کمیته رکن چهارم – بر اساس گزارشی از شرکت فایرآی (FireEye, Inc) گروهی از مهاجمان با سوءاستفاده از آسیبپذیری CVشE-۲۰۲۱-۲۰۰۱۶ در محصولات SonicWall SMA ۱۰۰ به نفوذ در شبکه و توزیع باجافزار FiveHands بر روی دستگاهها اقدام کردند.
این گروه از مهاجمان که فایرآی از آنها با عنوان UNC۲۴۴۷ یاد کرده قبل از آن که وصله CVE-۲۰۲۱-۲۰۰۱۶ در اواخر فوریه در دسترس قرار بگیرد از این آسیبپذیری سوءاستفاده میکرده است.
در اوایل سال میلادی جاری مشخص شد که مهاجمان از طریق این آسیبپذیری روز – صفر به سامانههای داخلی سونیکوال نفوذ کرده بودند. از آن زمان تاکنون گروههای مختلف از مهاجمان از CVE-۲۰۲۱-۲۰۰۱۶ در برخی حملات خود استفاده کردهاند.
در جریان حمله UNC۲۴۴۷، مهاجمان از Cobalt Strike بمنظور ماندگاری در سیستم و نصب بکدور SombRAT بهره گرفتهشده است.
نخستین نسخه از باجافزار FiveHands در اکتبر ۲۰۲۰ شناسایی شد.
FiveHands بسیار مشابه با باجافزار HelloKitty است. هر دوی آنها بر پایه باجافزار DeathRansom توسعه داده شدهاند. HelloKitty در فاصله بین می تا دسامبر ۲۰۲۰ حضوری فعال داشت و از ابتدای سال ۲۰۲۱ این باجافزار جای خود را به FiveHands داده است.
علاوه بر امکانات و توابع مشابه و وجود شباهتهایی در کدنویسی، Favicon سایت این دو بدافزار در شبکه Tor نیز یکسان است.
FiveHands دارای قابلیتهای بیشتری در مقایسه با HelloKitty و DeathRansom است(شکل زیر). از جمله میتوان به قابلیت بهرهگیری از Windows Restart Manager برای بستن فایلهای در حال استفاده و در نتیجه فراهم شدن امکان رمزگذاری آنها اشاره کرد. همچنین FiveHands مجهز به کتابخانههای اختصاصی رمزگذاری، دریافتکننده بر روی حافظه (Memory-only Dropper) و درخواستهای موسوم به Asynchronous I/O است.
به گفته فایرآی، مهاجمان UNC۲۴۴۷ پس از رمزگذاری اطلاعات قربانی تلاش میکنند تا با جلب توجه رسانهها و پیشنهاد فروش دادههای سرقت شده در فرومهای هکرها قربانیان خود را مجبور به پرداخت باج کنند.
UNC۲۴۴۷ توزیع باجافزار Ragnar Locker را نیز در کارنامه دارد. در ماه مارس هم فایرآی از شناسایی سه آسیبپذیری روز – صفر در محصولات سونیکوال خبر داده بود. مهاجمان UNC۲۶۸۲ از این آسیبپذیری برای توزیع وب شلهای BEHINDER، نفوذ به شبکه قربانی و دستیابی به فایلها و ایمیلهای قربانی بهره گرفته بودند.
منبع : مرکز مدیریت راهبردی افتا