• info@arka.ir
  • تماس با ما: 02191300476 - ۰۲۱۸۸۸۰۴۹۶۱
  • تهران، خیابان شهید بهشتی، خ پاکستان، کوچه ۴ پلاک ۱۱ واحد ۷
22 سپتامبر 2021

موجی از حملات بدافزار که به تازگی کشف شده است با استفاده از تاکتیک‌های مختلف برای به بردگی درآوردن دستگاه‌های حساس و مشخصاً با سطح اعتبار ادمین برای بهره کشی از آن‌ها در یک شبکه با هدف استخراج غیرقانونی رمزارز، مشاهده شده است.

لری کشدالر، محقق امنیتی Akamai، در مقاله‌ای که روز یکشنبه منتشر شد، گفت: “تاکتیک اصلی این بدافزار گسترش با استفاده از سیستم‌های آسیب‌پذیر و اعتبارنامه‌های ضعیف ادمین است. پس از آلوده شدن، این سیستم‌ها برای استخراج رمزارز استفاده می‌شوند”.

این بدافزار مبتنی PHP، با اسم رمز “Capoae” (مخفف “Сканирование”، کلمه روسی “اسکن”)، گفته می‌شود که از طریق یک افزونه backdoor به افزونه وردپرس به نام “download-monitor” که پس از تحمیل موفقیت‌آمیز اعتبارنامه ادمین به وردپرس نصب می‌گردد، در دستگاه میزبان مستقر می‌شود. این حملات همچنین شامل استقرار یک فایل باینری مبتنی بر زبان برنامه‌نویسی Go با قابلیت رمزگشایی است که payload‌ های مبهم با استفاده از افزونه حاوی تروجان برای درخواست GET از یک دامنه تحت کنترل مهاجم بازیابی می‌شوند.

به نقل از هکرنیوز، همچنین یک ویژگی دیگر نیز برای رمزگشایی و اجرای payload‌ های اضافی وجود دارد و از طریق فایل باینری Golang که از چندین نقص اجرای کد از راه دور در Oracle WebLogic Server (CVE-۲۰۲۰-۱۴۸۸۲) ،NoneCms (CVE-۲۰۱۸-۲۰۰۶۲) و Jenkins ( CVE-۲۰۱۹-۱۰۰۳۰۲۹ و CVE-۲۰۱۹-۱۰۰۳۰۳۰) رنج می‌برد، بهره گرفته تا بتواند راه خود را به سیستم‌هایی که SSH را اجرا می‌کنند پیدا کرده و در نهایت نرم‌افزار استخراج XMRig را نصب و راه‌اندازی نماید.

جلوگیری از حملات باج‌افزار
علاوه بر این، زنجیره حمله به دلیل ترفند‌های خاص خود برای ماندگاری در دستگاه‌ها، که شامل انتخاب یک مسیر سیستمی با ظاهر قانونی در دیسک است که احتمالاً باینری سیستم در آن یافت می‌شود و همچنین ایجاد یک نام فایل تصادفی شش کاراکتری که بعداً برای کپی کردن باج‌افزار در محلی جدید در سیستم و قبل از حذف بدافزار و هنگام اجرا استفاده می‌گردد، شناخته می‌شود.

کشدالر گفت: “استفاده کمپین Capoae از آسیب‌پذیری‌ها و تاکتیک‌های متعدد نشان می‌دهد که این اپراتور‌ها به چه میزان قصد دارند تا جایی که ممکن است بر روی بسیاری از دستگاه‌ها برای رسیدن له مقصود خود تکیه کنند. خبر خوب این است که همان تکنیک‌هایی که ما به اکثر سازمان‌ها توصیه می‌کنیم تا سیستم‌ها و شبکه‌ها را ایمن نگه دارند، هنوز در این مورد قابل اعمال است”.

کشدالر افزود: “از اعتبارنامه‌های ضعیف یا پیش فرض برای سرور‌ها یا برنامه‌های کاربردی استفاده نکنید. همچنین اطمینان حاصل کنید که برنامه‌های کاربردیتان را با جدیدترین پچ‌های امنیتی به روز نگه می‌دارید و هر از گاهی آن‌ها را بررسی می‌کنید. به علاوه مراقب مصرف بیش از حد معمول منابع سیستم، فرایند‌های عجیب و غریب غیرمنتظره، فرایند‌های ساختگی مشکوک و لاگ‌های ورودی دسترسی مشکوک باشید. دقت، شناسایی و توجه به این موارد، به شما کمک می‌کند تا به طور بالقوه دستگاه‌های آسیب دیده را شناسایی کنید″.

14 جولای 2021

محققان امنیت سایبری نسبت به ادامه بازگشت بدافزار مخرب TrickBot به عرصه فضای سایبری هشدار داده و به صراحت اعلام کرده اند که گروه فراملی جرایم سایبری مستقر در روسیه در واکنش به تلاش های متقابل اخیر سازمان تامین امنیت، در پشت صحنه این بدافزار تلاش می کند تا زیرساخت های خود را برای حمله دوباره بهبود بخشیده و بازسازی کند.

کمپانی Bitdefender در یک مقاله فنی که روز دوشنبه منتشر شد که حاکی از افزایش پیچیدگی تاکتیکهای این گروه بود، بیان داشت: “از قابلیت های جدید کشف شده و با استفاده از یک پروتکل ارتباطی سفارشی برای پنهان کردن انتقال داده ها بین سرورها (command-and-control) و قربانیان، برای نظارت و جمع آوری اطلاعات مربوط به قربانیان استفاده می گردد که این مسئله تشخیص حملات را دشوار کرده است”.

محققان خاطرنشان کردند: “Trickbot هیچ نشانه ای از کاهش روند سرعت، از خود نشان نداده است”.

بات نت ها (Botnets) هنگامی تشکیل می شوند که صدها یا هزاران دستگاه هک شده در شبکه ای که توسط اپراتورهای خرابکار اداره می شود، مورد استفاده قرار گیرند و اغلب برای حملات denial-of-network به مشاغل و زیرساخت های مهم بوسیله ایجاد ترافیک جعلی با هدف غیر فعال کردن و آفلاین کردن آنها استفاده می شوند. از سویی با کنترل این دستگاه ها، عاملان مخرب همچنین می توانند از بات نت ها برای گسترش بدافزار و هرزنامه و یا استقرار باج افزار رمزگذاری فایل در رایانه های آلوده استفاده کنند.

بدافزار TrickBot نیز تفاوتی از این نظر ندارد. باند مشهور جرایم رایانه ای در پشت این عملیات قرار دارند (که Wizard Spider نامیده می شود) سابقه بهره برداری از تجهیزات های آلوده برای سرقت اطلاعات حساس، گردش جانبی در سراسر شبکه و حتی تبدیل شدن به یک لودر برای بدافزارهای دیگر مانند باج افزار را دارد؛ و در حالی این اقدامات را انجام میدهد که به طور توامان زنجیره آلودگی خود را با افزودن ماژول هایی با قابلیت جدید برای افزایش کارایی آن نیز گسترش می دهد.

آزمایشگاه Black Lotus لومن در اکتبر گذشته اعلام کرد: “TrickBot برای استفاده یک زیرساخت پیچیده ایجاد شده است که سرورهای شخص ثالث را به خطر می اندازد و از آنها برای میزبانی بدافزار استفاده می کند. این بدافزار همچنین وسایل مصرفی مانند روترهای DSL را آلوده میکند و اپراتورهای خرابکار آن به طور مداوم آدرس IP و میزبان آلوده خود را عوض میکنند تا با این اختلال امکان کشف جرم آنها تا حد ممکن دشوار شود”.

این بات نت از دو تلاش برای غیرفعالسازی مایکروسافت و فرماندهی سایبری ایالات متحده در حالی که اپراتورها در حال ساخت اجزای میان افزار بودند که می توانست به هکرها اجازه دهد یک backdoor در Unified Extensible Firmware Interface (UEFI) نصب کنند، فرار کرده است. و همچنین این امکان را برای آنها فراهم میکرد که از احتمال شناسایی توسط آنتی ویروس رهایی یافته، از بروزرسانی نرم افزار جلوگیری کنند و یا حتی سیستم عامل را بطور کامل پاک کنند و یا اینکه سیستم عامل رایانه را مجددا نصب نماید.

اکنون طبق گفته Bitdefender، عامل تهدید به طور فعال در حال توسعه یک نسخه به روز شده از یک ماژول به نام “vncDll” است که آن را در برابر اهداف با ویژگی های سطح بالا برای نظارت و جمع آوری اطلاعات به کار می برد. نسخه جدید نیز “tvncDll” نامگذاری شده است.

ماژول جدید برای برقراری ارتباط با یکی از نه سرور فرمان و کنترل (C2) تعریف شده در فایل پیکربندی آن استفاده شده است، و از آن برای بازیابی مجموعه ای از دستورات حمله، دانلود payload های بیشتر بدافزارها و بازگشت سیستم به عقب و سرور استفاده می شود. علاوه بر این، محققان گفته اند که آنها “ابزاری برای مشاهده” که مهاجمان برای ارتباط با قربانیان از طریق سرورهای C2 استفاده می کنند را شناسایی کردند.

گرچه تلاش برای از بین بردن عملیات این باند به طور کامل موفقیت آمیز نبوده است، اما مایکروسافت به دیلی بیست گفت که با ارائه دهندگان خدمات اینترنت (ISP) کار می کند تا خانه به خانه روترهای سازگار با بدافزار Trickbot در برزیل و آمریکای لاتین را جایگزین نماید؛ که این عمل باعث گردید که به طور موثری بدافزار Trickbot از زیرساخت های افغانستان خارج و بیرون رانده شود.

22 ژوئن 2021

باج افزار جدید Epsilon Red

باج افزار جدید Epsilon Red

در هفته های گذشته ، تحلیلگران Sophos باج افزار جدیدی را که به زبان برنامه نویسی Go نوشته شده بود کشف کردند که خود را Epsilon Red می نامد. این بدافزار به عنوان آخرین بار قابل اجرا در یک حمله کنترل شده دستی علیه یک تجارت مستقر در ایالات متحده  استفاده شد که در آن اجزای  یک اسکریپت PowerShell بودند.

در حالی که نام و ابزار منحصر به فرد این مهاجم ، در رایانه های آلوده شبیه یادداشت باقی مانده توسط باج افزار REvil است ، اما چند اصلاح جزئی گرامری به آن اضافه می کند. هیچ شباهت آشکاری دیگر بین باج افزار Epsilon Red و REvil وجود ندارد.

 سرورهای Exchange هدف باج افزار

سرور Microsoft Exchange سازمانی اولین نقطه ورود مهاجمان به شبکه سازمانی بوده است. مشخص نیست که آیا این مورد توسط سو استفاده ProxyLogon فعال شده است یا آسیب پذیری دیگری ، اما به نظر می رسد که دلیل اصلی آن یک سرور وصله نشده باشد.(که Microsoft در ۱۲ اسفند اصلاحیه‌هایی اضطراری برای ترمیم آنها منتشر کرد. از زمان انتشار اصلاحیه‌ها و افشای جزییات آن، هکرهای مستقل و گردانندگان APT متعددی، ProxyLogon را به فهرست تکنیک‌های نفوذ خود اضافه کرده‌اند.)

از آن دستگاه ، مهاجمان از  (WMI) برای نصب نرم افزارهای دیگر بر روی ماشین های داخل شبکه که از سرور Exchange می توانند به آنها دسترسی پیدا کنند ، استفاده کردند.

( Windows Management Instrumentation (WMI) از سیستم های محاسباتی ویندوز است. اطلاعاتی در مورد وضعیت سیستم های رایانه ای محلی یا از راه دور در اختیار کاربران قرار می دهد.)

نام Epsilon Red مانند بسیاری از بازیگران تهدید باج افزار ، اشاره ای به فرهنگ پاپ است. شخصیت Epsilon Red مخالف نسبتاً مبهم برخی از مردان ایکس در جهان گسترش یافته Marvel بود. یک “ابر سرباز” که ادعا می شود ریشه روسی دارد ، دارای چهار شاخک مکانیکی  است.

زمینه سازی با استفاده از PowerShell

در طول حمله ، عوامل تهدید مجموعه ای از اسکریپت های PowerShell را به شماره ۱٫ps1 تا ۱۲٫ps1 (و همچنین برخی از آنها که فقط با یک حرف از حروف الفبا نامگذاری شده اند) راه اندازی کردند که ماشین های مورد حمله را برای بار نهایی باج افزار آماده می کند و در نهایت آن را تحویل و آغاز می کند.

باج افزار جدید Epsilon Red

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

باج افزار جدید Epsilon Red پس از رخنه به شبکه اسکریپت PowerShell به نام RED.ps1 ایجاد می شود که با استفاده از WMI بر روی دستگاه های هدف اجرا می شود. اسکریپت یک پرونده بایگانی .۷z را که شامل بقیه اسکریپتهای PowerShell ، قابل اجرا است را در پوشه system32 بازیابی و بسته بندی می کند.

این فایل همچنین وظایف برنامه ریزی شده ای  را تنظیم می کند. که اسکریپت های شماره ۱ تا ۱۲ را اجرا می کند اما از ۷ و ۸ رد می شود.

بازکردن پورت های فایروال پاکسازی مسیرها

اسکریپت red.ps1 فایل RED.7z را در فهرست٪ SYSTEM٪ \ RED باز کرده و سپس کارهای برنامه ریزی شده ای را ایجاد می کند. که اسکریپت های بسته بندی نشده را اجرا می کند. اما یک ساعت منتظر می ماند و دستوراتی را اجرا می کند که قوانین فایروال ویندوز را اصلاح می کند. به طوری که فایروال اتصالات ورودی را در همه پورت های TCP  باز می کند.( به جز ریموت دسکتاپ ۳۳۸۹ / tcp.پورت ارتباطی مورد استفاده توسط یک ابزار تجاری به نام Remote Utilities ، ۵۶۵۰ / tcp )

باج افزار جدید Epsilon Red

 

پس از رمزگذاری هر فایل، پسوند فایل”.epsilonred” را به فایل ها اضافه می کند. و در هر پوشه یک یادداشت باج می اندازد.

در آدرس رمزنگاری ارائه شده توسط مهاجمان ، به نظر می رسد. كه حداقل یكی از قربانیان آنها در تاریخ ۱۵ مه ۴/۲۹ BTC باج پرداخت كرده است. (در آن تاریخ تقریباً ۲۱۰،۰۰۰ دلار ارزش دارد).

باج افزار جدید Epsilon Red

محصولات نهایی Sophos ، مانند Intercept X ، از نظر رفتاری چندین اقدام انجام شده توسط اسکریپت های PowerShell یا باج افزار را شناسایی می کنند. اقدام به رمزگذاری فایل ها توسط ویژگی CryptoGuard مسدود شده است. از آنجا که به نظر می رسد نقطه ورود این حمله یک سرور Exchange است که در معرض زنجیره بهره برداری ProxyLogon قرار دارد ، از مشتریان خواسته می شود که سرورهای Exchange رو به اینترنت را در اسرع وقت آپدیت کنند.

محصولات Sophos می توانند از سرورهای Exchange و همچنین Domain Controller یا ایستگاه های کاری محافظت کنند.

مشروح گزارش Sophos 

رایان سامانه آرکا پیشرو در ارایه راهکارهای امنیتی

بررسی و پیشنهاد فایروال سوفوس