کمیته رکن چهارم – سویه جدید باج افزار «کاکتوس» از نقصهای VPN برای نفوذ به شبکهها سوءاستفاده میکند.
محققان امنیت سایبری نوع جدیدی از باجافزار به نام «کاکتوس» (CACTUS) را کشف کردهاند که از نقصهای شناخته شده در دستگاههای VPN برای دستیابی به دسترسی اولیه به شبکههای هدف استفاده میکند.
بر اساس گزارش منتشر شده از سوی محققان، عاملان باجافزار «کاکتوس» هنگامی که وارد شبکه میشوند، قبل از ایجاد حسابهای کاربری جدید و استفاده از اسکریپتهای سفارشی برای خودکارسازی استقرار و انفجار رمزگذار باجافزار از طریق وظایف برنامهریزیشده، سعی میکنند حسابهای کاربری محلی و شبکه را علاوه بر نقاط پایانی قابل دسترسی، شمارش کنند.
مشاهده شده است که این باجافزار از مارس ۲۰۲۳، نهادهای تجاری بزرگ را با حملاتی که از تاکتیکهای اخاذی مضاعف برای سرقت دادههای حساس قبل از رمزگذاری استفاده میکنند، هدف میگیرد. افشای دادههای هیچ سایتی تا کنون گزارش نشده است.
پس از بهرهبرداری موفقیتآمیز از دستگاههای آسیبپذیر VPN، یک در پشتی SSH برای حفظ دسترسی دائمی هکر راهاندازی میشود و یک سری از دستورات PowerShell برای انجام اسکن شبکه و شناسایی لیستی از ماشینها برای رمزگذاری اجرا میشود.
حملات CACTUS همچنین از Cobalt Strike و یک ابزار تونل زنی به نام Chisel برای فرمان و کنترل، در کنار نرمافزار نظارت و مدیریت از راه دور (RMM) مانند AnyDesk برای ارسال فایلها به میزبانهای آلوده استفاده میکنند.
همچنین اقداماتی برای غیرفعال کردن و حذف راهحلهای امنیتی و همچنین استخراج اعتبار از مرورگرهای وب و سرویس زیرسیستم مرجع امنیت محلی (LSASS) برای افزایش امتیازات انجام شده است.
افزایش امتیاز با جابهجایی جانبی، استخراج دادهها و استقرار باجافزار انجام میشود که آخرین مورد با استفاده از یک اسکریپت PowerShell که توسط Black Basta نیز استفاده شده است، به دست میآید.
یکی از جنبههای جدید CACTUS استفاده از یک اسکریپت دستهای برای استخراج باجافزار باینری با ۷-Zip و به دنبال آن حذف آرشیو .۷z قبل از اجرای بارگذاری است.
لوری لاکونو، معاون مدیر عامل ریسک سایبری در شرکت Kroll گفت: CACTUS اساساً خودش را رمزگذاری میکند و همین مسئله تشخیص آن را سختتر میکند و به آن کمک میکند تا از ابزارهای آنتیویرس و نظارت بر شبکه فرار کند. این باجافزار جدید تحت نام CACTUS از یک آسیبپذیری در یک ابزار محبوب VPN استفاده میکند و نشان میدهد که عوامل تهدید همچنان خدمات دسترسی از راه دور و آسیبپذیریهای اصلاح نشده را برای دسترسی اولیه هدف قرار میدهند.
این باجافزار در حالی معرفی شده است که Trend Micro نوع دیگری از باج افزار معروف به Rapture را افشا کرد که شباهتهایی به خانوادههای دیگر مانند Paradise دارد.
شرکت Kroll اعلام کرد: فرآیند آلوده شدن به این باجافزار حداکثر سه تا پنج روز طول میکشد. با شناسایی اولیه و به دنبال آن استقرار Cobalt Strike، برای حذف باج افزار مبتنی بر .NETاستفاده میشود.
گمان میرود که این نفوذ از طریق وبسایتها و سرورهای آسیبپذیری که در معرض دید عموم قرار دارند، تسهیل میشود، و این امر ضروری است که شرکتها اقداماتی را برای بهروز نگهداشتن سیستمها و اجرای اصل حداقل امتیاز (PoLP) انجام دهند.
Trend Micro گفت: اگرچه اپراتورهای آن از ابزارها و منابعی استفاده میکنند که به راحتی در دسترس هستند، اما موفق شدهاند از آنها به گونهای استفاده کنند که قابلیتهای Rapture را با ایجاد مخفیتر و سختتر کردن تحلیل آن افزایش دهند.
CACTUS و Rapture جدیدترین موارد اضافه شده به لیست بلندبالایی از خانوادههای باجافزار جدیدی از جمله Gazprom، BlackBit، UNIZA، Akira و یک نوع باجافزار NoCry به نام Kadavro Vector هستند که در هفتههای اخیر منتشر شدهاند.
منبع: The Hacker News