محققان از شناسایی نسخه جدیدی از باجافزار Satan خبر دادهاند که علاوه بر مجهز بودن به بهرهجوی EternalBlue، قادر به سواستفاده از چندین ضعف امنیتی نسبتاً جدید نیز میباشد. قابلیتی که این نسخه را قادر میسازد تا بدون نیاز به هر گونه دخالت کاربر بهسرعت تمامی ایستگاههای کاری و سرورهای آسیبپذیر در سطح شبکه را به خود آلوده کند.
به گزارش شرکت مهندسی شبکه گستر این نسخه جدید با نام DBGer حاوی دو بهرهجو است که امکان سواستفاده از ضعفهای امنیتی زیر را فراهم میکنند:
- CVE-2017-12149 در JBoss
- CVE-2017-10271 در Weblogic
ضمن اینکه با اجرای حملات موسوم به سعی و خطا (Brute-force) سرورهای میزبان Tomcat Web Application را نیز هدف حمله خود قرار میدهد.
از دیگر قابلیتهای پیشرفته DBGer، بکارگیری ابزار کدباز Mimikatz بهمنظور استخراج رمزهای عبور ذخیره شده بر روی دستگاه قربانی است تا در ادامه از آنها برای آلودن نمودن سایر دستگاههای شبکه استفاده کند.
نسخه جدید به فایل های رمزگذاری شده پسوند dbger را الصاق کرده و به ابتدای نام آنها عبارت [dbger@protonmail.com] را اضافه میکند.
نخستین نسخه از باجافزار Satan در اواخر سال 95 منتشر شد. در پاییز سال گذشته نویسندگان آن بهرهجوی EternalBlue را به این باجافزار افزودند. باجافزار WannaCry نخستین بدافزاری بود که با بکارگیری بهرهجوی EternalBlue توانست در کمتر از 24 ساعت صدها هزار کامپیوتر آسیبپذیر را در کشورهای مختلف به خود آلوده کند.
Satan/DBGer از جمله باجافزارهایی است که در قالب خدمات موسوم به “باجافزار به عنوان سرویس” (Ransomware-as-a-Service) در بازارهای زیر زمینی تبهکاران سایبری عرضه میشود.
توضیح اینکه نمونه بررسی شده در این خبر با نامهای زیر شناسایی میشود:
Bitdefender:
– DeepScan:Generic.Malware.G!FMDHX!g.B4A00B39
McAfee:
– Artemis!6E44ABB2B449
Sophos:
– Mal/Generic-S