به گزارش کارگروه حملات سایبری سایبربان؛ یکی از هم دستان گروه باج افزاری اخیرا شناسایی شده Yanluowang بر روی حمله به نهادهای مهم آمریکا در بخش مالی متمرکز شده است. این گروه در مرحله شناسایی، از بدافزار BazarLoader استفاده می کند.
بر اساس تاکتیک ها، تکنیک ها و پروسه های مشاهده شده، این بازیگر مخرب تجربیاتی زیادی در ارتباط با عملیات های "باج افزار به عنوان سرویس" دارد و این احتمال وجود دارد که با گروه Fivehands ارتباط داشته باشد.
محققین Symantec مدعی شدند که این بازیگر مخرب از ماه آگوست، هدف های شناخته شده تر و مهم تری را در آمریکا مورد حمله قرار داده است.
اگرچه گرایش این هم پیمان عاملین باج افزار Yanluowang هدف قرار دادن موسسات مالی است اما شواهد حاکی بر آن می باشد که این بازیگر مخرب، شرکت های فعال در بخش تولید، خدمات IT، مهندسی و خدمات مشاوره ای را نیز هدف قرار داده است.
محققین با بررسی تکنیک ها، تاکتیک ها و پروسه های این بازیگر مخرب، آن را به گروه Fivehands (UNC2447) مرتبط دانسته اند. باج افزار Fivehands خود، در ماه آوریل توسط شرکت Mandient شناسایی شد.
UNC2447 دارای قابلیت های پیشرفته ای برای شناسایی نشدن می باشد.
مهاجمین پس از دسترسی به شبکه هدف، با استفاده از پاورشل اقدام به دانلود ابزارهایی مانند بدافزار BazarLoader می کند تا بتواند حرکات دیگری را دستگاه هدف صورت دهد.
BazarLoader از طریق بات نت تریک بات به اهداف سازمانی انتقال داده می شود. این بدافزار می تواند باج افزار کونتی را نیز گسترش دهد.
بازیگران مخرب Yanluowang با فعالسازی RDP، ابزار ConnectWise را با هدف دسترسی از راه دور نصب می کنند.
آن ها ظاهرا از ابزارهای متنوعی برای راهبرد اهداف خود استفاده می کنند. به عنوان مثال چندین ابزار برای سرقت داده های احراز هویت از مرورگرها مورد استفاده این بازیگر مخرب قرار دارد.
از جمله این ابزارها می توان به موارد زیر اشاره کرد:
- GrabFF
- GrabChrome
- BrowserPassView
محققین، این باج افزار و هم پیمانانش را به چین ارتباط داده اند.
