مجرمان سایبری باج‌افزار MegaCortex را در سطح حملات جهانی توزیع می‌کنند

مجرمان سایبری باج‌افزار MegaCortex را در سطح حملات جهانی توزیع می‌کنند

چهار شنبه, 8 می, 2019 ساعت 13:19

پژوهش‌گران امنیتی Sophos مشاهده کرده‌اند که تعداد حملاتی که شامل یک خانواده‌ی باج‌افزاری جدید به نام MegaCortex هستند، افزایش پیدا کرده است. این بدافزار ابتدا در ماه ژانویه‌ی سال جاری پدیدار شد و اولین نشانه‌های آلودگی آن در اوایل ماه فوریه مشاهده شد، اما تا تاریخ ۱ مِی که این بدافزار آلوده کردن کاربران در سراسر جهان از جمله ایتالیا، امریکا، کانادا، هلند، ایرلند و فرانسه را آغاز کرد، هیچ حمله‌ی مهمی صورت نگرفت.

این روش آلودگی با بدافزار شامل مؤلفه‌های دستی و خودکار است، اما برای آلوده کردن تعداد بسیاری از قربانیان، به‌شدت به خودکارسازی وابسته است. به‌نظر می‌رسد که این باج‌افزار از طریق تروجان‌های Emotet و Qbot توزیع می‌شود که هر دوی آن‌ها، بدافزارها می‌توانند کد مخرب را توزیع کنند. حداقل در یک محیط قربانی، این حمله پس از آن‌که مهاجمان توانستند به گواهی نامه‌های مدیریتی دست یابند، از یک کنترل‌کننده‌ی دامنه‌ی آسیب‌دیده، داخل یک شبکه‌ی سازمانی راه‌اندازی شد.

به‌عنوان بخشی از حمله، از این گواهی‌نامه‌ها برای اجرای یک اسکریپت پاورشِل مبهم‌سازی‌شده استفاده شد تا یک شل معکوس Meterpreter را در شبکه‌ی قربانی باز کند. دستورات از طریق یک کنترل‌کننده‌ی دامنه صادر می‌شد که مهاجم از طریق شل معکوس به آن دسترسی دارد. سپس از WMI برای انتقال یک بار داده‌ی مخرب به سایر رایانه‌های شبکه استفاده شد.

این بار داده شامل یک نسخه‌ی کپی از PsExec، فایل اجرایی اصلی بدافزار و یک فایل batch  بود. این فایل batch  از راه دور و از طریق PsExec اجرا شد. در پایان، فایل batch  فایل اجرایی winnit.exe را با یک command flag  راه‌اندازی کرد تا یک بار داده‌ی DDL را توزیع و اجرا کند.

اگرچه این بدافزار از ماه فوریه فعال بوده است، بیش از نیمی از حملات تأییدشده‌ی MegaCortex از ۱ مِی اتفاق افتاده‌اند. هر حمله یک محیط سازمانی را هدف قرار داده که احتمالاً شامل صدها دستگاه بوده است. یادداشت درخواست باج، مبلغ باج را ذکر نمی‌کند، اما مهاجمان از قربانی می‌خواهند تا با آن‌ها تماس بگیرند و فایلی با پسوند .tsv ارسال می‌کنند که توسط باج‌افزار ایجاد می‌شود.

طبق گزارش شرکت مادر ویروس‌توتال، از گواهی‌نامه‌ی امضاکننده‌ی (CN) یکسانی در بارگذار Rietspoof و نمونه‌های MegaCortex استفاده شده است. این به این معنا است که به احتمال زیاد افرادی که از Rietspoof با آن امضا استفاده می‌کنند، از MegaCortex نیز استفاده می‌کنند. نمی‌توان گفت که عاملان تهدید یکسانی پشت Rietspoof و MegaCortex هستند، اما این یافته‌ها ارتباط بین آن‌ها را تقویت می‌کند.

از آن‌جا که اهداف بسیار پرسود همچنان قابل دسترسی هستند، این جریان در طول سال جاری ادامه خواهد داشت. سازمان‌ها نمی‌توانند بدافزارهای خراب‌کار را نادیده بگیرند، چرا که مهاجمان به‌طور فزاینده‌ای از دسترسی غیرمجاز خود برای اجرای حملات بسیار پرسود استفاده می‌کنند.

منبع

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

13 − ده =