رادار تكنولوژي

هکرها دارن با Microsoft Teams بدافزار پخش می‌کنن — ببین چطوری قراره گیرت بندازن!

  • ۲۶ تیر ۱۴۰۴

خب، بذار برات یه داستان جدید و ترسناک از دنیای هک و امنیت تعریف کنم! اخیراً یه سری هکر باحال (البته از نوع بدجنس!) دست به کاری زدن که حتی فکرش رو هم نمی‌کنی: اومدن از Microsoft Teams (که همون نرم‌افزار محبوب چت و کنفرانس شرکتی هست) سوءاستفاده کردن تا به شرکت‌ها و سازمان‌ها نفوذ کنن!

ماجرا چیه؟
یه گروه تحقیقاتی به اسم Morphisec کشف کردن که یه بدافزار به اسم Matanbuchus 3.0 توی طبیعت (یعنی دنیای واقعی اینترنت) پخش شده. حالا خود Matanbuchus 3.0 چیه؟ بذار راحت توضیح بدم: این یه بدافزار از نوع Loader هست. یعنی خودش رو می‌فرسته روی سیستم قربانی و بعد می‌تونه بدافزارهای خطرناک‌تری مثل Cobalt Strike یا حتی Ransomware (همون باج‌افزار معروف که سیستم رو قفل می‌کنه و پول می‌خواد) رو اجرا کنه.

حالا هکرها دقیقاً دارن چی کار می‌کنن؟
اینا با کلی حوصله و دقت! میان یه سری افراد یا شرکت خاص رو انتخاب می‌کنن (یعنی همه رو الکی هدف نمی‌گیرن، قاطی بازار نیست!) و حالا با Microsoft Teams بهشون پیام می‌دن. خودشونو جا می‌زنن به عنوان یه تیم پشتیبانی فنی خارجی و مثلاً بهت می‌گن: «اوه! سیستم شما یه مشکل داره. باید بهمون دسترسی بدی بیایم برات درستش کنیم.»

خب، چون قربانی‌ها رو گزینشی انتخاب کردن و قشنگ هم نقش بازی می‌کنن، احتمال اینکه افراد گول بخورن بیشتره. خیلی‌ها توی این شرایط هستن که می‌گن: «راحت باش! بیا سیستم رو درست کن.»

دقیقه عمل چجوریه؟
معمولاً از Quick Assist (که یه ابزار داخلی ویندوزه برای ریموت‌زدن به کامپیوترها)، استفاده می‌کنن. وقتی اجازه دادی به سیستمت دسترسی بگیرن، یه PowerShell Script (یعنی یه اسکریپت یا برنامه خط فرمان که کارهای پیشرفته تو ویندوز رو انجام می‌ده) اجرا می‌کنن. این اسکریپت شروع می‌کنه به دانلود یه آرشیو مخفی. توی این آرشیو چی هست؟

  1. یه فایل آپدیتِ نوت‌پد‌پلاس‌پلاس که اسمشو عوض کردن تا شک نکنه کسی
  2. یه فایل تنظیمات XML دستکاری‌شده
  3. و مهم‌تر از همه، یه فایل DLL خرابکار که همون Loader بدافزار Matanbuchus هست

یعنی همه چیز قشنگ و حرفه‌ای قایم شده!

حواست باشه: Matanbuchus، قدیمی و خطرناک!
این بدافزار رو اولین بار سال ۲۰۲۱ دیدن. اون موقع هکرها توی فروم‌های روسی تبلیغش می‌کردن و قیمتش ۲۵۰۰ دلار بود. الان که به‌روزرسانی شده و امکاناتش به‌مراتب قوی‌تر و مخفیانه‌تر شده، قیمتشم کلی کشیده بالا! اگه بخوای نسخه HTTPS رو بخری باید ماهی ۱۰,۰۰۰ دلار پول بدی، نسخه DNS هم ماهی ۱۵,۰۰۰ دلار!!! (یه جورایی مثل نتفلیکس مخصوص هکرها!)

Malware-as-a-Service یعنی چی؟
اصلاً اینجا لازمه بگم Malware-as-a-Service یعنی هکرها بدافزارشون رو مثل سرویس ماهیانه به بقیه هکرها اجاره می‌دن! یعنی هر کی دوست داره شیطنت کنه، پول بده، بدافزار آماده تحویل بگیره و فقط شروع کنه به حمله.

هکرها کی هستن؟ شباهت به Black Basta
Morphisec نگفته دقیقاً این حملات کار کدوم گروه هکریه، ولی می‌گه این روش‌های اجتماعی (یعنی همون Social Engineering ـ فریب دادن آدم‌ها برای فاش‌کردن اطلاعات یا دسترسی) قبل‌تر هم توسط یه گروه معروف به اسم Black Basta استفاده می‌شده. این گروه واسه باج‌افزارهاش خیلی بدنام بود، ولی ظاهراً این آخرا کمتر فعال شده. جالبه بدونی اوایل امسال حتی چت‌های داخلی اعضا این گروه هم لو رفته بود!

چطوری جلوی این دردسرها رو بگیریم؟
واقعیتش، الان تهدیدهای سایبری خیلی پیشرفته‌تر شدن و هر روز راه‌های جدیدی برای گول زدن ما پیدا می‌کنن. برنامه‌هایی مثل Norton 360 مخصوص همین قضیه ساخته شدن و روزبروز هم هوشمندتر می‌شن (مثلاً Genie AI یعنی همون هوش مصنوعی‌ای که می‌فهمه کدوم پیام اسکم یا مشکوکه). اما عقل سلیم و حواست جمع باشه همیشه مهم‌تر از هر نرم‌افزاریه؛ پس حواست باشه به هر کسی تو تیمز، مخصوصاً اگه تیم آی‌تی خارجی بود (!) اعتماد نکنی و به راحتی دسترسی ندی!

پیام آخر:
اگر کارمند شرکتی هستی یا هر جایی با Microsoft Teams یا سایر ابزارهای ریموت سر و کار داری، یادت باشه هرگز و هروقت کسی قصد دسترسی از راه دور داشت، به راحتی قبول نکن! مخصوصاً اگه با دوز و کلک می‌خوان یه فایل اجرا کنی یا اسکریپت دانلود کنی، زنگ خطر باید تو ذهنت فعال شه. دوره‌ی “من بلد نیستم، بذار تکنسین خارجی بیاد درست کنه” دیگه تموم شده!

اگر می‌خوای درباره این قضایا بیشتر بدونی، مقاله‌هایی درباره لو رفتن چت‌های داخلی گروه‌های باج‌افزار یا بهترین برنامه‌های پسورد منیجر رو هم می‌تونی جستجو کنی. خلاصه، امنیتت رو جدی بگیر دوست من، چون تو لیست هدف هکرها شاید همین حالا باشی!

منبع: +