توزیع باج‌افزار با سوءاستفاده از آسیب‌پذیری روز-صفر سونیک‌وال

بر اساس گزارشی که شرکت فایرآی (FireEye, Inc) آن را منتشر کرده گروهی از مهاجمان با سوءاستفاده از آسیب‌پذیری CVE-2021-20016 در محصولات SonicWall SMA 100 اقدام به رخنه به شبکه و توزیع باج‌افزار FiveHands بر روی دستگاه‌ها می‌کنند.

در این مطلب که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه شده خلاصه‌ای از یافته‌های فایرآی ارائه شده است.

این گروه از مهاجمان که فایرآی از آنها با عنوان UNC2447 یاد کرده قبل از آن که اصلاحیه CVE-2021-20016 در اواخر فوریه در دسترس قرار بگیرد از آسیب‌پذیری مذکور سوءاستفاده می‌کرده است.

در اوایل سال میلادی جاری مشخص شد که مهاجمان از طریق این آسیب‌پذیری روز-صفر به سامانه‌های داخلی سونیک‌وال رخنه کرده بودند. از آن زمان تا کنون گروه‌های مختلف از مهاجمان از CVE-2021-20016 در برخی حملات خود استفاده کرده‌اند.

در جریان حمله UNC2447 به اهداف خود از Cobalt Strike برای ماندگار ساختن و نصب درب‌پشتی SombRAT بهره گرفته شده است.

نخستین نسخه از باج‌افزار FiveHands در اکتبر 2020 شناسایی شد.

FiveHands بسیار مشابه با باج‌افزار HelloKitty است. هر دوی آنها بر پایه باج‌افزار DeathRansom توسعه داده شده‌اند.

HelloKitty در فاصله بین می تا دسامبر 2020 حضوری فعال داشت و از ابتدای سال 2021 این باج‌افزار جای خود را به FiveHands داده است.

علاوه بر امکانات و توابع مشابه و وجود شباهت‌هایی در کدنویسی، تارنَماک (Favicon) سایت این دو بدافزار در شبکه Tor نیز یکسان است.

FiveHands دارای قابلیت‌های بیشتری در مقایسه با HelloKitty و DeathRansom است. از جمله می‌توان به قابلیت بهره‌گیری از Windows Restart Manager برای بستن فایل‌های در حال استفاده و در نتیجه فراهم شدن امکان رمزگذاری آنها اشاره کرد. همچنین FiveHands مجهز به کتابخانه‌های اختصاصی رمزگذاری، دریافت‌کننده بر روی حافظه (Memory-only Dropper) و درخواست‌های موسوم به Asynchronous I/O است.

به گفته فایرآی، مهاجمان UNC2447 پس از رمزگذاری اطلاعات قربانی تلاش می‌کنند تا با جلب توجه رسانه‌ها و پیشنهاد فروش داده‌های سرقت شده در فاروم‌های هکرها قربانیان خود را مجبور به پرداخت باج کنند.

UNC2447 توزیع باج‌افزار Ragnar Locker را نیز در کارنامه دارد.

در ماه مارس هم فایرآی از شناسایی سه آسیب‌پذیری روز-صفر در محصولات سونیک‌وال خبر داده بود. مهاجمان UNC2682 از آسیب‌پذیری‌های مذکور برای توزیع شل‌های وب BEHINDER، رخنه به شبکه قربانی و دستیابی به فایل‌ها و ایمیل‌های قربانی بهره گرفته بودند.

مشروح گزارش فایرآی در لینک زیر قابل دریافت و مطالعه است:

https://www.fireeye.com/blog/threat-research/2021/04/unc2447-sombrat-and-fivehands-ransomware-sophisticated-financial-threat.html