نشر مركز الأمن السيبراني الأسترالي (ACSC) ووكالة الأمن السيبراني وأمن البنية التحتية (CISA) الأمريكية معلومات استخباراتية محدثة عن أنشطة الشبكة الخطيرة. عملية الفدية BianLianبعد ملاحظة التطور السريع في تكتيكات العصابة وتقنياتها وإجراءاتها (TTPs).
واحدة من عدد من العصابات التي برزت لأول مرة إلى جانب LockBit في عام 2022 خلال التحول في المشهد الإجرامي السيبراني بعد وفاة طاقم كونتي، يكاد يكون من المؤكد أن بيانليان يقع في روسيا على الرغم من الاسم الصيني – ربما محاولة للتعتيم.
على مدى العامين الماضيين، أنشأت اسمًا لنفسها من خلال استهداف مشغلي البنية التحتية الوطنية الحيوية (CNI) في كل من أستراليا والولايات المتحدة، مع ضحايا أيضًا في المملكة المتحدة.
بعد أن تمكن من الوصول إلى بيئات ضحاياه، عادةً عن طريق سرقة بيانات اعتماد صالحة لبروتوكول سطح المكتب البعيد (RDP)، وإخراج بياناتهم، استخدم BianLian تاريخيًا نموذج الابتزاز المزدوج القياسي، حيث قام بتشفير أنظمة الضحايا ثم التهديد بتسريب بياناتهم إذا لم يكونوا كذلك. لم تؤتي ثمارها.
ومع ذلك، قال الأستراليون، إن بيانليان بدأ في عام 2023 في التحول إلى الابتزاز القائم على التشفير، حيث تُترك الأنظمة سليمة ويتم تحذير الضحايا من العواقب المالية والتجارية والقانونية إذا لم يتم الدفع. من بين مجرمي الإنترنت، يمكن اعتبار هذه التقنية طريقة أسهل إلى حد ما لابتزاز الضحية لأنها تتطلب عملاً تقنيًا أقل. من المؤكد أن BianLian يعتقد ذلك، لأنه منذ يناير 2024، استخدموا هذه الطريقة حصريًا.
“يشجع مكتب التحقيقات الفيدرالي وCISA وACSC منظمات البنية التحتية الحيوية والمنظمات الصغيرة والمتوسطة الحجم على تنفيذ التوصيات في قسم التخفيف من الاستشارة وقالت لجنة ACSC: “للحد من احتمالية وتأثير BianLian وغيرها من حوادث برامج الفدية وابتزاز البيانات”.
تقنيات جديدة
التغيير الأكثر أهمية الذي تمت ملاحظته هو التخلي عن خزانة برامج الفدية التقليدية للتشفير وتحديث مذكرة برامج الفدية القياسية الخاصة بها لتعكس ذلك – عينات منها يتم توفيرها في الاستشارة.
كما أنها اعتمدت المزيد من تقنيات الضغط العالي في محاولة للضغط على ضحاياها لدفع الثمن. وهي ترسل الآن نسخًا من مذكرة الفدية إلى طابعات المكاتب، وكان موظفو الشركات المتضررة على الطرف المتلقي لمكالمات هاتفية تهديدية.
ومع ذلك، في الفترة التي سبقت هجماتها، تستخدم العصابة أيضًا عددًا من التقنيات المحدثة الأخرى التي يجب على المدافعين الانتباه إليها. يتوفر ملخص كامل من ACSC، ولكن من بين بعض التغييرات، بعض تلك التغييرات التي لاحظتها السلطات هي استهداف التطبيقات العامة لكل من البنية التحتية لـ Microsoft Windows وVMware ESXi، استغلال سلسلة استغلال ProxyShell القديمة للوصول الأولي، بالإضافة إلى RDP.
بمجرد دخول BianLian إلى هدفه، يقوم الآن أيضًا بزراعة باب خلفي مخصص ومشفر خاص بالضحية ومن هناك يقوم بتثبيت برنامج الإدارة والوصول عن بعد، ويفضل المنتجات الشائعة بما في ذلك AnyDesk وTeamViewer، لتحقيق الثبات والقيادة والتحكم (C2 ) الأغراض. ويبدو الآن أيضًا أنه يستخدم أداة الوكيل العكسي Ngrok وربما نسخة معدلة من الأداة المساعدة Rsocks مفتوحة المصدر لإنشاء أنفاق من الشبكات الضحية والتغطية على الاتجاه الذي تتجه إليه حركة مرور C2.
ولتصعيد امتيازاتها داخل بيئة الضحية، قامت مؤخرًا باستغلال CVE-2022-37969. هذا اليوم صفر، من بين 64 خطأً حاولت مايكروسوفت القضاء عليها في تحديث تصحيح الثلاثاء لشهر سبتمبر 2022، هي ثغرة أمنية في رفع الامتيازات في برنامج تشغيل نظام ملفات السجل المشترك لـ Windows وتم استغلالها بنجاح، وتمنح حقوقًا على مستوى المسؤول.
تاريخيًا، استفادت BianLian من Power Shell وWindows Command Shell لتعطيل أدوات مكافحة الفيروسات مثل Windows Defender وواجهة فحص البرامج الضارة (AMSI). وقد لوحظ الآن أنه يعيد تسمية الثنائيات والمهام المجدولة بعد خدمات Windows الأصلية ومنتجات الأمان، ويبدو أنه يحاول حزم الملفات التنفيذية باستخدام UPX لإخفاء التعليمات البرمجية الخاصة بها في محاولة لتجاوز أدوات الكشف.
عندما يتعلق الأمر بتأسيس الثبات وتسهيل المزيد من الحركة الجانبية، فقد لوحظ أن العصابة تستخدم PsExec وRDP بحسابات صالحة، ولكن تم رصدها أيضًا باستخدام بروتوكول كتلة رسائل الخادم (SMB)، وتثبيت أغطية الويب على خوادم Exchange، وإنشاء Azure Active. حسابات الدليل (AD).
اعرف عدوك
أندرو كوستيس، المدير الهندسي لفريق أبحاث الخصوم و هجومIQوقالت شركة MITRE ATT&CK، المتخصصة في محاكاة الهجمات السيبرانية المستندة إلى MITRE ATT&CK، إنه من المهم بالنسبة للمدافعين أن يفهموا ويختبروا تقنيات TTP شديدة التحديد التي تستخدمها عصابات مثل BianLian.
وأشار إلى أن “التحول إلى الابتزاز القائم على التسرب أمر مثير للاهتمام، لا سيما أنه يُعتقد أن مشغلي BianLian من المحتمل أن يكونوا متمركزين في روسيا أو لديهم علاقات مع روسيا – بناءً على بعض الأدوات التي لوحظ أنهم يستخدمونها”.
“مع تطور الوضع الجيوسياسي الحالي بين روسيا وأوكرانيا والغربقد يكون هذا خطوة استراتيجية لضرب ضحاياهم بشكل أسرع واستهداف المزيد من الضحايا في النهاية. وقال كوستيس لموقع Computer Weekly في تعليقات عبر البريد الإلكتروني: “إن إلغاء أولوية الابتزاز المزدوج يمكن أن يكون بمثابة استراتيجية لتوفير الوقت، حيث أن مفاوضات الابتزاز المزدوج تستغرق وقتًا وموارد من كلا الجانبين”.
“من منظور القيمة، يشير القصد من هذا التغيير في التكتيك إلى أنهم لا يقدرون حاليًا التشفير أو الابتزاز المزدوج. وسيكون من المثير للاهتمام بالتأكيد معرفة ما إذا كانت مجموعات برامج الفدية الأخرى ستحذو حذوها.
