تاکتیک جدید گروه سایبری مراکشی اطلس لاین

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، طبق گزارش شرکت امنیت سایبری اکسپل (Expel)، این گروه با استفاده از اطلاعات کاربری دزدیده‌شده، ماشین‌های مجازی (VM) خود را در دامنه‌ی ابری سازمان‌ها ثبت می‌کند.

این اقدام به آن‌ها اجازه می‌دهد تا زیرساخت مجرمانه خود را همچون بخشی مشروع از شبکه‌ی شرکت جا بزنند.

طبق اعلام مایکروسافت، اطلس لاین (Atlas Lion) در زمینه نفوذ به سیستم‌های خرده‌فروشان بزرگ تخصص دارد تا به‌طور غیرقانونی برای خود کد کارت هدیه صادر کند.

اکسپل به‌تازگی شاهد حمله‌ای بود که در آن، اطلس لاین پیامک‌هایی ارسال کرده که شبیه اعلان‌های پشتیبانی شرکت به‌نظر می‌رسیدند.

این پیام‌ها حاوی لینکی مخرب بودند که قربانی را به صفحه‌ای فیشینگ هدایت می‌کرد تا نام کاربری، گذرواژه و کد تأیید هویت چندمرحله‌ای (MFA) خود را وارد کند.

هکرها بلافاصله از این اطلاعات برای ورود به حساب کاربری قربانی و ثبت دستگاه خود در اپلیکیشن تأیید هویت چندمرحله‌ای شرکت استفاده کردند تا دسترسی‌شان را حفظ کنند.

اکسپل گزارش داد که در این فیشینگ اولیه، مهاجمان اطلاعات ورود ۱۸ کاربر را به دست آوردند و از میان آن‌ها، ۹ حساب را برای ثبت اپلیکیشن تأیید هویت استفاده کردند.

در ادامه، اعضای اطلس لاین یک ماشین مجازی ویندوز را در فضای ابری مایکروسافت آژور (Microsoft Azure) خود ایجاد کرده و آن را به دامنه‌ی سازمان قربانی متصل کردند.

طبق گفته اکسپل، یکی از مراحل معمول نصب دستگاه ویندوز این است که به کاربر امکان می‌دهد دستگاه را به دامنه شرکتی متصل کند، اگر اطلاعات کاربری در اختیار داشته باشد.

پژوهشگران عنوان کردند:

در واقع، این ماشین مجازی با تقلید از یک سیستم جدید در محیط شرکتی، به‌عنوان یک دستگاه رسمی وارد سیستم شد و الزامات امنیتی برای جلوگیری از ورود دستگاه‌های غیرمجاز را دور زد.

با این حال، این روش نقاط ضعفی دارد که به پژوهشگران اکسپل کمک کرد تا آن را شناسایی کنند.

طبق سیاست‌های سازمان، دستگاه‌های جدید باید نرم‌افزارهایی مطابق با استانداردهای امنیتی نصب کنند.

مهاجمان مجبور شدند مایکروسافت دیفندر (Microsoft Defender) را روی ماشین مجازی نصب کنند، که این سیستم یک آدرس آی پی (IP) مشکوک و سابقه‌دار را شناسایی کرد و تیم امنیتی دستگاه را از شبکه حذف و رمز عبور کاربر را تغییر داد.

پژوهشگران افزودند:

کنایه‌آمیز است که همان فرایند ثبت دستگاه که مهاجمان قصد سوء‌استفاده از آن را داشتند، باعث شناسایی و اخراج آن‌ها شد.

اما نگرانی بزرگ‌تری وجود دارد؛ چرا که به گفته پژوهشگران، اگر مهاجمان از یک آی پی ناشناس استفاده می‌کردند، احتمالاً تا مدت‌ها شناسایی نمی‌شدند.

چند ساعت پس از اخراج، اعضای اطلس لاین با استفاده مجدد از همان اطلاعات ورود، دوباره وارد شبکه شدند.

این‌بار، به جستجوی اپلیکیشن‌های داخلی سازمان پرداخته و ده‌ها فایل را دانلود کردند.

اکسپل می‌گوید به نظر می‌رسد هکرها احتمالاً برای افزایش شانس موفقیت در حملات بعدی، به‌دنبال اطلاعاتی درباره‌ی سیاست‌های همراه داشتن دستگاه شخصی (Bring Your Own Device (BYOD))، نرم‌افزارهای مدیریت دستگاه و تنظیمات وی پی ان (VPN) داخلی بوده‌اند.

به گفته اکسپل، در کنار این موضوع، اطلس لاین به جستجوی اسناد مربوط به فرآیند صدور کارت هدیه، بازپرداخت، تعویض و حتی سیاست‌های پیشگیری از تقلب در کارت هدیه نیز پرداخته است.

پژوهش اکسپل با یافته‌های سال گذشته مایکروسافت هم‌خوانی دارد و نشان می‌دهد که اطلس لاین توانایی بالایی در استفاده از زیرساخت‌های ابری و بهره‌برداری از مستندات داخلی شرکت‌ها برای صدور تقلبی کارت هدیه دارد.

مایکروسافت پیش‌تر اعلام کرده بود که اطلس لاین نسخه‌های قانونی از نامه‌های مربوط به معافیت مالیاتی سازمان‌های غیرانتفاعی در آمریکا را از وب‌سایت‌های عمومی این سازمان‌ها دانلود کرده تا محصولات ابری را با تخفیف تهیه کند.

این گروه معمولاً کارت‌های هدیه جدید ایجاد کرده و یا آن‌ها را با استفاده از افراد واسطه نقد می‌کند، یا با تخفیف به سایر مجرمان سایبری در دارک‌وب می‌فروشد.

به گفته مایکروسافت، در برخی موارد، هکرها روزانه تا ۱۰۰ هزار دلار از طریق کارت‌های هدیه سرقت می‌کنند.