3AM Ransomware

باج‌افزار 3AM یا ThreeAM با زبان Rust نوشته شده است و به‌عنوان یک فایل اجرایی 64 بیتی عمل می کند. این باج افزار قابلیت اجرای چندین فرمان را دارد که می تواند برنامه ها را متوقف کند، فرآیندهای پشتیبان گیری را مسدود و نرم افزارهای امنیتی را غیرفعال کند. گروه 3AM در اواخر سال 2023 ظهور کرد و به نظر می رسد که متعلق به یک گروه روسی زبان باشد، زیرا توسط بازیگران تهدیدی استفاده می شود که از LockBit استفاده می کنند و بیشتر کشورهای وابسته به غرب را هدف قرار می دهد. 3AM فایل‌های خاص را هدف قرار می‌دهد، آنها را با پسوند “threeamtime“ تغییر نام می‌دهد، و قصد دارد کپی‌های Volume Shadow را حذف کند و قابلیت‌های مخرب خود را به نمایش بگذارد. در ابتدا، 3AM با استفاده از دستور “gpresult“ برای استخراج تنظیمات پالیسی ها از سیستم هدف، عملیات خود را آغاز می کند. در این مرحله با استفاده از دستورات مختلف برای شناسایی شبکه و سرور، Backdoor و استخراج داده ها با استفاده از ابزارهایی مانند Wput FTP دنبال می شود.

هنگامی که این سرویس‌ها خنثی شدند، 3AM فرایند رمزگذاری فایل خود را آغاز می‌کند و یک پسوند منحصربه‌فرد “threeamtime“ را به فایل‌های رمزگذاری شده اضافه می‌کند. تفاوت‌های فنی باج‌افزار 3AM رویکردی پیچیده را برای حملات سایبری نشان می‌دهد و بر اهمیت درک مکانیزم آن در استراتژی‌های دفاعی امنیت سایبری تأکید می‌کند. بااین‌حال، 3AM از روش‌های اخاذی باج‌افزار معمولی استفاده می‌کند. در ابتدا، داده‌های هدف را به سرور مهاجم منتقل می‌کند سپس فایل‌ها را رمزنگاری می‌کند. پس از رمزگذاری، باج‌افزار یک فایل TXT به نام “RECOVER-FILES” در هر پوشه اسکن شده تولید می‌کند که حاوی یادداشت باج است. مهاجم برای شناسایی شبکه و Lateral Movement از کامندهای: whoami، netstat، quser و net share استفاده می‌کند. علاوه بر این، باج‌افزار 3AM از ربات‌های خودکار توییتر برای پاسخ به توییت‌های قربانیان و حساب‌های پرمخاطب استفاده می‌کرد و آنها را به سایت نشت داده هدایت می‌کرد. هدف این تاکتیک انتشار اخبار حملات موفقیت‌آمیز و آسیب رساندن به شهرت قربانیان بود؛ بنابراین، به نظر می‌رسد باج‌افزار ThreeAM با باج‌افزار Conti و باج‌افزار Royal ارتباط قوی دارد. آن‌ها تاکتیک‌های جدیدی را اتخاذ کرده‌اند، از جمله استفاده از رسانه‌های اجتماعی برای افشای نشت داده‌ها و همچنین به‌عنوان یک تهدید بالقوه با توانایی انجام تعداد قابل‌توجهی از حملات در نظر گرفته می‌شوند.

ظهور باج‌افزار 3AM ماهیت پویا و همیشه در حال تغییر تهدیدات سایبری را برجسته می‌کند. درحالی‌که تأثیر فعلی آن محدود است، اما پتانسیل رشد و پیچیدگی به‌عنوان یادآور چالش‌های جاری در امنیت سایبری را در آینده دارد. این باج‌افزار جدید بر اهمیت هوشیاری مداوم و استراتژی‌های دفاعی تطبیقی در حوزه دیجیتال تأکید می‌کند. همان‌طور که مجرمان سایبری تکامل می‌یابند، رویکردهای ما به امنیت سایبری نیز باید تکامل یابد، و از آمادگی برای تهدیدات فعلی و نوظهور در این بازی موش و گربه همیشگی اطمینان حاصل شود.

راه هایی برای کاهش این خطر پذیری

نظارت بر پروسس‌های در حال اجرا
نظارت بر ترافیک خروجی شبکه
عدم دانلود و نصب برنامه‌ها از منابع مشکوک

روش های تشخیص این حمله

در صورت استفاده از سیستم شناسایی و پاسخ در نقاط پایانی هوپان (EDR) که یکی از اساسی ترین ماژول های راهکار گسترده شناسایی و پاسخ نخجیرپان (XDR) می‌باشد، تحلیل فعالیت های مرتبط و هشدارهای زیر مشاهده می گردد:

مشاهده پروسس‌های مشکوک در حال اجرا
مشاهده فعالیت باج‌افزار 3AM
مشاهده ترافیک مشکوک در شبکه

این تهدید از تکنیک های زیر که در جدول مایتر اتک موجود می باشد استفاده نموده است.

شرکت مهندسی امن ارتباط سینداد کلیه IOA و IOC های مرتبط با تشخیص این حمله را به سامانه های خود افزوده است.

Execution	Defense Evasion	Discovery	Lateral Movement	Collection	Command And Control	Exfiltration	Impact
AppleScript	Access Token Manipulation	Account Discovery	AppleScript	Audio Capture	Commonly Used Port	Automated Exfiltration	Account Access Removal
CMSTP	Binary Padding	Application Window Discovery	Application Deployment Software	Automated Collection	Communication Through Removable Media	Data Compressed	Data Destruction
Command-Line Interface	BITS Jobs	Browser Bookmark Discovery	Component Object Model and Distributed COM	Clipboard Data	Connection Proxy	Data Encrypted	Data Encrypted for Impact
Compiled HTML File	Bypass User Account Control	Domain Trust Discovery	Exploitation of Remote Services	Data from Information Repositories	Custom Command and Control Protocol	Data Transfer Size Limits	Defacement
Component Object Model and Distributed COM	Clear Command History	File and Directory Discovery	Internal Spearphishing	Data from Local System	Custom Cryptographic Protocol	Exfiltration Over Alternative Protocol	Disk Content Wipe
Control Panel Items	CMSTP	Network Service Scanning	Logon Scripts	Data from Network Shared Drive	Data Encoding	Exfiltration Over Command and Control Channel	Disk Structure Wipe
Dynamic Data Exchange	Code Signing	Network Share Discovery	Pass the Hash	Data from Removable Media	Data Obfuscation	Exfiltration Over Other Network Medium	Endpoint Denial of Service
Execution through API	Compile After Delivery	Network Sniffing	Pass the Ticket	Data Staged	Domain Fronting	Exfiltration Over Physical Medium	Firmware Corruption
Execution through Module Load	Compiled HTML File	Password Policy Discovery	Remote Desktop Protocol	Email Collection	Domain Generation Algorithms	Scheduled Transfer	Inhibit System Recovery
Exploitation for Client Execution	Component Firmware	Peripheral Device Discovery	Remote File Copy	Input Capture	Fallback Channels		Network Denial of Service
Graphical User Interface	Component Object Model Hijacking	Permission Groups Discovery	Remote Services	Man in the Browser	Multi-hop Proxy		Resource Hijacking
InstallUtil	Connection Proxy	Process Discovery	Replication Through Removable Media	Screen Capture	Multi-Stage Channels		Runtime Data Manipulation
Launchctl	Control Panel Items	Query Registry	Shared Webroot	Video Capture	Multiband Communication		Service Stop
Local Job Scheduling	DCShadow	Remote System Discovery	SSH Hijacking		Multilayer Encryption		Stored Data Manipulation
LSASS Driver	Deobfuscate/Decode Files or Information	Security Software Discovery	Taint Shared Content		Port Knocking		System Shutdown/Reboot
Mshta	Disabling Security Tools	Software Discovery	Third-party Software		Remote Access Tools		Transmitted Data Manipulation
PowerShell	DLL Search Order Hijacking	System Information Discovery	Windows Admin Shares		Remote File Copy
Regsvcs/Regasm	DLL Side-Loading	System Network Configuration Discovery	Windows Remote Management		Standard Application Layer Protocol
Regsvr32	Execution Guardrails	System Network Connections Discovery			Standard Cryptographic Protocol
Rundll32	Exploitation for Defense Evasion	System Owner/User Discovery			Standard Non-Application Layer Protocol
Scheduled Task	Extra Window Memory Injection	System Service Discovery			Uncommonly Used Port
Scripting	File and Directory Permissions Modification	System Time Discovery			Web Service
Service Execution	File Deletion	Virtualization/Sandbox Evasion
Signed Binary Proxy Execution	File System Logical Offsets
Signed Script Proxy Execution	Gatekeeper Bypass
Source	Group Policy Modification
Space after Filename	Hidden Files and Directories
Third-party Software	Hidden Users
Trap	Hidden Window
Trusted Developer Utilities	HISTCONTROL
User Execution	Image File Execution Options Injection
Windows Management Instrumentation	Indicator Blocking
Windows Remote Management	Indicator Removal from Tools
XSL Script Processing	Indicator Removal on Host
	Indirect Command Execution
	Inhibit System Recovery
	InstallUtil
	Launchctl
	LC_MAIN Hijacking
	Masquerading
	Modify Registry
	Mshta
	Network Share Connection Removal
	NTFS File Attributes
	Obfuscated Files or Information
	Parent PID Spoofing
	Plist Modification
	Port Knocking
	Process Doppelgänging
	Process Hollowing
	Process Injection
	Redundant Access
	Regsvcs/Regasm
	Regsvr32
	Rootkit
	Rundll32
	Scripting
	Signed Binary Proxy Execution
	Signed Script Proxy Execution
	SIP and Trust Provider Hijacking
	Software Packing
	System Information Discovery
	Template Injection
	Timestomp
	Trusted Developer Utilities
	Valid Accounts
	Virtualization/Sandbox Evasion
	Web Service
	XSL Script Processing