IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

گروه باج‌افزار PYSA، مهاجمان جدید لینوکس

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian.ir pysa group joins the cabal of malware groups targeting linux 1
به تازگی گروه باج‌افزار PYSA مجموعه حملات خود را با افزودن امکان پشتیبانی از سیستم‌های مبتنی بر لینوکس گسترش و بسط داده است. کارشناسان در گزارشی به نسخه لینوکس ChaChi در VirusTotal اشاره کرده‌اند. ChaChi یک backdoor تونلینگ DNS مبتنی بر زبان برنامه‌نویسی Go است که از دامین‌های مشترک با گروه باج‌افزار PYSA استفاده می‌کند.

چه اتفاقی افتاده است؟
نسخه ChaChi برای اولین بار در ۱۴ ژوئن در VirusTotal بارگذاری شد و در آن زمان، تنها ۱ مورد از ۶۱ تشخیص آنتی ویروس را شامل می‌شد. بعداً در ماه آگوست، آزمایشگاه‌های Lacework گونه لینوکسی ChaChi را کشف کرده‌اند.

• نسخه لینوکس دارای اکثر ویژگی‌های مشابه با نسخه ویندوز خود است، مانند عملگر‌های اصلی، فایل‌های با حجم بزرگ (بزرگتر از ۸ مگابایت) و استفاده از Gobfuscate محو‌کننده Golang.

• یکی از ویژگی‌های منحصر به فرد نسخه لینوکس، وجود خروجی دی‌باگ یا اشکال زدایی با داده‌های DateTime است. این ویژگی از اسامی سرور‌های سفارشی‌سازی شده استفاده می‌کند که به عنوان سرور C2 برای استفاده از پروتکل تونلینگ DNS استفاده می‌شوند.

• بیشتر زیرساخت‌های ChaChi از اواخر ژوئن آفلاین بوده یا فعال نیستند. با این حال، به نظر می‌رسد دو دامنه ns1[. ] ccenter[. ]tech و ns2[. ]spm [. ] آنلاین و فعال هستند.

• دو دامنه مورد استفاده (sbvjhs[. ]xyz/sbvjhs [. ]club) از نوع لینوکس است که در آدرس IP آمازون ۹۹[. ]۸۳[. ]۱۵۴[. ]۱۱۸ ریزالو شده است. اعتقاد بر این است که IP توسط Namecheap برای دامین پارکینگ استفاده می‌شود.

سایر باند‌های باج‌افزار نیز همین رویه را پیش می‌برند
علاوه بر PYSA، اخیراً چندین مجرم سایبری مشاهده شده‌اند که علاوه بر ویندوز، سیستم‌ها و شبکه‌های مبتنی بر لینوکس را نیز هدف قرار می‌دهند.

در ماه آگوست، گروه باج‌افزار BlackMatter یک رمزنگار مبتنی بر لینوکس ایجاد کرده بود که بیشتر به دلیل محبوبیت و کاربری گسترده در سازمان‌ها، پلتفرم VMware's ESXi VM را هدف قرار می‌داد.

علاوه بر این، در مورد دو گروه باج‌افزار معروف به HelloKitty و REvil مشاهده شده است که سیستم‌های مبتنی بر لینوکس، به ویژه سرور‌های ESXi را با رمزگذار‌های ELF هدف قرار داده‌اند.

نتیجه
مشخصاً این یک گرایش رایج است و در بسیاری از مجرمان سایبری مشاهده می‌شود که بدافزار‌های چند پلتفرمی را توسعه می‌دهند تا پایگاه و حوزه قربانیان خود را گسترش دهند. نوع لینوکس از گروه باج‌افزار PYSA تا کنون در هیچ حمله فعال مشاهده نشده است. با این حال، در آینده این بدافزار می‌تواند در کمپین‌های حمله مورد استفاده قرار گیرد. پس بسیار توصیه می‌شود که مراقب باشید.

برچسب ها: ESXi, Namecheap, Gobfuscate, باج‌افزار, PYSA, Lacework, تونلینگ, ChaChi, BlackMatter, Golang, REvil, HelloKitty, Virustotal, Linux, لینوکس, cybersecurity, VMware, ransomware , DNS Amplification, backdoor, امنیت سایبری, Cyber Attacks, حمله سایبری

نوشته شده توسط تیم خبر.

چاپ ایمیل