کشف ابزار اختصاصی سرقت داده توسط همکاران باجافزار Trigona
کشف ابزار اختصاصی سرقت داده توسط همکاران باجافزار Trigona؛ نگاهی عمیق به تحلیل سیمانتک
در چشمانداز همیشه در حال تحول تهدیدات سایبری، باجافزارها (Ransomware) به عنوان یکی از مخربترین و پرسودترین ابزارهای مجرمان سایبری شناخته میشوند. در حالی که بسیاری از گروههای باجافزاری برای سرقت دادههای قربانیان خود به ابزارهای عمومی و در دسترس مانند Rclone یا MegaSync متکی هستند، اما تحولات اخیر نشان از تغییر رویکرد برخی از این گروهها دارد. بر اساس گزارش تیم تحلیل تهدیدات سیمانتک، همکاران باجافزار Trigona که با نام Rhantus نیز شناخته میشود، در حملات اخیر خود در مارس ۲۰۲۶ از یک ابزار اختصاصی و سفارشیسازیشده برای سرقت دادهها استفاده کردهاند. این ابزار که uploader_client.exe نام دارد، یک نرمافزار خط فرمان است که با سرورهای تحت کنترل مهاجمان ارتباط برقرار کرده و کنترل دقیقی بر فرآیند سرقت داده فراهم میآورد. سیمانتک با تحلیل دقیق این ابزار و روشهای حمله، نشان داده است که گروههای باجافزاری به سمت استفاده از ابزارهای اختصاصی حرکت میکنند تا ردپای خود را کاهش دهند و از شناسایی توسط راهحلهای امنیتی فرار کنند.
ابزار اختصاصی سرقت داده (uploader_client.exe)؛ تحولی در تاکتیکهای باجافزاری
استفاده از ابزارهای عمومی مانند Rclone مدتهاست که به یک روش استاندارد برای گروههای باجافزاری تبدیل شده است. این ابزارها به راحتی در دسترس هستند و مهاجمان میتوانند به سرعت از آنها برای انتقال دادههای سرقتشده به سرورهای خود استفاده کنند. با این حال، در حملات اخیر مرتبط با باجافزار Trigona، شاهد تغییر قابل توجهی در این رویکرد هستیم. همکاران این گروه، ابزار جدیدی به نام uploader_client.exe را توسعه دادهاند که یک برنامه خط فرمان با قابلیتهای پیشرفته است. این ابزار با یک سرور تحت کنترل مهاجمان که آدرس آن به صورت سختکد شده در برنامه وجود دارد، ارتباط برقرار میکند. تحلیل سیمانتک نشان میدهد که این ابزار به احتمال قوی به صورت اختصاصی برای این گروه توسعه یافته است، نه اینکه یک ابزار عمومی موجود باشد. انگیزه دقیق این گروه برای کنار گذاشتن ابزارهای عمومی مشخص نیست، اما کارشناسان سیمانتک معتقدند که یکی از دلایل اصلی این تغییر، جلوگیری از شناسایی توسط راهحلهای امنیتی است. ابزارهای عمومی مانند Rclone به قدری شناختهشده هستند که بسیاری از ابزارهای امنیتی آنها را به عنوان تهدید شناسایی و مسدود میکنند. با توسعه یک ابزار اختصاصی، مهاجمان امیدوارند که بتوانند در مرحله حیاتی سرقت داده، ردپای کمتری از خود بر جای بگذارند و از دید سیستمهای دفاعی پنهان بمانند. این نشان میدهد که گروههای باجافزاری به سمت سرمایهگذاری در توسعه ابزارهای سفارشی حرکت میکنند تا کارایی خود را افزایش دهند.
ویژگیهای کلیدی ابزار سرقت داده و تکنیکهای فرار از شناسایی
ابزار uploader_client.exe که توسط همکاران باجافزار Trigona استفاده میشود، دارای ویژگیهای فنی پیشرفتهای است که آن را به یک تهدید جدی تبدیل میکند. یکی از مهمترین قابلیتهای این ابزار، استفاده از جریانهای موازی (Parallel Streams) برای انتقال داده است. این ابزار به طور پیشفرض از پنج اتصال همزمان برای هر فایل استفاده میکند که این امر امکان انتقال سریع داده را فراهم کرده و میتواند پهنای باند موجود را به طور کامل اشباع کند. این ویژگی به مهاجمان اجازه میدهد تا حجم عظیمی از دادهها را در مدت زمان کوتاهی سرقت کنند. دومین ویژگی قابل توجه، چرخش اتصال (Connection Rotation) است. ابزار میتواند پس از ارسال حجم مشخصی از داده (به طور پیشفرض ۲۰۴۸ مگابایت)، اتصال TCP را تغییر دهد. این تکنیک برای دور زدن سیستمهای نظارت بر ترافیک شبکه طراحی شده است که بر روی اتصالات طولانی و با حجم بالا به یک آدرس IP خاص هشدار میدهند. با چرخش اتصال، مهاجمان میتوانند از شناسایی توسط این سیستمها فرار کنند. سومین ویژگی، فیلترینگ دانهریز (Granular Filtering) است. مهاجمان میتوانند با استفاده از فلگ --exclude-ext، فایلهای حجیم اما کمارزش مانند فایلهای mp3، mp4 و avi را از فرآیند سرقت حذف کنند و تنها بر روی اسناد با اولویت بالا مانند فایلهای PDF و فاکتورها تمرکز نمایند. ابزار از احراز هویت یکپارچه (Integrated Authentication) استفاده میکند که با یک کلید اشتراکی، ارتباط کلاینت با سرور را تأیید کرده و از دسترسی غیرمجاز به مخزن دادههای سرقتشده جلوگیری میکند. این ویژگیها نشان میدهد که مهاجمان به سطح بالایی از تخصص فنی دست یافتهاند و ابزار خود را به گونهای طراحی کردهاند که هم کارآمد باشد و هم از شناسایی فرار کند.
مراحل حمله و خنثیسازی دفاعیات امنیتی پیش از سرقت داده
حملات مرتبط با ابزار سرقت داده اختصاصی Trigona با یک سری مراحل مقدماتی آغاز میشود که هدف آنها تخریب و خنثیسازی دفاعیات امنیتی سازمان قربانی است. در موارد مشاهده شده، مهاجمان پیش از استقرار ابزار uploader، اقدام به نصب ابزار Huorong Network Security Suite با نام HRSword به عنوان یک سرویس درایور کرنل میکنند. این اقدام به مهاجمان اجازه میدهد تا کنترل سطح پایینتری بر سیستم عامل به دست آورند. علاوه بر این، مجموعهای از ابزارهای دیگر نیز برای غیرفعالسازی فرآیندهای امنیتی مستقر میشوند، از جمله PCHunter، Gmer، YDark، WKTools، DumpGuard و StpProcessMonitorByovd. بسیاری از این ابزارها از درایورهای کرنل آسیبپذیر (Vulnerable Kernel Drivers) برای خاتمه دادن به فرآیندهای نرمافزارهای ضدبدافزار استفاده میکنند. با اجرا شدن در سطح کرنل، این ابزارها میتوانند حفاظتهای سطح کاربر را دور زده و نرمافزارهای امنیتی را به طور مؤثر غیرفعال کنند. همچنین، ابزاری به نام PowerRun برای اجرای برخی از این ابزارها با بالاترین سطح دسترسی (Elevated Privileges) استفاده میشود. پس از خنثیسازی دفاعیات، مهاجمان با استفاده از نرمافزار دسترسی از راه دور AnyDesk به سیستمهای آلوده متصل میشوند. در این مرحله، ابزارهای سرقت اعتبارنامه مانند Mimikatz و ابزارهای بازیابی رمز عبور از مجموعه Nirsoft برای جمعآوری اعتبارنامههای برنامهها و مرورگرها به کار گرفته میشوند. این دادههای سرقتشده میتوانند برای گسترش نفوذ به سایر سیستمهای شبکه و تسهیل سرقت دادههای بیشتر استفاده شوند. این زنجیره پیچیده از ابزارها و تکنیکها نشان از برنامهریزی دقیق و منابع قابل توجه مهاجمان دارد.
تحلیل سیمانتک از ابزار اختصاصی و چالشهای شناسایی
کشف و تحلیل ابزار سرقت داده اختصاصی Trigona توسط تیم سیمانتک، اهمیت نظارت مستمر بر تهدیدات سایبری را به خوبی نشان میدهد. ابزارهای اختصاصی مانند uploader_client.exe به دلیل منحصربهفرد بودن و ناشناخته بودن برای بسیاری از راهحلهای امنیتی، چالش بزرگی برای شناسایی ایجاد میکنند. در حالی که ابزارهای عمومی به سرعت به امضاهای ضدبدافزار اضافه میشوند، ابزارهای سفارشیسازیشده ممکن است برای مدت طولانی شناسایی نشوند. این نکته اهمیت استفاده از راهحلهای امنیتی پیشرفته مانند سیمانتک Endpoint Protection را که از تکنیکهای تشخیص رفتاری و تحلیل مبتنی بر هوش مصنوعی برای شناسایی تهدیدات ناشناخته استفاده میکنند، برجسته میسازد. تحلیل سیمانتک نشان میدهد که استفاده از ابزارهای اختصاصی در فعالیتهای پیش از باجافزاری (Pre-ransomware) نسبتاً نادر است، اما این روند در حال افزایش است. گروههای باجافزاری با سرمایهگذاری روی توسعه ابزارهای سفارشی، در تلاش هستند تا از رقبا پیشی گرفته و شانس موفقیت خود را افزایش دهند. این ابزارها، با قابلیتهایی مانند چرخش اتصال و فیلترینگ دانهریز، توانایی بالایی در فرار از سیستمهای نظارتی دارند. سیمانتک با ارائه راهحلهای امنیتی یکپارچه و بهروز، به سازمانها کمک میکند تا در برابر این تهدیدات پیشرفته، دفاعی مؤثر داشته باشند. کشف این ابزار و انتشار اطلاعات فنی مربوط به آن، یک گام مهم در جهت آگاهیرسانی و آمادهسازی جامعه امنیتی برای مقابله با این نوع تهدیدات است.
ضرورت استفاده از راهحلهای امنیتی پیشرفته برای مقابله با تهدیدات نوظهور
تحولات اخیر در تاکتیکهای گروههای باجافزاری، به ویژه استفاده از ابزارهای اختصاصی سرقت داده، نشان میدهد که تهدیدات سایبری روز به روز پیچیدهتر و پیشرفتهتر میشوند. ابزار uploader_client.exe که توسط همکاران باجافزار Trigona توسعه یافته است، نمونهای بارز از این تغییر رویکرد است. این ابزار با بهرهگیری از تکنیکهایی مانند جریانهای موازی، چرخش اتصال و فیلترینگ دانهریز، به مهاجمان امکان میدهد تا دادههای حساس را به سرعت و با حداقل ریسک شناسایی سرقت کنند. مراحل مقدماتی حملات نیز شامل خنثیسازی دفاعیات امنیتی با استفاده از ابزارهای پیشرفته سطح کرنل است که نشان از برنامهریزی دقیق و تخصص بالای مهاجمان دارد. کشف و تحلیل این تهدید جدید توسط تیم سیمانتک، یک بار دیگر بر اهمیت استفاده از راهحلهای امنیتی جامع و مبتنی بر تحلیل رفتاری تأکید میکند. سازمانها باید درک کنند که دیگر نمیتوانند تنها به ابزارهای سنتی مبتنی بر امضا برای شناسایی تهدیدات متکی باشند، بلکه نیاز به راهحلهایی دارند که بتوانند الگوهای مشکوک و رفتارهای مخرب را حتی در صورت استفاده از ابزارهای ناشناخته، شناسایی کنند. سیمانتک با ارائه محصولات و خدمات امنیتی پیشرفته، از جمله Symantec Endpoint Protection و Symantec Threat Intelligence، به سازمانها در این مسیر کمک میکند تا بتوانند از سرمایههای دیجیتال خود در برابر تهدیدات نوظهور محافظت کنند. در چشمانداز تهدیدات فعلی، آگاهی، آمادگی و استفاده از فناوریهای پیشرفته، کلیدهای اصلی بقا و مقاومت در برابر حملات سایبری هستند.