- تماس با ما
- ۰۲۱-۸۲۸۰۵۹۱۱
- ۰۲۱-۹۱۳۰۰۴۷۶
- info@arka.ir
سوءاستفاده از آسیبپذیری VEEAM با باجافزار جدید: “Frag”
تفاوت های MDR ،EDR و XDR
24/11/2024
چرا Symantec یکی از بهترین راهکارهای آنتیویروس است؟
23/12/2024
ماه گذشته، Sophos X-Ops چندین مورد از فعالیتهای بدافزار را گزارش کرد که در آن مهاجمان از یک آسیبپذیری در سرورهای بکاپ Veeam سوءاستفاده کردند. این گروه تهدید که ما آن را STAC 5881 نامیدهایم، همچنان در حال رصد است و اخیراً شامل انتشار یک باجافزار جدید شده است. آسیبپذیری مورد استفاده، با شناسه CVE-2024-40711، بخشی از فعالیت این گروه تهدید بوده است. مهاجمان برای دسترسی، از دستگاههای VPN آسیبدیده استفاده کرده و با بهرهگیری از این آسیبپذیری، یک حساب کاربری مدیر سیستم جدید با نام “point” ایجاد کردهاند.
باجافزارهای مرتبط با این حملات
- در برخی از موارد، این حملات منجر به انتشار باجافزارهای Akira یا Fog شده است.
- Akira: برای اولین بار در سال 2023 مشاهده شد. سایت مربوط به این باجافزار در ماه اکتبر مدتی غیرفعال بود اما اکنون دوباره فعال شده و حملات آن همچنان ادامه دارد.
- Fog: در اوایل سال جاری (2024)، اولین بار در ماه می مشاهده شد.
در یکی از موارد اخیر، تحلیلگران MDR بار دیگر تاکتیکهای مرتبط با گروه STAC 5881 را شناسایی کردند، اما این بار باجافزار جدیدی با نام “Frag” منتشر شد که پیشتر مستند نشده بود.
جزئیات حمله با باجافزار Frag
- مشابه حملات قبلی، مهاجمان از یک VPN آسیبدیده برای دسترسی استفاده کردند، از آسیبپذیری Veeam بهره بردند و یک حساب کاربری جدید با نام “point” ایجاد کردند.
- در این حمله خاص، یک حساب جدید دیگر با نام “point2” نیز ایجاد شد.
نحوه عملکرد باجافزار Frag
- باجافزار Frag از طریق خط فرمان (Command Line) اجرا میشود و دارای پارامترهای مختلفی است.
- یکی از پارامترهای ضروری، درصد رمزنگاری فایلها است. مهاجم میتواند دایرکتوریها یا فایلهای خاصی را برای رمزنگاری مشخص کند.
- فایلهای رمزنگاریشده با افزونه “.frag” ذخیره میشوند.
- در این مورد، باجافزار توسط قابلیت CryptoGuard در ابزار حفاظت از نقطه پایانی Sophos مسدود شد.
ویژگیهای مشابه با سایر باجافزارها
- تاکتیکها، تکنیکها و روشهای گروه مهاجم پشت باجافزار Frag شباهت زیادی به روشهای مشاهدهشده در باجافزارهای Akira و Fog دارد.
- این شباهتها توسط آزمایشگاه Agger نیز تأیید شده است.
Sophos X-Ops بهطور دقیق این تهدید جدید و ظهور احتمالی یک بازیگر جدید در حوزه باجافزار را تحت نظر دارد. جزئیات فنی بیشتری بهمحض در دسترس بودن، منتشر خواهد شد.
منبع: سایت Sophos
