حمله پیشرفته باج‌افزار تری‌ای‌ام با استفاده از مهندسی اجتماعی و ماشین مجازی

در گزارشی جدید از شرکت امنیتی سوفوس (Sophos)، جزئیات یک حمله پیچیده از سوی گروه باج‌افزاری تری‌ای‌ام (3AM) منتشر شده است که گردانندگان آن با بهره‌گیری از ترکیبی از مهندسی اجتماعی، ابزارهای معتبر مایکروسافت و استفاده از ماشین مجازی، به هدف خود حمله کرده‌اند. این حمله نه‌تنها نشان‌دهنده تطبیق‌پذیری و خلاقیت گروه‌های باج‌افزاری در روش‌های نفوذ است، بلکه زنگ خطری برای سازمان‌هایی است که هنوز به آموزش‌های امنیتی و نظارت‌های دقیق توجه کافی ندارند.

حمله با یک تکنیک مهندسی اجتماعی آغاز شد که در آن مهاجمان با قربانی تماس تلفنی برقرار کرده و خود را به‌عنوان کارکنان بخش فناوری اطلاعات معرفی کردند. برای افزایش اعتبار تماس، آن‌ها از تکنیکی به نام Voice Phishing – Vishing استفاده کردند و شماره تماس خود را به‌گونه‌ای جعل نمودند که از داخل سازمان به نظر برسد.

در ادامه، از ابزار Quick Assist که به‌صورت پیش‌فرض در Windows وجود دارد برای گرفتن کنترل از راه دور سیستم قربانی استفاده شد. این ابزار به مهاجمان امکان داد تا به بهانه پشتیبانی فنی، مستقیماً به سیستم قربانی متصل شده و اقدامات اولیه برای آماده‌سازی حمله را انجام دهند.

یکی از نکات کلیدی این حمله، استفاده مهاجمان از یک ماشین مجازی مخرب بود که روی سیستم قربانی اجرا شد. با استفاده از این ماشین مجازی، بدافزار اصلی در محیطی ایزوله اجرا شد که باعث می‌شد بسیاری از ابزارهای امنیتی سازمان، فعالیت‌های مخرب را شناسایی نکنند. این تکنیک، مشابه روش‌هایی است که در گذشته توسط گروه‌های بسیار پیشرفته مانند FIN6 یا Ragnar Locker نیز استفاده شده بود.

با وجود این‌که تلاش مهاجمان برای رمزگذاری فایل‌ها و اجرای نهایی باج‌افزار به دلیل استفاده سازمان قربانی از Sophos CryptoGuard ناکام ماند، اما آن‌ها توانستند به مدت 9 روز در شبکه باقی بمانند و به داده‌های حساس دسترسی پیدا کنند. این موضوع به‌وضوح نشان می‌دهد که هدف بسیاری از حملات مدرن، صرفاً اخاذی نیست؛ بلکه سرقت اطلاعات و آماده‌سازی برای حملات آینده نیز از اهداف مهم مهاجمان است.

این حمله نمونه‌ای از حملات ترکیبی پیشرفته است که در آن مهاجمان با بهره‌گیری از ابزارهای قانونی و فریب‌های روانشناختی، سدهای دفاعی سنتی را دور می‌زنند. سازمان‌ها باید با رعایت نکات زیر، آمادگی بیشتری در برابر چنین تهدیداتی کسب کنند:

• آموزش مستمر کارکنان در زمینه شناسایی تماس‌های مشکوک و تکنیک‌های مهندسی اجتماعی؛
• نظارت و محدودسازی استفاده از ابزارهای ارتباط از راه دور مانند Quick Assist؛
• استفاده از راهکارهای امنیتی پیشرفته که رفتارهای غیرمعمول را شناسایی کنند، حتی اگر ابزار مورد استفاده رسمی و مجاز باشد؛
• ارزیابی منظم سیاست‌های دسترسی و مجوزهای کاربر در شبکه؛
• واکنش سریع و مدیریت حوادث امنیتی برای محدودسازی نفوذ در صورت وقوع.

گزارش سوفوس یادآور این نکته است که تهدیدات سایبری روزبه‌روز هوشمندتر و پیچیده‌تر می‌شوند و تنها راه مقابله با آن‌ها، ارتقاء سطح آگاهی، بهره‌گیری از فناوری‌های نوین و افزایش هماهنگی درون‌سازمانی در حوزه امنیت اطلاعات است.

مشروح گزارش سوفوس در لینک زیر قابل دریافت و مطالعه است:

https://news.sophos.com/en-us/2025/05/20/a-familiar-playbook-with-a-twist-3am-ransomware-actors-dropped-virtual-machine-with-vishing-and-quick-assist