نگاهی به گزارش ترلیکس در خصوص کارزار اخیر Storm-0324

شرکت ترلیکس (Trellix) در گزارشی به بررسی کارزار اخیر گروه Storm-0324 پرداخته است.

در جریان این کارزار، مهاجمان Storm-0324، اقدام به ارسال پیام‌های فیشینگ در نرم‌افزار Microsoft Teams و در نهایت آلوده‌سازی دستگاه قربانی به یک درب‌پشتی (Backdoor) پیچیده می‌کنند.

Storm-0324، گروهی با گرایش‌های مالی است. مهاجمان این گروه، عمدتاً، با نفوذ اولیه (Initial Access) به شبکه قربانیان، دسترسی به آن شبکه‌ها را در اختیار گروه‌هایی همچون Sangria Tempest و TA543 قرار می‌دهند. این گروه‌های باج‌افزاری نیز، پس از ورود به شبکه و گسترش دامنه نفوذ، اقدام به سرقت اطلاعات و در ادامه رمزگذاری فایل‌ها می‌کنند.

همچنین، Storm-0324، توزیع بدافزارهای زیر را در کارنامه دارد:

• Gozi InfoStealer
• Nymaim Downloader
• Locker
• Trickbot
• Gootkit
• Dridex
• Sage / Gandcrab Ransomware
• IcedID

مهاجمان Storm-0324، در کارزار اخیر خود، تلاش می‌کنند تا از طریق پیام‌های فیشینگ، کاربر را متقاعد به باز کردن یک فایل ZIP و در ادامه اجرای فایل WSF درون آن کنند.

در صورت اجرای فایل WSF، دستگاه قربانی، آلوده به بدافزاری از نوع درب‌پشتی می‌شود که ترلیکس از آن با عنوان JSSLoader یاد کرده است.

JSSLoader که به نظر می‌رسد توسط گروه FIN7/Sagrid توسعه داده شده مجهز به قابلیت‌های زیر است:

• ضدتحلیل
• سرقت اطلاعات
• اجرای کد دلخواه مهاجم به‌صورت از راه دور
• ماندگار شدن بر روی سیستم آلوده

جزییات کامل، در خصوص درب‌پشتی JSSLoader و نشانه‌های آلودگی (IoC) کارزار اخیر Storm-0324 در لینک زیر قابل دریافت و مطالعه است:

https://www.trellix.com/en-us/about/newsroom/stories/research/storm-0324-an-access-for-the-raas-threat-actor.html