کمیته رکن چهارم – یافتههای کارشناسان کسپرسکی روی یکی از شرکتهای قربانی باجافزار کرینگ (Cring) نشان میدهد در این حملات هکرها از آسیبپذیری سرورهای ویپیان فورتیگیت (FortiGate VPN server) بهرهبرداری کردهاند.
اوایل سال ۲۰۲۱ هکرها با استفاده از باجافزار کرینگ حملاتی تدارک دیدند که از سوی محققان شرکت «Swisscom CSIRT» شناسایی شدند، اگرچه دقیقا مشخص نشد اپراتورهای باجافزار چگونه به شبکه سازمانها نفوذ کردهاند. یافتههای تحقیقات کارشناسان کسپرسکی روی یکی از شرکتهای قربانی باجافزار کرینگ (Cring) نشان میدهد در این حملات هکرها از آسیبپذیری سرورهای ویپیان فورتیگیت (FortiGate VPN server) بهرهبرداری کردهاند.
در برخی از حملات مهاجمان با بهرهگیری از آسیبپذیری «CVE-۲۰۱۸-۱۳۳۷۹» سرورهای ویپیان فورتیگیت به شبکه شرکت دسترسی اولیه کسب کردهاند.
این آسیبپذیری که در سال ۲۰۱۹ برطرف شده به مهاجمان امکان میدهد به دستگاه متصل شده و از راه دور به فایلهای حاوی نام کاربری و پسورد دسترسی پیدا کنند. علیرغم رفع این آسیبپذیری، بسیاری از کاربران بهروزرسانیها را نصب نکردهاند.
مهاجمان پس از دسترسی به اولین سیستم در شبکه سازمانی با بهرهگیری از Mimikatz اطلاعات حسابهای کاربری کاربران ویندوز را که پیشتر وارد رایانه آلودهشدهاند را جمعآوری کرده و اعتبارنامههای ادمین دامنه را سرقت کردهاند.
در ادامه هکرها چندین سیستم را که در فعالیت شرکت صنعتی نقش حیاتی داشته را انتخاب کرده و باج افزار کرینگ را در آنها نصبکردهاند.
ویچیسلاف کاپِیتسِف، کارشناس ارشد آزمایشگاه کسپرسکی در این خصوص میگوید: جزئیات حمله نشان میدهد مهاجمان بهدقت زیرساخت سازمان هدف را بررسی کردهاند، سپس ابزارهای خود را متناسب با اطلاعات جمعآوریشده در مرحله جاسوسی آماده ساختهاند. بهعنوانمثال، اسکریپتهای مهاجمان فعالیت برنامه مخرب را در پوشش عملکرد یک آنتیویروس مورداستفاده در شرکت مخفی کرده و فرایندهای سرورهای پایگاه دادهها (Microsoft SQL Server) و سیستمهای پشتیبان گیری (Veeam) مورداستفاده در سیستمهای انتخابشده از سوی مهاجمان برای رمزگذاری را به پایان رساندهاند. تجزیهوتحلیل اقدامات مهاجمان نشان میدهد درنتیجه بررسی شبکه سازمان هدف جهت رمزگذاری سرورهایی انتخابشدهاند که قطع دسترسی به آنها به باور مهاجمان میتوانست بیشترین میزان خسارت را به فعالیت شرکت وارد کند.
منبع : سایبربان
