بر اساس گزارشی که شرکت فایرآی (FireEye, Inc) آن را منتشر کرده گروهی از مهاجمان با سوءاستفاده از آسیبپذیری CVE-2021-20016 در محصولات SonicWall SMA 100 اقدام به رخنه به شبکه و توزیع باجافزار FiveHands بر روی دستگاهها میکنند.
در این مطلب که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه شده خلاصهای از یافتههای فایرآی ارائه شده است.
این گروه از مهاجمان که فایرآی از آنها با عنوان UNC2447 یاد کرده قبل از آن که اصلاحیه CVE-2021-20016 در اواخر فوریه در دسترس قرار بگیرد از آسیبپذیری مذکور سوءاستفاده میکرده است.
در اوایل سال میلادی جاری مشخص شد که مهاجمان از طریق این آسیبپذیری روز-صفر به سامانههای داخلی سونیکوال رخنه کرده بودند. از آن زمان تا کنون گروههای مختلف از مهاجمان از CVE-2021-20016 در برخی حملات خود استفاده کردهاند.
در جریان حمله UNC2447 به اهداف خود از Cobalt Strike برای ماندگار ساختن و نصب دربپشتی SombRAT بهره گرفته شده است.
نخستین نسخه از باجافزار FiveHands در اکتبر 2020 شناسایی شد.
FiveHands بسیار مشابه با باجافزار HelloKitty است. هر دوی آنها بر پایه باجافزار DeathRansom توسعه داده شدهاند.
HelloKitty در فاصله بین می تا دسامبر 2020 حضوری فعال داشت و از ابتدای سال 2021 این باجافزار جای خود را به FiveHands داده است.
علاوه بر امکانات و توابع مشابه و وجود شباهتهایی در کدنویسی، تارنَماک (Favicon) سایت این دو بدافزار در شبکه Tor نیز یکسان است.
FiveHands دارای قابلیتهای بیشتری در مقایسه با HelloKitty و DeathRansom است. از جمله میتوان به قابلیت بهرهگیری از Windows Restart Manager برای بستن فایلهای در حال استفاده و در نتیجه فراهم شدن امکان رمزگذاری آنها اشاره کرد. همچنین FiveHands مجهز به کتابخانههای اختصاصی رمزگذاری، دریافتکننده بر روی حافظه (Memory-only Dropper) و درخواستهای موسوم به Asynchronous I/O است.
به گفته فایرآی، مهاجمان UNC2447 پس از رمزگذاری اطلاعات قربانی تلاش میکنند تا با جلب توجه رسانهها و پیشنهاد فروش دادههای سرقت شده در فارومهای هکرها قربانیان خود را مجبور به پرداخت باج کنند.
UNC2447 توزیع باجافزار Ragnar Locker را نیز در کارنامه دارد.
در ماه مارس هم فایرآی از شناسایی سه آسیبپذیری روز-صفر در محصولات سونیکوال خبر داده بود. مهاجمان UNC2682 از آسیبپذیریهای مذکور برای توزیع شلهای وب BEHINDER، رخنه به شبکه قربانی و دستیابی به فایلها و ایمیلهای قربانی بهره گرفته بودند.
مشروح گزارش فایرآی در لینک زیر قابل دریافت و مطالعه است: