کمیته رکن چهارم – فایرآی گزارش میدهد که عاملان تهدید از یک آسیبپذیری کارگزار WebLogic اوراکل که به تازگی وصله شده، بهرهبرداری میکنند تا سامانهها را با بدافزار استخراج ارز مجازی آلوده کنند.
این آسیبپذیری که با شناسهی CVE-۲۰۱۷-۱۰۲۷۱ شناسایی میشود، در خدمات امنیتی کارگزار (WebLogic (WLS Security نسخهی ۱۲٫۲٫۱٫۲٫۰ و نسخههای قدیمیتر کارگزار WebLogic اوراکل وجود دارد و توسط اوراکل در بهروزرسانی وصلهی بحرانی (CPU) ماه اکتبر سال ۲۰۱۷ میلادی رفع شده است.
پژوهشگران فایرآی میگویند، پس از آنکه بهرهبرداری کد اثبات مفهومی از این اشکال، در ماه دسامبر به صورت عمومی منتشر شد، حجم فعالیتهای مربوط به بهرهبرداری از این آسیبپذیری افزایش یافت. بهرهبرداریهای موفقیتآمیز از این آسیبپذیری در سامانههای وصلهنشده، به مهاجمان این امکان را میدهد که کد دلخواه را به صورت از راه دور اجرا کنند.
فایرآی گزارش داد: «ما شواهدی در دست داریم که بیانگر این است که برخی سازمانهای موجود در چند کشور مختلف، از جمله آمریکا، استرالیا، هنگکنگ، انگلستان، هند،مالزی و اسپانیا تحت تاثیر این فعالیتها قرار گرفتهاند.»
اخیراً بازار ارز مجازی توسعه یافته، و مجرمان سایبری از تلاشهای خود برای استفاده از این بازار هیچ شرمی ندارند. با این حال، عاملانی که در عملیات استخراج ارز مجازی شرکت دارند، معمولاً سازمانهای خاصی را هدف قرار نمیدهند، بلکه حملاتی راهاندازی میکنند که فرصتطلبانه هستند.
پژوهشگران کشف کردند که مهاجمان از آسیب پذیری CVE-۲۰۱۷-۱۰۲۷۱ سوءاستفاده میکنند تا سامانههای مورد هدف را با بدافزارهای استخراج ارز مجازی که از روشهای مختلفی برای دستیابی به هدف خود استفاده میکنند، آلوده کنند. برخی از این حوادث، به عنوان مثال، استفاده از پاورشل برای توزیع بدافزار استخراج ارز مجازی در سامانهی قربانی و استفاده از ()ShellExecute برای اجرا هستند.
در سایر حملات، به جای بارگیری پروندهی اجرایی به طور مستقیم، برای انتقال بدافزار استخراج ارز مجازی از اسکریپتهای پاورشل استفاده میشود. علاوه بر بارگیری بدافزار استخراج ارز مجازی، این اسکریپت تلاش میکند تا از طریق وظایف برنامهریزیشده، به پایداری برسد.
این اسکریپت، علاوه بر اینکه قادر است با کلید کیف پول به مخزن استخراج متصل شود، وظایف ایجاد شده توسط سایر بدافزارهای استخراج ارز مجازی را حذف میکند و فرآیندهای مربوط به آن برنامهها را پایان میدهد. همچنین استفاده از پردازنده را نیز محدود میکند.
روشهایی که در سایر حملات استفاده میشدند شامل استفاده از ابزارهایی مانند Mimikatz و EternalBlue برای حرکات جانبی در محیطهای ویندوز بودند.
این بدافزار ابتدا تعیین میکند که سامانه ۳۲ بیتی است یا ۶۴ بیتی، تا یک اسکریپت پاورشل مخصوص آن را از کارگزار فرمان و کنترل دریافت کند. سپس، همهی آداپتورهای شبکه را بررسی میکند و تلاش می کند به هر سامانهی موجود در شبکه که از گواهی نامههای استخراج شده استفاده میکند متصل شود، تا برای انتقال و اجرای بدافزار در سامانهی هدف یک پاورشل اجرا کند.
این بدافزار از WMI (ابزار مدیریت ویندوز) برای پایداری استفاده میکند و میتواند با استفاده از اطلاعات NTLM به دست آمده از Mimikatz حملهای انجام دهد که این بدافزار را در دستگاههای راه دور بارگیری و اجرا کند. این بدافزار گواهینامههای به سرقت رفته را با استفاده از یک درخواست HTTP GET به یک کارگزار راه دور ارسال میکند.
در صورتی که نتواند به طور عرضی حرکت کند، این بدافزار از پویشگر PingCastle MS۱۷-۰۱۰ استفاده میکند تا مشخص کند که هدف در برابر EternalBlue آسیبپذیر است یا خیر.
در مواردی که دستگاههای لینوکس مورد هدف قرار گرفته اند، این آسیب پذیری برای انتقال اسکریپتهای شلی که عملکردهای مشابه اسکریپتهای پاورشل دارند، مورد بهرهبرداری قرار گرفته است. آنها تلاش میکنند تا علاوه بر ایجاد یک وظیفه برای حفظ پایداری، بدافزارهای استخراج ارز مجازی که در حال اجرا هستند را ببندند و سپس بدافزار را بارگیری و اجرا کنند.
فایرآی میگوید: «استفاده از بدافزار استخراج ارز مجازی یک روش محبوب است که توسط مجرمان سایبری که انگیزهی مالی دارند، استفاده میشود تا از قربانیان کسب درآمد کنند. ما یک عامل تهدیدی را مشاهده کردهایم که تقریباً هر روز ۱ XMR استخراج میکند، و این نشانگر سودآوری بالقوه و دلیل افزایش اخیر چنین حملاتی است.»
اگر چه در مقایسه با عملیات باجافزاری، ممکن است خطر آن کمتر باشد، اما بدافزار استخراج ارز مجازی خطرات مختلفی ایجاد میکند. سامانههایی که با بدافزار استخراج ارز مجازی آلوده شدهاند، ممکن است کاهش در عملکرد و سرعت را تجربه کنند، اما چنین حملاتی میتوانند بدافزار دیگری را نیز در خود پنهان کنند.
منبع : news.asis.io
