پژوهشگران امنیتی Sophos مشاهده کردهاند که تعداد حملاتی که شامل یک خانوادهی باجافزاری جدید به نام MegaCortex هستند، افزایش پیدا کرده است. این بدافزار ابتدا در ماه ژانویهی سال جاری پدیدار شد و اولین نشانههای آلودگی آن در اوایل ماه فوریه مشاهده شد، اما تا تاریخ ۱ مِی که این بدافزار آلوده کردن کاربران در سراسر جهان از جمله ایتالیا، امریکا، کانادا، هلند، ایرلند و فرانسه را آغاز کرد، هیچ حملهی مهمی صورت نگرفت.
این روش آلودگی با بدافزار شامل مؤلفههای دستی و خودکار است، اما برای آلوده کردن تعداد بسیاری از قربانیان، بهشدت به خودکارسازی وابسته است. بهنظر میرسد که این باجافزار از طریق تروجانهای Emotet و Qbot توزیع میشود که هر دوی آنها، بدافزارها میتوانند کد مخرب را توزیع کنند. حداقل در یک محیط قربانی، این حمله پس از آنکه مهاجمان توانستند به گواهی نامههای مدیریتی دست یابند، از یک کنترلکنندهی دامنهی آسیبدیده، داخل یک شبکهی سازمانی راهاندازی شد.
بهعنوان بخشی از حمله، از این گواهینامهها برای اجرای یک اسکریپت پاورشِل مبهمسازیشده استفاده شد تا یک شل معکوس Meterpreter را در شبکهی قربانی باز کند. دستورات از طریق یک کنترلکنندهی دامنه صادر میشد که مهاجم از طریق شل معکوس به آن دسترسی دارد. سپس از WMI برای انتقال یک بار دادهی مخرب به سایر رایانههای شبکه استفاده شد.
این بار داده شامل یک نسخهی کپی از PsExec، فایل اجرایی اصلی بدافزار و یک فایل batch بود. این فایل batch از راه دور و از طریق PsExec اجرا شد. در پایان، فایل batch فایل اجرایی winnit.exe را با یک command flag راهاندازی کرد تا یک بار دادهی DDL را توزیع و اجرا کند.
اگرچه این بدافزار از ماه فوریه فعال بوده است، بیش از نیمی از حملات تأییدشدهی MegaCortex از ۱ مِی اتفاق افتادهاند. هر حمله یک محیط سازمانی را هدف قرار داده که احتمالاً شامل صدها دستگاه بوده است. یادداشت درخواست باج، مبلغ باج را ذکر نمیکند، اما مهاجمان از قربانی میخواهند تا با آنها تماس بگیرند و فایلی با پسوند .tsv ارسال میکنند که توسط باجافزار ایجاد میشود.
طبق گزارش شرکت مادر ویروستوتال، از گواهینامهی امضاکنندهی (CN) یکسانی در بارگذار Rietspoof و نمونههای MegaCortex استفاده شده است. این به این معنا است که به احتمال زیاد افرادی که از Rietspoof با آن امضا استفاده میکنند، از MegaCortex نیز استفاده میکنند. نمیتوان گفت که عاملان تهدید یکسانی پشت Rietspoof و MegaCortex هستند، اما این یافتهها ارتباط بین آنها را تقویت میکند.
از آنجا که اهداف بسیار پرسود همچنان قابل دسترسی هستند، این جریان در طول سال جاری ادامه خواهد داشت. سازمانها نمیتوانند بدافزارهای خرابکار را نادیده بگیرند، چرا که مهاجمان بهطور فزایندهای از دسترسی غیرمجاز خود برای اجرای حملات بسیار پرسود استفاده میکنند.
