حملاتی کشف شده است که در جریان آنها، مهاجمان باجافزار Yanluowang با بهکارگیری بدافزار BazarLoader در مرحله شناسایی (Reconnaissance)، سازمانهای ایالاتمتحده را با تمرکز بر روی بخش مالی هدف قرار دادهاند.
همکاری گردانندگان باجافزار Yanluowang با مهاجمان باتجربه
مرکز مدیریت راهبردی افتا , 17 آذر 1400 ساعت 9:01
حملاتی کشف شده است که در جریان آنها، مهاجمان باجافزار Yanluowang با بهکارگیری بدافزار BazarLoader در مرحله شناسایی (Reconnaissance)، سازمانهای ایالاتمتحده را با تمرکز بر روی بخش مالی هدف قرار دادهاند.
حملاتی کشف شده است که در جریان آنها، مهاجمان باجافزار Yanluowang با بهکارگیری بدافزار BazarLoader در مرحله شناسایی (Reconnaissance)، سازمانهای ایالاتمتحده را با تمرکز بر روی بخش مالی هدف قرار دادهاند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، به تازگی حملاتی کشفشده که در جریان آنها، مهاجمان باجافزار Yanluowang با بهکارگیری بدافزار BazarLoader در مرحله شناسایی (Reconnaissance)، سازمانهای ایالاتمتحده را با تمرکز بر روی بخش مالی هدف قرار دادهاند.
بر اساس تاکتیکها، تکنیکها و رویههای مشاهدهشده (Tactics, Techniques, and Procedures – بهاختصار TTP)، مهاجمان باجافزار Yanluowang از خدمات موسوم به «باجافزار بهعنوان سرویس» (Ransomware-as-a-Service – بهاختصار RaaS) استفاده میکنند و ممکن است با باجافزار Thieflock که توسط گروه Fivehands توسعهیافته در ارتباط باشند.
به نقل از محققان سمانتک (Symantec)، این مهاجمان حداقل از ماه اوت به اهدافی بزرگتری در ایالاتمتحده حمله کردهاند.
درحالیکه باجافزار Yanluowang بر روی مؤسسات مالی تمرکز دارد، شرکتهایی را در بخشهای تولید، خدمات فناوری اطلاعات، مشاوره و مهندسی نیز مورد هدف قرار داده است.
گروه باجافزاری Fivehands نیز نسبتاً گروه جدیدی است و برای اولین بار در ماه آوریل در گزارشی توسط Mandiant شناخته شد که آن را به گروه UNC۲۴۴۷ نسبت داده بودند و سپس CISA نیز در گزارش زیر نسبت به حملات این گروه هشدار داد.
https://us-cert.cisa.gov/ncas/analysis-reports/ar۲۱-۱۲۶a
در آن زمان، Mandiant عنوان کرد که UNC۲۴۴۷ قابلیتهای پیشرفتهای برای عدمتشخیص و بهحداقلرساندن شناسایی پس از نفوذ توسط محصولات و راهکارهای امنیتی دارد و گردانندگان آن، باجافزار RagnarLocker را نیز منتشر کردهاند.
سمانتک خاطرنشان میکند که ارتباط بین حملات اخیر Yanluowang و حملات قدیمیتر باجافزار Thieflock غیرقطعی است، زیرا تنها به چندین TTP زیر که در حملات باجافزار Fivehands یافت شده، استناد شده است.
بهکارگیری ابزارهای بازیابی رمز عبور معمول و ابزارهای منبعباز (مانند GrabFF)
بهکارگیری ابزارهای منبعباز پویش شبکه (مانند SoftPerfect Network Scanner)
استفاده از مرورگر S۳ Browser و Cent Browser برای بارگذاری و دانلود دادهها
قبل از استقرار باجافزار بر روی دستگاههای موردنظر، گردانندگان باجافزار، اقدامات زیر را انجام میدهند:
ایجاد یک فایل .txt شامل فهرستی از ماشینهای شناساییشده راه دور جهت بررسی خط فرمان (Command Line).
بهکارگیری Windows Management Instrument- بهاختصار WMI - جهت استخراج فهرستی از پروسههای در حال اجرا در ماشینهای راه دور که در فایل .txt ذکرشده است.
ثبت تمام لاگهای (Logs) مربوط به پروسهها و اسامی ماشینهای راه دور در processes.txt
پس از استقرار، باجافزار Yanluowang مستقرشده، اقدامات زیر انجام میشود:
تمام ماشینهای مجازی Hypervisor را که بر روی کامپیوتر آلودهشده در حال اجرا هستند، متوقف میکند.
فرایندهای فهرست شده در processes.txt را که شامل SQL و نرمافزار تهیه نسخه پشتیبان (Veeam Back up) است، خاتمه میدهد.
فایلها را روی کامپیوتر آلوده رمزگذاری میکند و به انتهای هر فایل، پسوند .yanluowang را اضافه میکند.
اطلاعیه باجگیری (Ransome Note) به نام README.txt را روی کامپیوتر آلودهشده و سیستمهای رمزگذاری شده قرار میدهد.
تحلیل باجافزار Yanluowang نشان میدهد که هیچ مدرکی قطعی که نشان دهد نویسندگان این باجافزار همان نویسندگان Fivehands هستند، وجود ندارد. محققان احتمال میدهند که حملات باجافزار Yanluowang توسط شرکای سابق Thieflock در انجام میشود.
پس از دسترسی و نفوذ به شبکه موردنظر، مهاجمان از PowerShell برای دانلود مواردی همچون بدافزار BazarLoader جهت گسترش آلودگی در سطح شبکه (Lateral Movement) استفاده میکنند.
BazarLoader توسط باتنت TrickBot که باجافزار Conti را نیز منتشر میکند، به اهداف موردنظر منتقل میشود. به تازگی، گردانندگان TrickBot شروع به تغییر باتنت Emotet نیز کردهاند.
مهاجمان Yanluowang، پروتکل Remote Desktop Service – بهاختصار RDP را از طریق Registry فعال میکنند و برای دسترسی از راه دور، ابزار ConnectWise را نصب میکنند.
محققان اعلام نمودهاند که وابستگان این باجافزار، برای کشف سیستمهای موردنظر خود، ابزار پرسوجوی متنی مبتنی بر Active Directory (AdFind) را برای جستجو در Active Directory بکار میگیرند و از SoftPerfect Network Scanner برای یافتن نام سرورها و سرویسهای شبکه استفاده میکنند.
همچنین آنها برای سرقت اطلاعات اصالتسنجی از مرورگرهای Firefox، Chrome و Internet Explorer ماشینهای آلوده، از ابزارهایی همچون GrabFF، GrabChrome و BrowserPassView استفاده میکنند.
نتایج تحقیقات محققان شرکت سیمانتک حاکی از آن است که مهاجمان از KeeThief برای سرقت کلید اصلی (Master Key) بهمنظور مدیریت رمز عبور در KeePass، ابزارهای تصویربرداری از صفحه (Screen Capture) و ابزار استخراج داده Filegrab استفاده کردهاند.
در اطلاعیه باجگیری باجافزار Yanluowang، مهاجمان تهدید کردهاند که قربانی به نهادهای قانونی مراجعه نکند یا از شرکتهای مذاکرهکننده باجافزار، درخواست کمک نکند. مهاجمان همچنین اعلام کردهاند که چنانچه قربانی، از درخواست آنها اطاعت نکند، اقدام به اجرای حملات منع سرویس توزیعشده (Distributed Denial-of-Service - DDoS)، تماس با شرکای تجاری آنان و پاککردن دادهها خواهند کرد.
با وجود اینکه باجافزار Yanluowang همچنان درحالتوسعه است، بسیار خطرناک بوده و یکی از بزرگترین تهدیداتی است که سازمانها در سراسر جهان با آن مواجه هستند.
کد مطلب: 18569