تشير النتائج الجديدة إلى أن مجموعة أدوات استغلال RIG (EK) ستصل إلى معدل نجاح عالٍ على الإطلاق يبلغ حوالي 30٪ في عام 2022.
قالت شركة الأمن السيبراني السويسرية PRODAFT في تقرير شامل تمت مشاركته مع The Hacker News إن RIG EK هو مخطط ذو دوافع مالية نشط منذ عام 2014.
على الرغم من أنه لم يغير بشكل كبير مآثره في الحملات الأخيرة، إلا أن أنواع وإصدارات البرامج الضارة التي توزعها تتغير باستمرار. مثال على تحديث ترددات تتراوح من الأسبوعية إلى اليومية.
مجموعات الاستغلال هي برامج تستخدم لتوزيع البرامج الضارة على أعداد كبيرة من الضحايا من خلال استغلال نقاط الضعف المعروفة في البرامج شائعة الاستخدام، مثل متصفحات الويب.
تعني حقيقة أن RIG EK يعمل كنموذج خدمة أنه يمكن للجهات الفاعلة في التهديد تعويض مسؤولي RIG EK ماليًا عن تثبيت برامج ضارة من اختيارهم على الأجهزة الضحية. يستخدم مشغلو RIG EK بشكل أساسي إعلانات كاذبة لضمان معدل إصابة مرتفع وتغطية واسعة.
وبالتالي، سيتم إعادة توجيه زوار صفحة ويب يتحكم فيها المهاجم باستخدام إصدار مستعرض ضعيف، أو موقع ويب شرعي مصاب ولكن برمز JavaScript ضار، إلى الخادم الوكيل، والذي بدوره يتصل بخادم الاستغلال لخدمة الاستخدام المناسب للمتصفح.
في حالة خادم الاستغلال، يكتشف متصفح المستخدم من خلال تحليل سلسلة وكيل المستخدم ويعيد عمليات الاستغلال التي تتطابق مع إصدارات المستعرض الضعيفة التي تم تحديدها مسبقًا.
قال الباحثون إن التصميم البارز لمجموعة أدوات الاستغلال يمكّنها من إصابة الأجهزة بتفاعل ضئيل أو معدوم من المستخدم النهائي. في الوقت نفسه، تستخدم خوادم بروكسي لجعل اكتشاف العدوى أكثر صعوبة.
منذ وصوله إلى الموقع في عام 2014، اشتهرت RIG EK بتقديم مجموعة واسعة من أحصنة طروادة المالية والمتسللين وبرامج الفدية مثل AZORult و CryptoBit و Dridex و Raccoon Stealer و WastedLoader. تعرضت العملية لضربة كبيرة في عام 2017 بعد جهود متضافرة لتفكيك بنيتها التحتية.
نشرت حملة RIG EK الأخيرة RedLine Stealer ضد ثغرة أمنية لتلف الذاكرة (CVE-2021-26411، درجة CVSS: 8.8) تؤثر على Internet Explorer.
تشمل الثغرات الأمنية الأخرى في المتصفح التي استغلتها هذه البرامج الضارة CVE-2013-2551 و CVE-2014-6332 و CVE-2015-0413 و CVE-2015-2419 و CVE-201189 و CVE-2018-8174 و CVE-2019-0752 و CVE -2020-0674.
وفقًا للبيانات التي جمعتها PRODAFT، استفاد 45٪ من الإصابات الناجحة في عام 2022 من CVE-2021-26411، تليها CVE-2019 (29٪)، CVE-2019-0752 (10٪) و CVE-2018-8174 (9) .٪) و CVE-2020-0674 (6٪).
بالإضافة إلى Dridex و Raccoon و RedLine Stealer، فإن بعض عائلات البرامج الضارة البارزة الموزعة مع RIG EK هي SmokeLoader و PureCrypter و IcedID و ZLoader و TrueBot و Ursnif و Royal ransomware.
بالإضافة إلى ذلك، يقال إن مجموعة أدوات الاستغلال قد اجتذبت حركة مرور من 207 دولة، بمعدل نجاح 22٪ في الشهرين الماضيين وحدهما. يوجد أكبر عدد من الحلول الوسط في روسيا ومصر والمكسيك والبرازيل والمملكة العربية السعودية وتركيا والعديد من البلدان في جميع أنحاء أوروبا.
ومن المثير للاهتمام، أوضح الباحثون أن معدل التجريب مع الثغرة الأمنية كان الأعلى في أيام الثلاثاء والأربعاء والخميس - حدثت عمليات استغلال الثغرات الناجحة في نفس اليوم من الأسبوع.
تمكن PRODAFT أيضًا من الوصول إلى لوحة تحكم المؤسسة، حيث يقول إن هناك حوالي ستة مستخدمين مختلفين، اثنان منهم (admin و vipr) يتمتعان بامتيازات المسؤول. ملفات تعريف المستخدمين التي تحتوي على أسماء مستعارة pit أو pitty لها حقوق مسؤول فرعي، بينما تتمتع الملفات الشخصية الثلاثة الأخرى (lyr و ump و test1) بحقوق مسؤول فرعي مستخدم.
admin هو أيضًا مستخدم افتراضي، يستخدم بشكل أساسي لإنشاء مستخدمين آخرين. يتم التحكم في لوحة الإدارة المستخدمة مع الاشتراكات من قبل المستخدم.
ومع ذلك، أدى الكشف عن ثغرة أمنية تشغيلية لخادم git إلى قيام PRODAFT بتعريف اثنين من الجهات الفاعلة في مجال التهديد. كما قيم بدرجة عالية من الثقة العلاقة الوثيقة بين مطور البرامج الضارة Dridex ومسؤولي RIG EK نظرًا لخطوات التكوين اليدوية الإضافية المتخذة لضمان التوزيع السلس للبرامج الضارة.
قال الباحثون: "بشكل عام، تدير RIG EK شركة استغلال كخدمة فعالة للغاية مع الضحايا المنتشرين في جميع أنحاء العالم، ومكتبة استغلال فعالة والعديد من العملاء الذين لديهم برامج ضارة محدثة باستمرار".