استقرار باج‌افزار Ryuk دو هفته پس از آلودگی Trickbot

کمیته رکن چهارم – محققان SentinelOne فعالیت‌هایی را از لاگ‌های مربوط به یک سرور Cobalt Strike مشاهده کرده‌اند که این سرورها توسط TrickBot برای پروفایل شبکه‌ها و سیستم‌ها به کار می‌رود.

لاگ‌های فعالیت سروری که مورد استفاده تروجان TrickBot قرار گرفته، نشان می‌دهد که این عامل مخرب در مراحلی پس از حمله، قبل از استقرار باج‌افزار Ryuk، به طور متوسط دو هفته در حال اسکن میزبان‌های با ارزش در شبکه بوده است.

پس از نفوذ به شبکه، مهاجم شروع به اسکن سیستم‌های زنده‌ای می‌کند که دارای پورت‌های خاص هستند و سپس سرقت هش‌های گذرواژه را از گروه Domain Admin آغاز می‌کند.

محققان SentinelOne فعالیت‌هایی را از لاگ‌های مربوط به یک سرور Cobalt Strike مشاهده کرده‌اند که این سرورها توسط TrickBot برای پروفایل شبکه‌ها و سیستم‌ها به کار می‌رود.

یکی از مؤلفه‌ها، اسکریپت DACheck است تا بررسی کند آیا کاربر فعلی از امتیازات Domain Admin برخوردار است و اعضای این گروه را بررسی می‌کند. آنها همچنین از Mimikatz برای استخراج گذرواژه استفاده می‌کنند که به حرکت‌های جانبی کمک می‌کند.

محققان دریافتند که کشف رایانه‌های مورد توجه در شبکه با اسکن برای شناسایی میزبان‌های زنده که دارای پورت‌های خاص باز هستند انجام می‌شود. سرویس‌هایی مانندFTP ،SSH ، SMB، سرور SQL،remote desktop و VNC مورد هدف قرار می‌گیرند زیرا آنها به امکان انتقال به سایر رایانه‌های موجود در شبکه کمک و یا یک هدف ارزشمند را شناسایی می‌کنند.

طبق بررسی SentinelOne، عامل تهدید همه دستگاه را نمایه می‌کند تا در حد امکان اطلاعات مفید را استخراج کند. این امر به آنها امکان می‌دهد تا کنترل کامل شبکه را در دست بگیرند و به میزبان هرچه بیشتر دسترسی پیدا کنند.

مراحل شناسایی پس از استقرار باج افزار Ryuk پیش می‌رود و گسترش آن در کلیه دستگاه‌های قابل دسترسی با استفاده از ابزار PsExec مایکروسافت است که برای اجرای عملیات از راه دور انجام می‌شود.
براساس اطلاعات زمانی، محققان SentinelOne تخمین می‌زنند که دو هفته طول می‌کشد تا مهاجم بتواند به سیستم‌های موجود در شبکه دسترسی پیدا کرده و آنها را قبل از اجرای Ryuk نمایه کند.

در برخی موارد، Ryuk تنها پس از گذشت یک روز مستقر شده، در حالی که در موارد دیگر فایل رمزگذاری شده بد افزار پس از اینکه مهاجم ماه ها در شبکه حضور داشته، به اجرا درآمده است.

توجه به این نکته ضروری است که همه آلودگی‌های TrickBot توسط باج افزار Ryuk دنبال نمی‌شوند. این موضوع احتمالاً به این دلیل است که عوامل تهدید، زمانی را برای تجزیه و تحلیل داده‌های جمع آوری شده و تعیین اینکه آیا قربانی ارزش رمزگذاری دارد یا نه، صرف می‌کنند.

منبع: مرکز مدیریت راهبردی افتا