عامل تهدیدی که پشت باج افزار Royal بود، اولین بار در ژانویه 2022 ظاهر شد و بازیگرانی که قبلا با بدافزار Conti ،Trickbot و Roy/Zeon مرتبط بودند را دوباره گرد هم آورد. آنها حملات خود را در آغاز سال 2023 تشدید کرده اند و بر روی شرکت های بزرگ برای دریافت باج های هنگفت تمرکز کرده است. Royal عمدتا سیستم هایی را که دارای سیستم عامل ویندوز بودند را مورد هدف قرار می دادند با این حال در فوریه 2023 گزارش هایی مبنی بر هدف قرار دادن سیستم عامل لینوکس و ماشین های مجازی نیز منتشر شد.
برای دستیابی به دسترسی اولیه به شبکه قربانی، این گروه از ترفندهای Call-Back Phishing استفاده می نماید به این صورت که زمانی که قربانی با تلفن موجود در ایمیل فیشینگ تماس می گیرد تا اشتراک مربوط به سرویس خود را لغو یا تمدید کند، توسط عامل تهدید متقاعد می شود تا نرم افزار دسترسی از راه دور را بر روی رایانه خود نصب کند و برای عامل تهدید دسترسی اولیه به شبکه قربانی را فراهم می کند. یکی دیگر از روش های دسترسی اولیه، استفاده از Google Ads برای ارائه بدافزار است که کاربر با کلیک بر روی تبلیغات، شرایط را برای دانلود BatLoader که یک بدافزار است فراهم می نماید.
Royal از ابزار اسکن شبکه Netscan برای شناسایی شبکه و به دست آوردن اطلاعات مورد نیاز خود از شبکه قربانی استفاده می نماید. این ابزار به دلیل Lightweight بودن و همچنین مجموعه ای گسترده از قابلیت های اسکن شبکه مورد استفاده قرار می گیرد. عامل تهدید همچنین از ابزار دسترسی از راه دور قانونی مانند Atera ،Splashtop Agent و Anydesk برای حفظ C2 در محیط قربانی استفاده می نمایند.
عامل تهدید قبل از نصب ابزارهای دسترسی از راه دور و غیرفعال کردن آنتی ویروس، از اطلاعات به دست آمده از PowerSploit استفاده می کند تا از طریق RDP در سراسر شبکه حرکت کنند و برای شناسایی و استخراج اطلاعات مهم قربانی، عامل تهدید از ابزارهای SharpExfiltrate و Megacmd.exe استفاده می کند.
راه هایی برای کاهش این خطر پذیری
- آموزش کاربران برای کلیک نکردن روی لینک های مشکوک
- نظارت برفایروال ها برای مشاهده جهش های غیرعادی در داده هایی که از شبکه خارج می شوند.
- نظارت بر نرم افزارهای نصب شده برای ابزارهای دسترسی از راه دور
روش های تشخیص این حمله
در صورت استفاده از سیستم شناسایی و پاسخ در نقاط پایانی هوپان (EDR) که یکی از اساسی ترین ماژول های راهکار گسترده شناسایی و پاسخ نخجیرپان (XDR) میباشد، تحلیل فعالیت های مرتبط و هشدارهای زیر مشاهده می گردد:
- مشاهده فعالیت مرتبط با Royal
- مشاهده فعالیت مرتبط با BatLoader
این تهدید از تکنیک های زیر که در جدول مایتر اتک موجود می باشد استفاده نموده است.
| Defense Evasion | Discovery | Lateral Movement | Collection | Command and Control | Exfiltration | Impact |
| Abuse Elevation Control Mechanism | Account Discovery | Exploitation of Remote Services | Adversary-in-the-Middle | Application Layer Protocol | Automated Exfiltration | Account Access Removal |
| Access Token Manipulation | Application Window Discovery | Internal Spearphishing | Archive Collected Data | Communication Through Removable Media | Data Transfer Size Limits | Data Destruction |
| BITS Jobs | Browser Bookmark Discovery | Lateral Tool Transfer | Audio Capture | Data Encoding | Exfiltration Over Alternative Protocol | Data Encrypted for Impact |
| Build Image on Host | Cloud Infrastructure Discovery | Remote Service Session Hijacking | Automated Collection | Data Obfuscation | Exfiltration Over C2 Channel | Data Manipulation |
| Debugger Evasion | Cloud Service Dashboard | Remote Services | Browser Session Hijacking | Dynamic Resolution | Exfiltration Over Other Network Medium | Defacement |
| Deobfuscate/Decode Files or Information | Cloud Service Discovery | Replication Through Removable Media | Clipboard Data | Encrypted Channel | Exfiltration Over Physical Medium | Disk Wipe |
| Deploy Container | Cloud Storage Object Discovery | Software Deployment Tools | Data from Cloud Storage | Fallback Channels | Exfiltration Over Web Service | Endpoint Denial of Service |
| Direct Volume Access | Container and Resource Discovery | Taint Shared Content | Data from Configuration Repository | Ingress Tool Transfer | Scheduled Transfer | Firmware Corruption |
| Domain Policy Modification | Debugger Evasion | Use Alternate Authentication Material | Data from Information Repositories | Multi-Stage Channels | Transfer Data to Cloud Account | Inhibit System Recovery |
| Execution Guardrails | Domain Trust Discovery | Data from Local System | Non-Application Layer Protocol | Network Denial of Service | ||
| Exploitation for Defense Evasion | File and Directory Discovery | Data from Network Shared Drive | Non-Standard Port | Resource Hijacking | ||
| File and Directory Permissions Modification | Group Policy Discovery | Data from Removable Media | Protocol Tunneling | Service Stop | ||
| Hide Artifacts | Network Service Discovery | Data Staged | Proxy | System Shutdown/Reboot | ||
| Hijack Execution Flow | Network Share Discovery | Email Collection | Remote Access Software | |||
| Impair Defenses | Network Sniffing | Input Capture | Traffic Signaling | |||
| Indicator Removal | Password Policy Discovery | Screen Capture | Web Service | |||
| Indirect Command Execution | Peripheral Device Discovery | Video Capture | ||||
| Masquerading | Permission Groups Discovery | |||||
| Modify Authentication Process | Process Discovery | |||||
| Modify Cloud Compute Infrastructure | Query Registry | |||||
| Modify Registry | Remote System Discovery | |||||
| Modify System Image | Software Discovery | |||||
| Network Boundary Bridging | System Information Discovery | |||||
| Obfuscated Files or Information | System Location Discovery | |||||
| Plist File Modification | System Network Configuration Discovery | |||||
| Pre-OS Boot | System Network Connections Discovery | |||||
| Process Injection | System Owner/User Discovery | |||||
| Reflective Code Loading | System Service Discovery | |||||
| Rogue Domain Controller | System Time Discovery | |||||
| Rootkit | Virtualization/Sandbox Evasion | |||||
| Subvert Trust Controls | ||||||
| System Binary Proxy Execution | ||||||
| System Script Proxy Execution | ||||||
| Template Injection | ||||||
| Traffic Signaling | ||||||
| Trusted Developer Utilities Proxy Execution | ||||||
| Unused/Unsupported Cloud Regions | ||||||
| Use Alternate Authentication Material | ||||||
| Valid Accounts | ||||||
| Virtualization/Sandbox Evasion | ||||||
| Weaken Encryption | ||||||
| XSL Script Processing |