تمت ملاحظة مجموعات نشاط التهديد المرتبطة بالنظم البيئية لمجرمي الإنترنت في الصين وروسيا باستخدام قطعة جديدة من البرامج الضارة المصممة لتحميل Cobalt Strike على الأجهزة المصابة.
يستفيد البرنامج الضار ، الذي أطلق عليه اسم SILKLOADER من شركة الأمن السيبراني الفنلندية WithSecure ، من تقنيات التحميل الجانبي لـ DLL لتقديم برنامج محاكاة للخصم التجاري.
يأتي هذا التطوير في الوقت الذي تُجبر فيه قدرات الكشف المحسّنة ضد Cobalt Strike ، وهي أداة شرعية لما بعد الاستغلال تُستخدم في عمليات الفريق الأحمر ، الجهات الفاعلة في التهديد على البحث عن خيارات بديلة أو اختلاق طرق جديدة لنشر إطار العمل لتجنب الاكتشاف.
قال باحثو WithSecure: "تشمل أكثر هذه العوامل شيوعًا إضافة التعقيد إلى منارة أو حمولات المُرحِّلة التي يتم إنشاؤها تلقائيًا من خلال استخدام الحزم أو أجهزة التشفير أو اللوادر أو التقنيات المماثلة" .
ينضم SILKLOADER إلى لوادر أخرى مثل KoboldLoader و MagnetLoader و LithiumLoader التي تم اكتشافها مؤخرًا تتضمن مكونات Cobalt Strike.
كما أنها تشترك في التداخل مع LithiumLoader حيث يستخدم كلاهما طريقة التحميل الجانبي لـ DLL لاختطاف تطبيق شرعي بهدف تشغيل مكتبة ارتباط ديناميكي ضارة منفصلة ( DLL ).
يحقق SILKLOADER ذلك عبر ملفات libvlc.dll المصممة خصيصًا والتي يتم إسقاطها جنبًا إلى جنب مع برنامج ثنائي لمشغل وسائط VLC شرعي ولكن تمت إعادة تسميته (Charmap.exe).
قالت WithSecure إنها حددت أداة تحميل كود القشرة بعد تحليل "العديد من الاختراقات التي يديرها الإنسان" والتي تستهدف كيانات مختلفة تمتد على نطاق واسع من المنظمات الموجودة في البرازيل وفرنسا وتايوان في الربع الرابع من عام 2022.
على الرغم من أن هذه الهجمات لم تنجح ، إلا أنه يُشتبه في أن النشاط كان بمثابة تمهيد لنشر برامج الفدية ، مع وجود التكتيكات والأدوات "المتداخلة بشكل كبير" مع تلك المنسوبة إلى مشغلي Play ransomware .
في أحد الهجمات التي استهدفت منظمة رعاية اجتماعية فرنسية لم تذكر اسمها ، اكتسب الفاعل موطئ قدم في الشبكة من خلال استغلال جهاز Fortinet SSL VPN المخترق لتنظيم منارات Cobalt Strike.
وقال ويث سكيور: "حافظ ممثل التهديد على موطئ قدم في هذه المنظمة لعدة أشهر". "خلال هذا الوقت ، قاموا بأنشطة اكتشاف وسرقة بيانات الاعتماد ، متبوعة بنشر العديد من منارات Cobalt Strike."
ولكن عندما فشلت هذه المحاولة ، تحول الخصم إلى استخدام SILKLOADER لتجاوز الاكتشاف وتسليم حمولة المنارة.
هذا ليس كل شئ. تم ربط أداة تحميل أخرى تُعرف باسم BAILLOADER ، والتي تُستخدم أيضًا لتوزيع إشارات Cobalt Strike ، بهجمات تشمل Quantum ransomware و GootLoader و IcedID trojan في الأشهر الأخيرة.
يُقال إن BAILLOADER ، من جانبها ، تظهر أوجه تشابه مع برنامج crypter يحمل الاسم الرمزي Tron والذي تم استخدامه من قبل خصوم مختلفين لتوزيع Emotet و TrickBot و BazarLoader و IcedID و Conti ransomware و Cobalt Strike.
وقد أدى ذلك إلى احتمال مشاركة الجهات الفاعلة المختلفة في مجال التهديد منارات Cobalt Strike والتشفير والبنية التحتية التي توفرها الشركات التابعة لجهات خارجية لخدمة عمليات التطفل المتعددة باستخدام تكتيكات مختلفة.
بعبارة أخرى ، من المحتمل أن يتم تقديم SILKLOADER كمحمل جاهز من خلال برنامج Packer-as-a-Service لممثلي التهديد في روسيا.
قال WithSecure: "يتم توفير أداة التحميل هذه إما مباشرة لمجموعات برامج الفدية أو ربما عبر مجموعات تقدم Cobalt Strike / Infrastructure-as-a-Service للشركات التابعة الموثوقة".
"يبدو أن معظم هذه الشركات التابعة كانت جزءًا من مجموعة كونتي أو كانت لها علاقات عمل وثيقة معها وأعضائها وذريتهم بعد إغلاقها المزعوم ."
تظهر عينات SILKLOADER التي حللتها الشركة أن الإصدارات المبكرة من البرنامج الضار تعود إلى بداية عام 2022 ، مع استخدام أداة التحميل حصريًا في هجمات مختلفة تستهدف الضحايا في الصين وهونج كونج.
يُعتقد أن التحول من أهداف شرق آسيا إلى دول أخرى مثل البرازيل وفرنسا قد حدث في يوليو 2022 تقريبًا ، وبعد ذلك نُسبت جميع الحوادث المتعلقة بـ SILKLOADER إلى جهات فاعلة في الجريمة الإلكترونية الروسية.
وقد أفسح هذا المجال أيضًا لفرضية مفادها أن "SILKLOADER تمت كتابته في الأصل من قبل جهات تهديد تعمل ضمن النظام البيئي الصيني لمجرمي الإنترنت" وأن "أداة التحميل تم استخدامها من قبل الجهات الفاعلة في مجال التهديد داخل هذه الرابطة على الأقل في وقت مبكر من مايو 2022 حتى يوليو 2022".
قال ويث سكيور: "تم الحصول على المُنشئ أو كود المصدر لاحقًا من قِبل جهة تهديد داخل النظام الإيكولوجي لمجرمي الإنترنت الروسي بين يوليو 2022 وسبتمبر 2022" ، مضيفًا أن المؤلف الصيني الأصلي باع أداة التحميل إلى ممثل تهديد روسي بمجرد أن لم يعد لديه أي شيء. استخدم من أجلها ".
يعد كل من SILKLOADER و BAILLOADER مجرد أمثلة حديثة على الجهات الفاعلة في مجال التهديد والتي تعمل على تحسين أساليبها وإعادة تجهيزها للبقاء في صدارة منحنى الاكتشاف.
"نظرًا لأن النظام البيئي لمجرمي الإنترنت أصبح أكثر نمطية من خلال عروض الخدمات ، لم يعد من الممكن عزو الهجمات إلى مجموعات التهديد ببساطة عن طريق
وربطهم بمكونات محددة في هجماتهم "، خلص باحثو WithSecure.