خب رفقا بیاید یک ماجرای جدید و نسبتا عجیب دنیای امنیت سایبری رو با هم مرور کنیم! یک گروه امنیتی به اسم Morphisec حسابی سر و صدای جدیدی پیدا کردن: هکرها از Microsoft Teams (همون پیامرسان کاری معروف مایکروسافت) دارن برای پخش کردن یه بدافزار خفن و خطرناک به اسم Matanbuchus 3.0 استفاده میکنن.
حالا بذار اول یه توضیح بدم که اصلاً این Matanbuchus 3.0 چیه! این درواقع یه نوع بدافزار یا «Loader» محسوب میشه — یعنی خودش به تنهایی خرابکاری خاصی نمیکنه، اما راه رو برای نصب برنامههای بدتر باز میکنه. مثلاً ممکنه بعدش Cobalt Strike نصب کنه (که یه ابزار برای تست نفوذ هست، اما بیشتر هکرها ازش برای کنترل سیستمها و اجرای حملات استفاده میکنن) یا اینکه کار رو به باجافزار برسونه (همون Ransomware که سیستم قربانی رو قفل میکنه و برای بازکردنش پول میخوان).
بریم سراغ شکل حمله: هکرها خیلی هوشمندانه و دقیق، قربانیهاشون رو انتخاب میکنن؛ یعنی هر کسی رو انتخاب نمیکنن، فقط سراغ آدمایی میرن که شانس موفقیت بالاست. بعد باهاشون تو Teams تماس میگیرن و خودشون رو جای تیم پشتیبانی IT معرفی میکنن. میگن: «سیستم شما مشکل داره، بذار ما ریموت وصل شیم درستش کنیم». خیلیا ممکنه گول بخورن، مخصوصاً وقتی طرف مقابل خیلی حرفهای رفتار کنه.
وقتی دسترسی از راه دور (معمولاً با ابزاری مثل Quick Assist – که یه برنامه برای کمک گرفتن از راه دور توی ویندوز هست) رو میگیرن، با اجرای یه اسکریپت پاورشل (PowerShell: یه زبان برنامهنویسی اسکریپتی که برای اتوماسیون کارهای ویندوز استفاده میشه) بدافزار Matanbuchus رو میریزن روی سیستم. به نقل از مدیر فناوری Morphisec یعنی Michael Gorelik کل ماجرا اینطوریه: اسکریپت باعث دانلود یه فایل میشه که توش یه آپدیتر Notepad++ با اسم عوضشده هست (همون GUP)، یه فایل تنظیمات XML کمی تغییر یافته، و یه فایل DLL مخرب. همین DLL همون Matanbuchus Loader معروفه که بدون سر و صدا سیستم رو آلوده میکنه!
جالب اینجاست که این بدافزار رو اولین بار سال 2021 پیدا کردن و اون موقع تو فرومهای روسی برای فروش گذاشته بودن: قیمتش 2500 دلار بود. اما الان بچهها، قیمتش حسابی بالاتر رفته! برای نسخه HTTPS باید ماهی 10,000 دلار بدی! و اگه نسخه DNS رو بخوای قیمت به 15,000 دلار در ماه میرسه! (DNS و HTTPS هر دو راههایی برای ارتباط اینترنتی امنترن).
اینکه چرا قیمتش اینقدر بالاس؟ چون کلی امکانات پیشرفتهتر بهش اضافه شده؛ مثلاً پنهانکاری بهتر، پشتیبانی از CMD و PowerShell، و کلی قابلیت جدید که شناساییش رو برای آنتیویروسها سختتر کرده.
Morphisec گفته فعلاً نمیدونن کار کدوم گروه هکریه، اما چنین روشهایی قبلاً هم توسط Black Basta استفاده شده بوده. این Black Basta هم یه گروه باجافزاری بسیار خطرناک بوده که البته مدتیه کم سر و صدا شده. حتی اخیراً چتلاگهای داخلیشون هم لو رفته بود که نشون میداد چی به چی بوده!
واقعیت اینه که الان حملات سایبری حسابی حرفهای شدن و دیگه ردّ و نشونههاشون خیلی سخت تشخیص داده میشه. واسه همین استفاده از آنتیویروسهای قوی و ابزارهایی که از هوش مصنوعی برای شناسایی کلاهبرداریها (مثلاً Norton Genie AI) استفاده میکنن، میتونه واقعا کمک کنه.
آخرش پیشنهادم اینه: اگه یه نفر تو Teams یا هر پیامرسان دیگهای بهتون پیام داد و خواست به هر بهونهای ریموت وصل شه یا اسکریپت اجرا کنین، خیلی خیلی مراقب باشین! مخصوصاً اگه ادعا کرد از بخش ITه؛ حتماً صحتش رو چک کنین! و بد نیست همیشه رمز عبور قوی داشته باشین یا مثلاً از برنامههای مدیریت رمز عبور و اپلیکیشن تایید هویت (مثلاً Authenticator app یعنی اپلیکیشنی که رمز یکبار مصرف برا شناسایی بیشتر میسازه) استفاده کنین.
پس یادمون باشه الان دیگه خطر فقط توی ایمیل نیست؛ هکرها دارن از همه راهها حتی پیامرسانهای کاری هم سر در میارن!
منبع: +
