client.exe)؛ تحولی در تاکتیک‌های باج‌افزاری

استفاده از ابزارهای عمومی مانند Rclone مدتهاست که به یک روش استاندارد برای گروه‌های باج‌افزاری تبدیل شده است. این ابزارها به راحتی در دسترس هستند و مهاجمان می‌توانند به سرعت از آنها برای انتقال داده‌های سرقت‌شده به سرورهای خود استفاده کنند. با این حال، در حملات اخیر مرتبط با باج‌افزار Trigona، شاهد تغییر قابل توجهی در این رویکرد هستیم. همکاران این گروه، ابزار جدیدی به نام uploader_client.exe را توسعه داده‌اند که یک برنامه خط فرمان با قابلیت‌های پیشرفته است. این ابزار با یک سرور تحت کنترل مهاجمان که آدرس آن به صورت سخت‌کد شده در برنامه وجود دارد، ارتباط برقرار می‌کند. تحلیل سیمانتک نشان می‌دهد که این ابزار به احتمال قوی به صورت اختصاصی برای این گروه توسعه یافته است، نه اینکه یک ابزار عمومی موجود باشد. انگیزه دقیق این گروه برای کنار گذاشتن ابزارهای عمومی مشخص نیست، اما کارشناسان سیمانتک معتقدند که یکی از دلایل اصلی این تغییر، جلوگیری از شناسایی توسط راه‌حل‌های امنیتی است. ابزارهای عمومی مانند Rclone به قدری شناخته‌شده هستند که بسیاری از ابزارهای امنیتی آنها را به عنوان تهدید شناسایی و مسدود می‌کنند. با توسعه یک ابزار اختصاصی، مهاجمان امیدوارند که بتوانند در مرحله حیاتی سرقت داده، ردپای کمتری از خود بر جای بگذارند و از دید سیستم‌های دفاعی پنهان بمانند. این نشان می‌دهد که گروه‌های باج‌افزاری به سمت سرمایه‌گذاری در توسعه ابزارهای سفارشی حرکت می‌کنند تا کارایی خود را افزایش دهند.

 

ویژگی‌های کلیدی ابزار سرقت داده و تکنیک‌های فرار از شناسایی

ابزار uploader_client.exe که توسط همکاران باج‌افزار Trigona استفاده می‌شود، دارای ویژگی‌های فنی پیشرفته‌ای است که آن را به یک تهدید جدی تبدیل می‌کند. یکی از مهم‌ترین قابلیت‌های این ابزار، استفاده از جریان‌های موازی (Parallel Streams) برای انتقال داده است. این ابزار به طور پیش‌فرض از پنج اتصال همزمان برای هر فایل استفاده می‌کند که این امر امکان انتقال سریع داده را فراهم کرده و می‌تواند پهنای باند موجود را به طور کامل اشباع کند. این ویژگی به مهاجمان اجازه می‌دهد تا حجم عظیمی از داده‌ها را در مدت زمان کوتاهی سرقت کنند. دومین ویژگی قابل توجه، چرخش اتصال (Connection Rotation) است. ابزار می‌تواند پس از ارسال حجم مشخصی از داده (به طور پیش‌فرض ۲۰۴۸ مگابایت)، اتصال TCP را تغییر دهد. این تکنیک برای دور زدن سیستم‌های نظارت بر ترافیک شبکه طراحی شده است که بر روی اتصالات طولانی و با حجم بالا به یک آدرس IP خاص هشدار می‌دهند. با چرخش اتصال، مهاجمان می‌توانند از شناسایی توسط این سیستم‌ها فرار کنند. سومین ویژگی، فیلترینگ دانه‌ریز (Granular Filtering) است. مهاجمان می‌توانند با استفاده از فلگ --exclude-ext، فایل‌های حجیم اما کم‌ارزش مانند فایل‌های mp3، mp4 و avi را از فرآیند سرقت حذف کنند و تنها بر روی اسناد با اولویت بالا مانند فایل‌های PDF و فاکتورها تمرکز نمایند. ابزار از احراز هویت یکپارچه (Integrated Authentication) استفاده می‌کند که با یک کلید اشتراکی، ارتباط کلاینت با سرور را تأیید کرده و از دسترسی غیرمجاز به مخزن داده‌های سرقت‌شده جلوگیری می‌کند. این ویژگی‌ها نشان می‌دهد که مهاجمان به سطح بالایی از تخصص فنی دست یافته‌اند و ابزار خود را به گونه‌ای طراحی کرده‌اند که هم کارآمد باشد و هم از شناسایی فرار کند.

 

مراحل حمله و خنثی‌سازی دفاعیات امنیتی پیش از سرقت داده

حملات مرتبط با ابزار سرقت داده اختصاصی Trigona با یک سری مراحل مقدماتی آغاز می‌شود که هدف آنها تخریب و خنثی‌سازی دفاعیات امنیتی سازمان قربانی است. در موارد مشاهده شده، مهاجمان پیش از استقرار ابزار uploader، اقدام به نصب ابزار Huorong Network Security Suite با نام HRSword به عنوان یک سرویس درایور کرنل می‌کنند. این اقدام به مهاجمان اجازه می‌دهد تا کنترل سطح پایین‌تری بر سیستم عامل به دست آورند. علاوه بر این، مجموعه‌ای از ابزارهای دیگر نیز برای غیرفعال‌سازی فرآیندهای امنیتی مستقر می‌شوند، از جمله PCHunter، Gmer، YDark، WKTools، DumpGuard و StpProcessMonitorByovd. بسیاری از این ابزارها از درایورهای کرنل آسیب‌پذیر (Vulnerable Kernel Drivers) برای خاتمه دادن به فرآیندهای نرم‌افزارهای ضدبدافزار استفاده می‌کنند. با اجرا شدن در سطح کرنل، این ابزارها می‌توانند حفاظت‌های سطح کاربر را دور زده و نرم‌افزارهای امنیتی را به طور مؤثر غیرفعال کنند. همچنین، ابزاری به نام PowerRun برای اجرای برخی از این ابزارها با بالاترین سطح دسترسی (Elevated Privileges) استفاده می‌شود. پس از خنثی‌سازی دفاعیات، مهاجمان با استفاده از نرم‌افزار دسترسی از راه دور AnyDesk به سیستم‌های آلوده متصل می‌شوند. در این مرحله، ابزارهای سرقت اعتبارنامه مانند Mimikatz و ابزارهای بازیابی رمز عبور از مجموعه Nirsoft برای جمع‌آوری اعتبارنامه‌های برنامه‌ها و مرورگرها به کار گرفته می‌شوند. این داده‌های سرقت‌شده می‌توانند برای گسترش نفوذ به سایر سیستم‌های شبکه و تسهیل سرقت داده‌های بیشتر استفاده شوند. این زنجیره پیچیده از ابزارها و تکنیک‌ها نشان از برنامه‌ریزی دقیق و منابع قابل توجه مهاجمان دارد.

 

تحلیل سیمانتک از ابزار اختصاصی و چالش‌های شناسایی

کشف و تحلیل ابزار سرقت داده اختصاصی Trigona توسط تیم سیمانتک، اهمیت نظارت مستمر بر تهدیدات سایبری را به خوبی نشان می‌دهد. ابزارهای اختصاصی مانند uploader_client.exe به دلیل منحصربه‌فرد بودن و ناشناخته بودن برای بسیاری از راه‌حل‌های امنیتی، چالش بزرگی برای شناسایی ایجاد می‌کنند. در حالی که ابزارهای عمومی به سرعت به امضاهای ضدبدافزار اضافه می‌شوند، ابزارهای سفارشی‌سازی‌شده ممکن است برای مدت طولانی شناسایی نشوند. این نکته اهمیت استفاده از راه‌حل‌های امنیتی پیشرفته مانند سیمانتک Endpoint Protection را که از تکنیک‌های تشخیص رفتاری و تحلیل مبتنی بر هوش مصنوعی برای شناسایی تهدیدات ناشناخته استفاده می‌کنند، برجسته می‌سازد. تحلیل سیمانتک نشان می‌دهد که استفاده از ابزارهای اختصاصی در فعالیت‌های پیش از باج‌افزاری (Pre-ransomware) نسبتاً نادر است، اما این روند در حال افزایش است. گروه‌های باج‌افزاری با سرمایه‌گذاری روی توسعه ابزارهای سفارشی، در تلاش هستند تا از رقبا پیشی گرفته و شانس موفقیت خود را افزایش دهند. این ابزارها، با قابلیت‌هایی مانند چرخش اتصال و فیلترینگ دانه‌ریز، توانایی بالایی در فرار از سیستم‌های نظارتی دارند. سیمانتک با ارائه راه‌حل‌های امنیتی یکپارچه و به‌روز، به سازمان‌ها کمک می‌کند تا در برابر این تهدیدات پیشرفته، دفاعی مؤثر داشته باشند. کشف این ابزار و انتشار اطلاعات فنی مربوط به آن، یک گام مهم در جهت آگاهی‌رسانی و آماده‌سازی جامعه امنیتی برای مقابله با این نوع تهدیدات است.

 

ضرورت استفاده از راه‌حل‌های امنیتی پیشرفته برای مقابله با تهدیدات نوظهور

تحولات اخیر در تاکتیک‌های گروه‌های باج‌افزاری، به ویژه استفاده از ابزارهای اختصاصی سرقت داده، نشان می‌دهد که تهدیدات سایبری روز به روز پیچیده‌تر و پیشرفته‌تر می‌شوند. ابزار uploader_client.exe که توسط همکاران باج‌افزار Trigona توسعه یافته است، نمونه‌ای بارز از این تغییر رویکرد است. این ابزار با بهره‌گیری از تکنیک‌هایی مانند جریان‌های موازی، چرخش اتصال و فیلترینگ دانه‌ریز، به مهاجمان امکان می‌دهد تا داده‌های حساس را به سرعت و با حداقل ریسک شناسایی سرقت کنند. مراحل مقدماتی حملات نیز شامل خنثی‌سازی دفاعیات امنیتی با استفاده از ابزارهای پیشرفته سطح کرنل است که نشان از برنامه‌ریزی دقیق و تخصص بالای مهاجمان دارد. کشف و تحلیل این تهدید جدید توسط تیم سیمانتک، یک بار دیگر بر اهمیت استفاده از راه‌حل‌های امنیتی جامع و مبتنی بر تحلیل رفتاری تأکید می‌کند. سازمان‌ها باید درک کنند که دیگر نمی‌توانند تنها به ابزارهای سنتی مبتنی بر امضا برای شناسایی تهدیدات متکی باشند، بلکه نیاز به راه‌حل‌هایی دارند که بتوانند الگوهای مشکوک و رفتارهای مخرب را حتی در صورت استفاده از ابزارهای ناشناخته، شناسایی کنند. سیمانتک با ارائه محصولات و خدمات امنیتی پیشرفته، از جمله Symantec Endpoint Protection و Symantec Threat Intelligence، به سازمان‌ها در این مسیر کمک می‌کند تا بتوانند از سرمایه‌های دیجیتال خود در برابر تهدیدات نوظهور محافظت کنند. در چشم‌انداز تهدیدات فعلی، آگاهی، آمادگی و استفاده از فناوری‌های پیشرفته، کلیدهای اصلی بقا و مقاومت در برابر حملات سایبری هستند.

 

بازخوردها
    ارسال نظر
    (بعد از تائید مدیر منتشر خواهد شد)
    • - نشانی ایمیل شما منتشر نخواهد شد.
    • - لطفا دیدگاهتان تا حد امکان مربوط به مطلب باشد.
    • - لطفا فارسی بنویسید.
    • - میخواهید عکس خودتان کنار نظرتان باشد؟ به gravatar.com بروید و عکستان را اضافه کنید.
    • - نظرات شما بعد از تایید مدیریت منتشر خواهد شد