یک باند باج افزار از اعتبارنامه های نشت Lapsus برای امضای بدافزار استفاده کرد


چرا مهم است: هنگامی که مهاجمان حجم زیادی از داده‌ها را از شرکت‌های بزرگی مانند گیگابایت یا انویدیا به بیرون درز می‌کنند، اثرات آن می‌تواند در یک دوره طولانی و به روش‌های غیرمنتظره ظاهر شود. اقدامات اخیر یک باج افزار باج افزار نشان می دهد که چگونه حملات سایبری یک گروه می تواند راه را برای گروه های دیگر باز کند.

مایکروسافت و مقامات ایالات متحده اخیراً اعلامیه‌هایی درباره یک باند باج‌افزار با استفاده از گواهی‌های قانونی مایکروسافت برای امضای بدافزار خود منتشر کردند. این ترفند به نرم افزارهای مخرب دسترسی ممتاز به ویندوز می دهد و مبارزه با آن را سخت تر می کند.

امضاهای رمزنگاری به ویندوز می‌گویند که مایکروسافت به یک نرم‌افزار اعتماد دارد و به آن اجازه می‌دهد با یک سیستم نسبتاً بدون مانع تعامل داشته باشد. ساختن امضاهای تقلبی یا به دست آوردن متقلبانه امضاهای واقعی مدتهاست که تاکتیک رایج هکرها بوده است.

یک باج افزار باج افزار به نام کوبا – بدون ارتباط با جمهوری کوبا – از قطره چکانی استفاده می کند که یک درایور هسته می نویسد که نرم افزارهای امنیتی مانند برنامه های آنتی ویروس را غیرفعال می کند. درایور هسته با گواهینامه ای امضا شد که از حمله گروه Lapsus$ به انویدیا در اوایل سال جاری نشات می گرفت.

Lapsus$ در ماه فوریه Nvidia را با باج افزار هدف قرار داد. در حالی که این باج افزار تأثیر قابل توجهی بر عملیات انویدیا نداشت، هکرها بسیاری از داده های شرکت، از جمله کد منبع و ظاهراً گواهی های نرم افزار مایکروسافت را به بیرون درز کردند. پلیس بریتانیا بعداً دو نوجوان لندنی را در ارتباط با لاپسوس دلار دستگیر کرد.

اکتبر امسال، سه شرکت امنیتی به مایکروسافت اطلاع دادند که یک عامل مخرب چندین حساب توسعه دهندگان Microsoft Partner Center را به خطر انداخته و از آنها برای ارسال درایورهای مخرب برای گواهی‌های مایکروسافت استفاده کرده است. تجزیه و تحلیل این شرکت نشان می دهد که از درایورها برای ارائه بدافزار استفاده شده است.

متعاقباً مایکروسافت حساب‌ها را به حالت تعلیق درآورد، امنیت ویندوز را به‌روزرسانی کرد تا گواهی‌ها را باطل کند و شناسایی‌های جدیدی را برای Microsoft Defender نسخه‌های 1.377.987.0 و جدیدتر به کار گرفت. کاربران ویندوز باید نرم افزار آنتی ویروس را به روز نگه دارند تا با این تهدیدات و سایر تهدیدات مانند آسیب پذیری هایی که سه شنبه پچ این هفته به آن پرداخته شده، مبارزه کنند.

در همین حال، اوایل ماه جاری، FBI و آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) مشاوره ای در مورد اقدامات کوبا منتشر کردند. طی سال گذشته، این گروه تعداد حملات موفق خود را دو برابر کرده و درآمد خود را از باج افزایش داده است. بررسی ها نشان می دهد که کوبا علاوه بر باج افزار خود، از جاسوس صنعتی و تروجان دسترسی از راه دور RomCom (RAT) نیز استفاده می کند.

این تنها مورد اخیر نیست که مهاجمان از گواهی‌های در معرض خطر برای امضای بدافزار استفاده می‌کنند. حادثه مشابهی در مورد گواهی‌های پلتفرم اندروید در ماه نوامبر رخ داد. مانند مایکروسافت، گوگل نیز بی‌درنگ این گواهی‌ها را نامعتبر کرد.



منبع