منو سایت

  • خانه
  • وبلاگ
  • باج افزار باج افزار با استفاده از درایورهای مورد تایید مایکروسافت برای هک اهداف دستگیر شدند • TechCrunch

باج افزار باج افزار با استفاده از درایورهای مورد تایید مایکروسافت برای هک اهداف دستگیر شدند • TechCrunch

 تاریخ انتشار :
/
  وبلاگ
باج افزار باج افزار با استفاده از درایورهای مورد تایید مایکروسافت برای هک اهداف دستگیر شدند • TechCrunch

باج افزار باج افزار با استفاده از درایورهای مورد تایید مایکروسافت برای هک اهداف دستگیر شدند • TechCrunch

محققان امنیتی می گویند شواهدی در دست دارند مبنی بر اینکه تهدیدات مرتبط با باج افزار کوبایی از درایورهای سخت افزاری مخرب تایید شده توسط مایکروسافت در طی یک حمله اخیر باج افزار استفاده کرده اند.

درایورها – نرم افزاری که به سیستم عامل ها و برنامه های کاربردی اجازه می دهد تا به دستگاه های سخت افزاری دسترسی داشته باشند و با آنها ارتباط برقرار کنند – به دسترسی بسیار ممتاز به سیستم عامل و داده های آن نیاز دارند، به همین دلیل است که ویندوز از درایورها می خواهد که قبل از اجازه بارگیری درایور، یک امضای رمزنگاری تایید شده همراه داشته باشند.

این درایورها مدت‌هاست که مورد سوء استفاده مجرمان سایبری قرار گرفته‌اند و اغلب از رویکرد «درایور آسیب‌پذیر خود را بیاورید» استفاده می‌کنند، جایی که هکرها از آسیب‌پذیری‌های موجود در درایور ویندوز موجود از یک ناشر نرم‌افزار قانونی سوء استفاده می‌کنند. محققان Sophos می‌گویند هکرها را مشاهده کرده‌اند که تلاش‌های هماهنگی برای تغییر تدریجی به سمت استفاده از گواهی‌های دیجیتالی قابل اعتمادتر انجام می‌دهند.

سوفوس در حین بررسی فعالیت مشکوک در شبکه مشتریان، شواهدی پیدا کرد که نشان می‌داد یک باند باج‌افزار مرتبط با روسیه در کوبا تلاش می‌کرد تا زنجیره اعتماد را بالا ببرد. Sophos در طول تحقیقات خود دریافت که قدیمی‌ترین درایورهای مخرب این باند مربوط به ماه جولای با گواهینامه‌هایی از شرکت‌های چینی امضا شده است، پس از آن، آنها شروع به امضای درایور مخرب خود با گواهی منقضی شده و سپس باطل شدن گواهی Nvidia یافت شده در داده‌ها کردند. باج افزار باج افزار زمانی که سازنده تراشه را در ماه مارس هک کرد.

مهاجمان قبلاً موفق به دریافت “توکن” از برنامه رسمی توسعه سخت افزار ویندوز مایکروسافت شده اند، به این معنی که بدافزار ذاتا به هر سیستم ویندوزی اعتماد دارد.

آندریاس کلوپش و اندرو برانت، محققین Sophos در یک پست وبلاگی نوشتند: «بازیگران تهدید در حال بالا رفتن از هرم اعتماد هستند و سعی می‌کنند از کلیدهای رمزنگاری قابل اعتماد برای امضای دیجیتالی درایورهای خود استفاده کنند. امضاهای یک ناشر نرم افزار بزرگ و قابل اعتماد، احتمال بارگیری بدون مانع درایور در ویندوز را افزایش می دهد و این احتمال را افزایش می دهد که مهاجمان باج افزار کوبا بتوانند فرآیندهای امنیتی محافظت از رایانه های هدف خود را دور بزنند.

Sophos دریافت که باند کوبایی راننده امضا شده مخرب را با استفاده از گونه‌ای از به اصطلاح بارکننده BurntCigar، یک بدافزار شناخته‌شده مرتبط با گروه باج‌افزار که برای اولین بار توسط Mandiant مشاهده شد، روی یک سیستم هدف قرار داده است. این دو در تلاش برای غیرفعال کردن ابزارهای امنیتی تشخیص نقطه پایانی در ماشین‌های هدف به‌همراه یکدیگر استفاده می‌شوند.

اگر آنها موفق بودند – که در این مورد موفق نبودند – مهاجمان می توانستند باج افزار را روی سیستم های در معرض خطر مستقر کنند.

Sophos به همراه محققان Mandiant و SentinelOne در ماه اکتبر به مایکروسافت اطلاع دادند که رانندگان دارای گواهینامه های قانونی به طور مخرب در فعالیت های پس از بهره برداری مورد استفاده قرار می گیرند. تحقیقات خود مایکروسافت نشان داد که چندین حساب توسعه دهنده برای مرکز شریک مایکروسافت در ارسال درایورهای مخرب برای به دست آوردن امضای مایکروسافت دخیل بودند.

مایکروسافت در مشاوره ای که به عنوان بخشی از انتشار وصله برنامه ریزی شده ماهانه خود برای امنیت موسوم به Patch Tuesday منتشر کرد، گفت: «تحلیل مداوم توسط مرکز اطلاعات تهدید مایکروسافت نشان می دهد که احتمالاً از درایورهای مخرب امضا شده برای تسهیل فعالیت های نفوذ پس از بهره برداری مانند استقرار باج افزار استفاده شده است. . مایکروسافت اعلام کرد که به‌روزرسانی‌های امنیتی ویندوز را منتشر کرده و گواهی را برای فایل‌های آسیب‌دیده لغو کرده و حساب‌های فروشندگان شریک را به حالت تعلیق درآورده است.

در اوایل این ماه، مشاوره دولت ایالات متحده فاش کرد که باند باج افزار کوبایی 60 میلیون دلار اضافی از حملات به 100 سازمان در سراسر جهان به دست آورده است. هیئت مشاوره هشدار می دهد که گروه باج افزار که از سال 2019 فعال بوده است، همچنان به هدف قرار دادن نهادهای ایالات متحده در زیرساخت های حیاتی، از جمله خدمات مالی، امکانات دولتی، مراقبت های بهداشتی و بهداشت عمومی، و تولید و فناوری اطلاعات حیاتی ادامه می دهد.