كيف كان رد فعل المحتالين في Runet على الفيروس التاجي

بعد ملاحظة حول الأشكال التي تتخذها التهديدات السيبرانية المرتبطة بالفيروس التاجي ، قررت النظر في كيفية استجابة الإنترنت الروسي للوباء وما يحدث للتهديدات السيبرانية في بلدنا ، وهي التصيد الاحتيالي والمواقع الاحتيالية.



كنقطة بداية ، بدأت في استخدام خدمة مراقبة وحماية DNS الخاصة بنا - Cisco Umbrella ، التي تعالج أكثر من 150 مليار استعلام DNS يوميًا وتحللها بحثًا عن البرامج الضارة. باستخدام أداة التحقيق في المظلة من Cisco ، كان أول شيء قررت فعله هو التحقق من كيفية إنشاء المجالات التي تستخدم الكلمات الرئيسية "covid" و "coronavirus" في أسمائها. على مدار الأيام السبعة الماضية ، ظهر ما يلي:

- 257 نطاقًا يحتوي على "فيروس



تاجي" ، تم تصنيف 170 منها على أنها ضارة - 271 نطاقًا بـ "غشاء" ، منها 121-349



نطاقًا مع "قناع" تم تصنيفها على أنها ضارة (وعددهم يتزايد باستمرار) ، 9 منها فقط مصنفة على أنها خبيثة و 1 على أنها تصيد.



لا يزال تصنيف المجالات الخبيثة أوليًا ، نظرًا لأن العديد من المجالات مسجلة فقط ولكن لم يتم استخدامها من قبل المجرمين الإلكترونيين.



خذ على سبيل المثال نطاق covid19-russia [.] Ru وحاول إجراء تحقيق سريع في ذلك:



تم تسجيل النطاق في 17 مارس ، وهو أمر غير مفاجئ بشكل عام ويجب ألا يسبب الشك في هذه الحالة بالذات ، كما هو الحال في الحالات الأخرى التي يكون فيها تاريخ إنشاء النطاق مؤشر مهم جدا للكشف عن النشاط الضار. بالنسبة لوباء الفيروس التاجي ، من الصعب توقع ما كان معروفًا عنه في العام الماضي أو قبل ذلك. لذلك ، بدأت المجالات المخصصة للفيروس التاجي تظهر الآن فقط.



دعونا نلقي نظرة على عنوان IP الذي يعلق عليه هذا المجال. كما نرى ، هو أيضًا ملجأ لعدد من المجالات ، وبعضها مرتبط بالوباء الحالي:



ولدينا نفس العنوان المرتبط بعدد من البرامج الضارة التي تنتشر إما من عنوان IP المحدد أو المواقع المعلقة عليه ، أو يستخدمون هذا العنوان كمفتاح إيقاف ، أو يستخدمونه كخادم أوامر ، يرسل الأوامر المناسبة ويتلقى ردودًا من الضحايا المصابين برمز ضار. الأولى في قائمة العينات الضارة المرتبطة بعنوان IP المحدد ، نرى Emotet ، المذكورة بالفعل في المقالة السابقة:



يتم استخدام هذه العينة في حملات أخرى استنادًا إلى تحليل تفاعل شبكتها:



إذا كنت تستخدم خدمة Cisco أخرى ، وهي وضع الحمايةCisco Threat Grid ، ثم يمكننا الحصول على معلومات أكثر تفصيلاً عن هذه العينة ، على سبيل المثال ، قائمة مفصلة بالمؤشرات السلوكية "التي عملت" في هذه الحالة:



تحليل العمليات التي تم إطلاقها كجزء من عمل Emotet على كمبيوتر الضحية:



نحن نفهم أنه في هذا في هذه الحالة ، كان هناك مستند MS Word تم استلامه / تنزيله من قبل ضحية تتفاعل مع عنوان IP والمجال الذي نفحصه:



إذا لزم الأمر ، يمكننا ربط المؤشرات المحددة بمصفوفة MITER ATT & CK ، والتي يتم استخدامها من قبل العديد من SOCs كجزء من أنشطتها:



ولكن بالعودة إلى تحليل عنوان IP الذي نهتم به ، حيث يتم تعليق العديد من المجالات التي تستغل موضوع الفيروس التاجي. يقع هذا العنوان في النظام المستقل AS198610 ، والذي يرتبط أيضًا ببعض الأنشطة الضارة ، على سبيل المثال ، من خريطة التوزيع عبر الإنترنت COVID-19 coronavirusmaponline [.] Com:



التي تم إنشاؤها في 23 مارس 2020:



وعلى موقعها الإلكتروني في 1 أبريل ظهر كود خبيث. ربما حدث هذا عن قصد ، أو ربما تم اختراق الموقع للتو وتم وضع برامج ضارة عليه ؛ هذا يتطلب تحقيق منفصل.



لم أقم بتحليل جميع مئات المواقع التي تم إنشاؤها في الأسبوع الماضي (وفي شهر تجاوز عددها بالفعل ألفًا) ، لكن الصورة متشابهة عليها. معظم المواقع التي تحتوي أسماؤها على الكلمات "covid" أو "coronavirus" خبيثة وتحت ستار أخبار عن جائحة ، حول العدد الحقيقي للحالات ، حول طرق مكافحة COVID-19 ، نشروا كود خبيث وأصابوا المستخدمين ببرامج ضارة "مألوفة" برامج.

من غير المستغرب أن لا يوجد شيء وراء الأسماء الكبيرة. غالبًا ما يكون هذا موقع WordPress تم إنشاؤه بسرعة ، على سبيل المثال ، مثل coronavirus19-pandemia [.] Ru:



في الوقت نفسه ، تكشف محاولة دفع مثل هذه المواقع عبر شبكة Cisco Threat Grid عن العديد من الحالات الشاذة التي قد تكون متأصلة في الشفرة الخبيثة (على الرغم من أن هذه قد تكون أيدي أيدي المبرمجين الذين قاموا "بسرعة" بإنشاء الموقع مما كان عليه). لم أبدأ بإجراء تحليل أعمق لكل موقع بسبب ضيق الوقت. ولكن عند تذكر آخر مشاركة حيث ذكرت المكون الإضافي الضار لـ WordPress ، بالإضافة إلى الممارسة الشائعة المتمثلة في اختراق مواقع WordPress ونشر الشفرة الضارة من خلالها ، يمكنني أن أفترض أنه بمرور الوقت سيظهر هذا الموقع وجهه الحقيقي.



ملاحظة أخرى مثيرة للاهتمام قمت بها تتعلق بمجتمع معين من المجالات التي تم إنشاؤها. على سبيل المثال ، الوقت الذي لاحظناه فيها لأول مرة. لسبب ما ، سقط العديد منهم في أعيننا في نفس الوقت.



ولكن غالبًا ما تكون موجودة في نفس النظام المستقل. على سبيل المثال ، ثلاثة مجالات هي الفيروس التاجي 19-pandemia المذكور سابقًا [.] Ru ، و Maskacoronavirus [.] Ru و mask-3m [.] Ru. لسبب ما ، يقع الثلاثة جميعًا في AS 197695 ، ويميز Cisco Umbrella الكثير منهم على أنه ضار ، مع تصنيف سلبي أقصى يبلغ 100. القناع 3 م [.] نطاق Ru نفسه لديه تصنيف غير خطير (في وقت كتابة هذا التقرير ، 28) ، ولكن يتم استضافته على عنوان IP 31 [.] 31 [.] 196 [.] 138 ، الموجود على قائمتنا السوداء والمرتبط بنشاط ضار مختلف:



بالمناسبة ، أصبح هذا النظام المستقل AS 197695 ملاذاً للعديد من الموارد الضارة. على سبيل المثال ، فإنه يستضيف telegramm1 موقع التصيد [.] Ru:



وكذلك awitoo [.] ru ، الذي لا يشبه موقع التصيد فحسب ، بل ينشر أيضًا كودًا ضارًا. إليك كيفية عرض نظام Cisco Threat Response الروابط بين هذا المجال والأدوات المختلفة :



هناك مجالات تصيد مرتبطة بمشروع Voice 1 وشبكة Facebook الاجتماعية ومتجر Amazon عبر الإنترنت وخدمة iCloud ومشاريع Apple الأخرى. مع متاجر البصريات "Ochkarik" ، وغيرها الكثير.

لا يتم تجاهل موضوع المواقع التي تجمع الأموال لمكافحة الفيروسات التاجية. على سبيل المثال ، إليك صندوق فيروسات التاجية الذي يجمع مثل هذه التبرعات (تحتاج فقط إلى تحويل الأموال إلى بطاقة):



صورة مماثلة هي مع المال [.] رو الموقع ، الذي يعلم كيفية كسب المال على COVID-19. للقيام بذلك ، اترك التطبيق المناسب وسيتصل بك أحد المديرين ، والذي سيخبرك بأسرار الكسب. صحيح ، كلا الموقعين ، الأوكرانية والروسية ، "يتعطلان" على نفس عنوان IP الذي اكتشفنا معه الرمز الضار المرتبط:



لصدفة غريبة ، تم أيضًا إرفاق مجال به ، من المفترض ، Cisco:



بالمناسبة ، مثل " أسباب تكاثر الفيروسات السيبرانية ، عندما يكون هناك في نفس العنوان أو في شبكة واحدة مستقلة ، العديد من الموارد الخبيثة ، إلى حد كبير. على سبيل المثال ، على IP 88 [.] 212 [.] 232 [.] 188 عدة عشرات من المجالات "معلقة" في وقت واحد ، والتي ، بناءً على أسمائها ، تستهدف مدن محددة في روسيا - يكاترينبورغ وساراتوف وإركوتسك وكازان وبلجورود وخاباروفسك و إلخ



أود الآن العودة إلى المجال الذي بدأت منه هذه المقالة. هذا المجال "معلقة" على عنوان IP 87 [.] 236 [.] 16 [.] 164 ، والذي ، بالإضافة إلى عشرات المجالات الأخرى ، يرتبط مجال مع عنوان مثير للاهتمام: antivirus.ru [.] Com. عندما حددته استجابة Cisco Threat Response على أنه مريب في سياق التحقيق ، اعتقدت أولاً أن الموقع على هذا النطاق كان يوزع مضادات الفيروسات عن طريق القياس مع القصة التي تحدثت عنها في المرة الأخيرة (برنامج مكافحة الفيروسات يقاتل COVID-19 الحقيقي).



لكن لا. اتضح أن هذا هو موقع المتجر عبر الإنترنت ، الذي تم إنشاؤه في 6 مارس. لدي انطباع بأن أولئك الذين ابتكروه أخذوا المحرك الجاهز لمتجر الملابس النسائية كأساس وأضفوا ببساطة السلع "الساخنة" المتعلقة بالفيروس التاجي هناك - أقنعة طبية ومطهرات وهلام وقفازات.



ولكن إما أن المطورين لم يضعوا أيديهم عليه ، أو لم يرغبوا في القيام بذلك ، ولكن من المستحيل الآن شراء أي شيء على الموقع - روابط الشراء لا تؤدي إلى شيء. بالإضافة إلى الإعلان عن عامل مضاد للميكروبات محدد للغاية ونشاط مريب على الموقع نفسه في عملية تنفيذه ، فإن الموقع ليس له أي فائدة. وليس لديه ما يزوره ، ويقاس هذا العدد بالوحدات. ولكن كما سيظهر المثال التالي ، إذا بدأت في الترويج لهذا النطاق ، فقد يؤدي ذلك إلى البنية التحتية المتفرعة التي يستخدمها مجرمو الإنترنت.



مع المجالات التي يذكر اسمها "قناع" ، يستمر الوضع في التطور بسرعة. يتم إنشاء بعض المجالات خصيصًا للبيع اللاحق. تم إنشاء بعض المجالات فقط ، لكنها لم تشارك بعد. من الواضح أن بعض النطاقات تصيد احتيالي أو تنشر شفرة ضارة بشكل مباشر. تتطفل بعض الموارد ببساطة على موضوع الجائحة وبأسعار باهظة يتم بيعها بواسطة أجهزة التنفس والأقنعة الطبية ، والتي كانت تكلف حتى وقت قريب 3-5 روبل لكل منهما. وغالبًا ما تكون جميع هذه المجالات مترابطة ، كما هو موضح أعلاه. يقوم شخص ما بإنشاء وإدارة هذا النوع من البنية التحتية للمجالات الخبيثة ، مستغلاً موضوع الفيروس التاجي.

وتجدر الإشارة إلى أن حالة مماثلة لوحظ ليس فقط في Runet. خذ المجال mygoodmask [.] Com ، الذي تم إنشاؤه في 27 فبراير ، وبالحكم من خلال توزيع الطلبات عليه ، كان شائعًا لدى جمهور في الولايات المتحدة الأمريكية وسنغافورة والصين. كما باع أقنعة طبية. في حد ذاته ، لم يتسبب هذا الموقع في أي شكوك وإدخال عنوانه في استجابة التهديدات من Cisco لن نرى أي شيء مثير للاهتمام:



ولكن بدون التوقف في هذا ، فإننا نذهب أبعد من ذلك ونفهم أنه عندما نحاول الوصول إلى mygoodmask [.] Com (ملاحظة أن المؤشرات السلوكية في هذه الحالة مماثلة لتلك السابقة):



تتم إعادة توجيهنا إلى greatmasks [.] com ، والذي يحل إلى عنواني IP - 37 [.] 72 [.] 184 [.] 5 و 196 [.] 196 [.] 3 [.] 246 ، وآخرها ضار واستضافت العديد من المواقع الخبيثة على مدى السنوات القليلة الماضية. يتم حل عنوان IP الأول للعديد من المجالات المتعلقة ببيع الأقنعة الطبية - أقنعة الأمان [.] Com ، flumaskstore [.] Com ، maskhealthy [.] Com ، إلخ. (مجموع أكثر من اثني عشر).



يمكننا عرض نفس المعلومات ، ولكن تم تقديمها بشكل مختلف باستخدام Cisco Threat Response ، وهو حل مجاني للتحقيق في الحوادث ، وقد خصصت له بالفعل عدة مقالات حول حبري:



يظهر تحليل سريع للبيانات خلال الأسبوع الماضي باستخدام Cisco Umbrella Investigate أنه لا يزال لدينا "قائد" واضح يجمع ما يقرب من 80٪ من جميع الموارد الضارة المرتبطة بوباء الفيروس التاجي ، النظام المستقل AS 197695:



إنه ، بالإضافة إلى من بين جميع الأمثلة الموصوفة أعلاه ، في الواقع ، فإنه لا يخدم فقط موضوع COVID-19 ، ولكن أيضًا العديد من الأمثلة الأخرى ، مما يشير إلى أن المهاجمين ليس لديهم أي تفضيل للوباء الحالي. كل ما في الأمر أنهم استفادوا من مناسبة إعلامية ونشروا كودًا ضارًا على موجته ، وجذب المستخدمين إلى مواقع التصيد الاحتيالي وإلحاق الضرر بمستخدمي Runet العاديين.



عندما ينحسر الضجيج حول الوباء ، سيتم استخدام البنية التحتية نفسها للترويج لمواضيع أخرى. على سبيل المثال ، البنية التحتية المذكورة أعلاه ، والتي بدأ التحقيق فيها مع موقع mygoodmask [.] Com ، بدأت في الواقع مؤخرًا فقط في "الترويج" لموضوع الأقنعة الطبية - قبل ذلك ، كانت قد شاركت في توزيع رسائل التصيد الاحتيالي حول الأحداث الرياضية ، وإكسسوارات الموضة ، بما في ذلك النظارات الشمسية و الحقائب ، إلخ. وفي هذا ، لا يختلف مجرمو الإنترنت لدينا كثيرًا عن زملائهم الأجانب.



حسنًا ، الاستنتاج من هذا التحقيق الخاطف ، الذي أجريته ليلة 1 أبريل ، سيكون بسيطًا - يستخدم المحتالون أي أسباب لنشاطهم ، حتى مثل فيروس COVID-19 مع معدل وفيات مرتفع. لذلك ، لا ينبغي عليك الاسترخاء بأي حال من الأحوال والتفكير في أن الموقع الذي نزوره ببطاقة توزيع الجائحة عبر الإنترنت ، أو النشرة الإخبارية التي تعرض شراء جهاز تنفس ، أو حتى رابط الشبكة الاجتماعية المؤدي إلى الموقع لعقد المؤتمرات عن بعد ، آمن في البداية. اليقظة! هذا ما يساعدنا على زيادة أمننا عند تصفح الإنترنت. وحلول Cisco الموضحة في هذه المقالة ( Cisco Umbrella Investigate و Cisco Threat Grid و Cisco Threat Response) مساعدة المتخصصين على إجراء التحقيقات وتحديد التهديدات السيبرانية الموصوفة في الوقت المناسب.

PS أما اليوم الآخر ، وهو موضوع نشأ حول الإنشاء الضخم للمواقع المزيفة المتعلقة بنظام الاستضافة عبر الإنترنت Zoom ، لم أجد مثل هذه الموارد على RuNet حتى الآن ، والتي لا يمكن قولها عن بقية الإنترنت ، حيث تم إنشاء الكثير من هذه المجالات.