حمله سایبری (کیت فیشینگ کوآری) به سامانههای مالی آمریکا؛ تحللیل پلتفرم جدید PhaaS
فضای امنیت سایبری جهانی بار دیگر شاهد ظهور یک پلتفرم مخوف در حوزه «فیشینگ به عنوان خدمات» (PhaaS) است که با هدف قرار دادن نهادهای حیاتی دولتی آمریکا، فصل جدیدی از حملات مهندسی اجتماعی پیچیده را آغاز کرده است.
این عملیات گسترده که با استفاده از ابزار توسعهیافته موسوم به «کواَری» (The Quarry) هدایت میشود، به طور مشخص آژانسهای مالی و حمایتی بزرگ مانند سازمان امور مالیاتی آمریکا (IRS) و سازمان تأمین اجتماعی (SSA) را جعل کرده است. پلتفرم مذکور با تجهیز نزدیک به ۲۰۰ مجرم سایبری، کمپینهای بسیار گریزان و پنهانی را مدیریت میکند. طبق گزارش پژوهشگران امنیتی در موسسه SOCRadar، این اکوسیستم اساساً مانند یک سرویس مدیریتشده و تجاری عمل میکند.
مکانیسم شکلگیری و مدل تجاری اکوسیستم
بررسیهای فنی نشان میدهد که این زیرساخت دستکم از آوریل ۲۰۲۵ فعال بوده و به طور مداوم طعمهها و صفحات فریب خود را برای سوءاستفاده از بازههای زمانی حساس مانند فصل مالیاتی ایالات متحده بازطراحی و بهینه میکند. نکته تاملبرانگیز در ساختار این گروه، مدیریت کل این اکوسیستم پیچیده توسط یک توسعهدهنده واحد با نام مستعار RockyBelling است که تمامی هماهنگیها و فروش ابزارها را از طریق یک کانال اختصاصی در پیامرسان تلگرام پیش میبرد.
خریداران این کیت، یک بسته کامل عملیاتی دریافت میکنند که شامل موارد زیر است:
- کیتهای فیشینگ با شباهت حداکثری به پلتفرمهای اصلی
- زیرساختهای پنهانسازی و تغییر مسیر ترافیک (Traffic Cloaking)
- ابزارهای ارسال انبوه ایمیل (Bulk Emailers)
- پنلهای دسترسی از راه دور (Remote Access Panels)
این مدل کسبوکار سایبری، مانع ورود مجرمان مبتدی را به شدت کاهش داده و به هکرهای کمتجربه اجازه میدهد تا کمپینهای مستقلی را راهاندازی کنند؛ کمپینهایی که به دلیل توزیع لایهای، در ظاهر کاملاً مستقل از یکدیگر به نظر میرسند و تحلیلگران خارجی را در ردیابی منشأ واحد دچار گمراهی میکنند. قیمتگذاری این ابزارها برای نسخههای پایه و ورودی از ۵۰۰ دلار آغاز شده و برای دسترسی کامل به سیستمهای مدیریت از راه دور به حدود ۲۰۰۰ دلار به همراه هزینه نگهداری ماهانه میرسد.
ساختار کلان اکوسیستم PhaaS کیت Quarry؛ از مدیریت تلگرامی توسعهدهنده تا زنجیره توزیع میان خریداران
زنجیره حمله و تاکتیکهای گریز از فیلترینگ
کیت کواَری یک زنجیره حمله چندمرحلهای را اجرا میکند که به طور تهاجمی برای فیلتر کردن اسکنرهای امنیتی، رباتهای تحلیلگر و محققان سایبری طراحی شده است. این فرآیند با توزیع گسترده ایمیلهای حاوی لورها و طعمههای مالیاتی آغاز میشود. به محض کلیک قربانی روی لینک مخرب، سرور بلافاصله مشخصات مرورگر (User Agent) را ارزیابی میکند. در این مرحله، هرگونه دستگاهی که مبتنی بر سیستمعامل ویندوز نباشد، به صفحات خطای بیضرر هدایت میشود تا طعمه اصلی تنها به کاربران دسکتاپ هدف تحویل داده شود.
برای دور زدن سیستمهای شناسایی خودکار، این کیت از فناوری پنهانسازی ترافیک پیشرفته با کمک سیستم Adspect بهره میگیرد. این ابزار با انگشتنگاری دقیق از مرورگر، محیطهای آزمایشگاهی امنیتی (Sandboxes)، کارتهای گرافیک مجازی و خزندههای امنیتی شرکتهای آنتیویروس را شناسایی و مسدود میکند. پس از عبور موفقیتآمیز کاربر واقعی از این فیلترها، صفحات جعلی با کپیبرداری بینقص از پرتالهای دولتی مانند سازمان تأمین اجتماعی (SSA) به نمایش درمیآیند و قربانی را ترغیب میکنند تا یک ابزار امنیتی ارتباطی جعلی (Security Connector) را دانلود کند.
نمودار جریان تصمیمگیری سیستم Adspect برای تفکیک قربانیان واقعی از رباتها و محققان امنیتی در زیرساخت فیشینگ Quarry
این ابزار در واقع یک نرمافزار مدیریت و نظارت از راه دور مشروع (RMM) است که به عنوان بکدور برای کنترل کامل سیستم قربانی استفاده میشود.
راهکارهای شناسایی، پیشگیری و اقدامات تدافعی
با توجه به معماری ماژولار و استفاده این کیت از نرمافزارهای قانونی مدیریت از راه دور، روشهای سنتی مبتنی بر امضای فایلها (Signature-based detection) عملاً کارایی خود را از دست دادهاند. محققان SOCRadar تأکید دارند که تیمهای امنیت شبکه باید به جای تکیه بر هش فایلها، بر رفتارهای غیرعادی زیرساخت متمرکز شوند:
یک - نظارت بر الگوهای زیرساختی و ابزارهای مدیریت از راه دور: سازمانها باید یک لیست سفید و تاییدشده از نرمافزارهای RMM مجاز درونسازمانی تهیه کرده و سیستمهای هشداردهنده را برای شناسایی هرگونه نصب غیرمجاز ابزارهایی مانند ScreenConnect یا Datto فعال کنند.
دو - پایش دایرکتوریهای موقت: بررسی مداوم لاگهای نقاط پایانی (Endpoints) برای شناسایی فرآیندهای نصب پنهان فایلهای MSI که از مسیرهای موقتی (Temporary Directories) با پارامترهای خط فرمان مخفی اجرا میشوند، الزامی است.
سه - مسدودسازی دامنههای نوظهور مالی: فیلتر کردن و مسدودسازی ترافیک وب به سمت دامنههای تازه ثبتشدهای که ترکیبی از واژههای مالی مانند tax یا ssa با کلمات عملیاتی نظیر portal یا sync هستند، پتانسیل نفوذ را کاهش میدهد.
چهار - محدودسازی اسکریپتها: اعمال سیاستهای کنترل اپلیکیشن برای محدود کردن اجرای اسکریپتهای ویژوال بیسیک (VBScript) از دایرکتوریهایی که کاربر دسترسی نوشتن در آنها را دارد، لایه دفاعی موثری ایجاد میکند.
پنج - حسابرسی داراییهای وب: بازرسی دورهای منابع وب خارجی سازمان برای اطمینان از عدم افشای اعتبارنامههای ابری یا کلیدهای API که سوخت لازم برای اجرای این کمپینهای هدفمند را تأمین میکنند، حیاتی است.
شاخصهای آلودگی (IoCs) شناساییشده در شبکه کواَری
- دامنه فیشینگ با جعل خدمات مالیاتی / estatetaxarchives.com
- دامنه فیشینگ با جعل سازمان تامین اجتماعی / hub.ssa-guidance.com
- دامنه میزبانی لورها و طعمههای مالیاتی / inherittaxpapers.site
توجه: به منظور جلوگیری از تحلیل خودکار یا کلیکهای تصادفی، دامنههای فوق در متن اصلی گزارش به صورت بیاثر (Defanged) ثبت شدهاند و استفاده از آنها تنها باید در بسترهای کنترلشده تحلیل تهدید صورت گیرد.
به روی چشم! این هم ترجمه کامل و دقیق جدول شاخصهای آلودگی (IoCs) به فارسی:
📊 شاخصهای آلودگی (IoCs) کمپین The Quarry
|
نوع شاخص (Indicator Type) |
مقدار (Value) |
توضیحات (Description) |
|
دامنه (Domain) |
estatetaxarchives.com |
دامنه فیشینگ که خودش را به جای خدمات مالیاتی جا میزند. |
|
دامنه (Domain) |
hub.ssa-guidance.com |
دامنه فیشینگ که خودش را به جای سازمان تأمین اجتماعی (آمریکا) جا میزند. |
|
دامنه (Domain) |
inherittaxpapers.site |
دامنه فیشینگ که میزبان طعمههایی با موضوع مالیات است. |
جدول دامنههای مخرب و شاخصهای آلودگی (IoCs) استخراجشده از کمپین فیشینگ Quarry
نتیجهگیری و افق پیشرو
ظهور پلتفرم کواَری نشاندهنده تجاریسازی روزافزون ابزارهای مخرب سایبری است. دسترسی آسان به زیرساختهای تغییر مسیر ترافیک و توانایی فیلتر کردن ابزارهای تحلیلی، شکار این دست کمپینها را برای تیمهای مدافع دشوارتر از گذشته کرده است. مقابله با این نسل از تهدیدات نیازمند گذار از ابزارهای دفاعی سنتی به سمت تحلیلهای پیشرفته رفتاری در سطح شبکه و نقاط پایانی است.
تحلیل و تدوین تخصصی: اتاق تحلیل اخبار امنیت سایبری ۲۴ نیوز (بهراد یوسفی)
