‫ آغاز حملات بدافزار DarkGate به کشورهای جهان

شرکت امنیت سایبری WithSecure که سابقاً F-Secure Business بود، ارتباطی بین حملات بدافزار اخیر DarkGate که مشتریانش را هدف قرار می‌دهد و عوامل تهدید مستقر در ویتنام که کمپینی را برای ربودن حساب‌های تجاری متا و سرقت داده‌های حساس انجام می‌دهند، کشف کرده است.

طبق گفته تیم تشخیص و پاسخ WithSecure ‪(DRT)‬، چندین تلاش برای آلوده شدن با بدافزار DarkGate علیه سازمان های مشتریان آنها در بریتانیا، ایالات متحده آمریکا و هند در 4 اوت 2023 انجام شد.

اسناد فریب، الگوهای هدف، مضامین، روش‌های تحویل، و تاکتیک‌های حمله کلی بسیار شبیه مکانیسم حمله‌ای است که در کمپین‌های اخیر DuckTail infostealer مشاهده شده است. WithSecure بیش از یک سال است که این دزد اطلاعات را ردیابی می کند.

DarkGate یک تروجان دسترسی از راه دور (RAT) است که برای اولین بار در سال 2018 در فضای سایبری ظاهر شد. معمولاً به عنوان ابزار بدافزار به عنوان سرویس (MaaS) به مجرمان سایبری ارائه می شود. این یک بدافزار همه کاره است که در فعالیت‌های مخرب مختلف مانند سرقت رمزنگاری، سرقت اطلاعات و حملات باج‌افزار استفاده می‌شود.

محققان WithSecure داده‌های منبع باز مرتبط با کمپین بدافزار DarkGate را تجزیه و تحلیل کردند و پیوندهایی با چندین دزد اطلاعات ایجاد کردند. این الگو نشان می دهد که همان گروه یا عامل تهدید این حملات را انجام می دهد.

با شناسایی ویژگی‌های کمپین‌های بدافزار DarkGate، ما توانسته‌ایم نقاط محوری متعددی را پیدا کنیم که منجر به استفاده از سارقان اطلاعات و بدافزارهای دیگر در کمپین‌های بسیار مشابه، اگر نه یکسان، می‌شود، و به احتمال زیاد همان گروه عامل تهدید این کمپین ها را انجام می دهد» در گزارش WithSecure آمده است.

حمله با فایلی به نام «حقوق و محصولات جدید.8.4.zip» آغاز شد. هنگامی که کاربران ناخواسته آن را دانلود و استخراج کردند، یک اسکریپت VBS فعال شد. این اسکریپت باینری اصلی ویندوز (Curl.exe) را تغییر نام داد و در یک مکان جدید کپی کرد و به یک سرور خارجی متصل شد تا دو فایل اضافی را بازیابی کند: autoit3.exe و یک اسکریپت Autoit3 کامپایل شده. متعاقباً، اسکریپت فایل اجرایی را اجرا کرد، مبهم‌سازی کرد و DarkGate RAT را با استفاده از رشته‌های درون اسکریپت مونتاژ کرد.

WithSecure شناسه های قوی پیدا کرد که به شرکت کمک کرد تا بین این دو کمپین ارتباط برقرار کند. آنها همچنین خاطرنشان کردند که مهاجمان از بسیاری از بدافزارها و دزدهای اطلاعاتی مختلف از جمله Ducktail، Redline Stealer و Lobshot استفاده کرده‌اند.

استفان رابینسون، تحلیلگر ارشد اطلاعاتی با تهدید WithSecure، در یک پست وبلاگ گفت: «بر اساس آنچه مشاهده کرده‌ایم، به احتمال زیاد یک بازیگر پشت چندین کمپینی است که ما ردیابی کرده‌ایم و حساب‌های Meta Business را هدف قرار می‌دهند.

سازمان‌ها باید هوشیار باشند و از مکانیسم‌های امنیتی سایبری سختگیرانه برای جلوگیری از DarkGate و سایر تهدیدات بدافزار استفاده کنند. اطمینان از راه‌حل‌های آنتی ویروس به‌روز، آموزش کارکنان در مورد بهترین شیوه‌های امنیت سایبری، استفاده از رمزهای عبور قوی با پشتیبانی MFA (تأیید هویت چند عاملی) و نظارت بر فعالیت شبکه برای رفتارهای مشکوک ضروری است.