شنبه ۳ آذر ۱۴۰۳ , 23 Nov 2024
جالب است ۰
سویه جدید باج افزار «کاکتوس» از نقص‌های VPN برای نفوذ به شبکه‌‎ها سوءاستفاده می‌کند.
سویه جدید باج افزار «کاکتوس» از نقص‌های VPN برای نفوذ به شبکه‌‎ها سوءاستفاده می‌کند.
 
به گزارش افتانا به نقل از هکر نیوز، محققان امنیت سایبری نوع جدیدی از باج‌افزار به نام «کاکتوس» (CACTUS) را کشف کرده‌اند که از نقص‌های شناخته شده در دستگاه‌های VPN برای دستیابی به دسترسی اولیه به شبکه‌های هدف استفاده می‌کند.
 
بر اساس گزارش منتشر شده از سوی محققان، عاملان باج‌افزار «کاکتوس» هنگامی که وارد شبکه می‌شوند، قبل از ایجاد حساب‌های کاربری جدید و استفاده از اسکریپت‌های سفارشی برای خودکارسازی استقرار و انفجار رمزگذار باج‌افزار از طریق وظایف برنامه‌ریزی‌شده، سعی می‌کنند حساب‌های کاربری محلی و شبکه را علاوه بر نقاط پایانی قابل دسترسی، شمارش کنند.
 
مشاهده شده است که این باج‌افزار از مارس 2023، نهادهای تجاری بزرگ را با حملاتی که از تاکتیک‌های اخاذی مضاعف برای سرقت داده‌های حساس قبل از رمزگذاری استفاده می‌کنند، هدف می‌گیرد. افشای داده‌های هیچ سایتی تا کنون گزارش نشده است.
 
پس از بهره‌برداری موفقیت‌آمیز از دستگاه‌های آسیب‌پذیر VPN، یک در پشتی SSH برای حفظ دسترسی دائمی هکر راه‌اندازی می‌شود و یک سری از دستورات PowerShell برای انجام اسکن شبکه و شناسایی لیستی از ماشین‌ها برای رمزگذاری اجرا می‌شود.
 
حملات CACTUS همچنین از Cobalt Strike و یک ابزار تونل زنی به نام Chisel برای فرمان و کنترل، در کنار نرم‌افزار نظارت و مدیریت از راه دور (RMM) مانند AnyDesk برای ارسال فایل‌ها به میزبان‌های آلوده استفاده می‌کنند.
 
همچنین اقداماتی برای غیرفعال کردن و حذف راه‌حل‌های امنیتی و همچنین استخراج اعتبار از مرورگرهای وب و سرویس زیرسیستم مرجع امنیت محلی (LSASS) برای افزایش امتیازات انجام شده است.
 
افزایش امتیاز با جابه‌جایی جانبی، استخراج داده‌ها و استقرار باج‌افزار انجام می‌شود که آخرین مورد با استفاده از یک اسکریپت PowerShell که توسط Black Basta نیز استفاده شده است، به دست می‌آید.
 
یکی از جنبه‌های جدید CACTUS استفاده از یک اسکریپت دسته‌ای برای استخراج باج‌افزار باینری با 7-Zip و به دنبال آن حذف آرشیو .7z قبل از اجرای بارگذاری است.
 
لوری لاکونو، معاون مدیر عامل ریسک سایبری در شرکت Kroll گفت: CACTUS اساساً خودش را رمزگذاری می‌کند و همین مسئله تشخیص آن را سخت‌تر می‌کند و به آن کمک می‌کند تا از ابزارهای آنتی‌ویرس و نظارت بر شبکه فرار کند. این باج‌افزار جدید تحت نام CACTUS از یک آسیب‌پذیری در یک ابزار محبوب VPN استفاده می‌کند و نشان می‌دهد که عوامل تهدید همچنان خدمات دسترسی از راه دور و آسیب‌پذیری‌های اصلاح نشده را برای دسترسی اولیه هدف قرار می‌دهند.
 
این باج‌افزار در حالی معرفی شده است که Trend Micro نوع دیگری از باج افزار معروف به Rapture را افشا کرد که شباهت‌هایی به خانواده‌های دیگر مانند Paradise دارد.
 
شرکت Kroll اعلام کرد: فرآیند آلوده شدن به این باج‌افزار حداکثر سه تا پنج روز طول می‌کشد. با شناسایی اولیه و به دنبال آن استقرار Cobalt Strike، برای حذف باج افزار مبتنی بر .NETاستفاده می‌شود.
 
گمان می‌رود که این نفوذ از طریق وب‌سایت‌ها و سرورهای آسیب‌پذیری که در معرض دید عموم قرار دارند، تسهیل می‌شود، و این امر ضروری است که شرکت‌ها اقداماتی را برای به‌روز نگه‌داشتن سیستم‌ها و اجرای اصل حداقل امتیاز (PoLP) انجام دهند.
 
Trend Micro گفت: اگرچه اپراتورهای آن از ابزارها و منابعی استفاده می‌کنند که به راحتی در دسترس هستند، اما موفق شده‌اند از آن‌ها به گونه‌ای استفاده کنند که قابلیت‌های Rapture را با ایجاد مخفی‌تر و سخت‌تر کردن تحلیل آن افزایش دهند.
 
CACTUS و Rapture جدیدترین موارد اضافه شده به لیست بلندبالایی از خانواده‌های باج‌افزار جدیدی از جمله Gazprom، BlackBit، UNIZA، Akira و یک نوع باج‌افزار NoCry به نام Kadavro Vector هستند که در هفته‌های اخیر منتشر شده‌اند.
 
منبع: The Hacker News
کد مطلب : 20774
https://aftana.ir/vdcjxae8.uqeyazsffu.html
ارسال نظر
نام شما
آدرس ايميل شما
کد امنيتی