باجافزار Spirals شناسایی شد؛ حملهای که در کمتر از ۲۴ ساعت یک شبکه را از کار انداخت
سیمانتک از شناسایی باجافزار جدید Spirals خبر داد؛ بدافزاری که در کمتر از ۲۴ ساعت اطلاعات یک سازمان را سرقت و تمامی سامانههای آن را رمزگذاری کرد.
به گزارش هلپ نت سکیوریتی، پژوهشگران امنیتی شرکت سیمانتک از شناسایی باجافزار جدیدی با نام Spirals خبر دادهاند؛ بدافزاری که در یکی از حملات اخیر، تنها در کمتر از ۲۴ ساعت پس از نفوذ اولیه موفق شد اطلاعات یک شرکت خدمات فناوری اطلاعات در جنوب آسیا را سرقت کرده و تمامی سامانههای آن را رمزگذاری کند. به گفته محققان، سرعت بالای اجرای عملیات و استفاده از تکنیکهای پیشرفته، باجافزار Spirals را به یکی از تهدیدهای نوظهور برای سازمانها تبدیل کرده است.
باجافزار Spirals چگونه عمل میکند؟
تیم Threat Hunter شرکت سیمانتک اعلام کرد باجافزار Spirals ماه گذشته در حمله به یک شرکت ارائهدهنده خدمات فناوری اطلاعات در جنوب آسیا مورد استفاده قرار گرفت. بررسیها نشان میدهد مهاجمان از زمان دسترسی اولیه تا سرقت اطلاعات و رمزگذاری کامل شبکه، کمتر از ۲۴ ساعت زمان صرف کردهاند؛ روندی که بیانگر افزایش سرعت و پیچیدگی حملات باجافزاری در سالهای اخیر است.
براساس گزارش سیمانتک، Spirals با زبان برنامهنویسی Rust توسعه یافته و برای رمزگذاری هر فایل از یک کلید اختصاصی AES-128 استفاده میکند. این کلیدها نیز با استفاده از کلید عمومی ECDH P-256 محافظت میشوند. همچنین برای افزایش سرعت عملیات، فایلهای بزرگتر از پنج مگابایت بهصورت بخشبندیشده رمزگذاری میشوند.
پس از پایان فرآیند رمزگذاری، فایل یادداشتی با نام RECOVERY_SECTION.log روی سیستمهای قربانی ایجاد میشود. در این پیام، قربانیان به یک وبسایت مبتنی بر شبکه Tor هدایت شده و تهدید میشوند در صورت پرداخت نکردن باج، اطلاعات سرقتشده ظرف شش روز منتشر خواهد شد.
مهاجمان چگونه به شبکه نفوذ کردند؟
بررسیهای سیمانتک نشان میدهد مهاجمان ابتدا با سوءاستفاده از یک سرور Microsoft IIS متصل به اینترنت و بارگذاری یک وبشل ASP.NET وارد شبکه شدند. سپس با اجرای دستورات از طریق پردازش IIS، یک نشست تعاملی ایجاد کرده، با دور زدن مکانیزم User Account Control (UAC) سطح دسترسی خود را افزایش دادند، قابلیت Remote Desktop Protocol (RDP) را فعال کردند و برای حفظ دسترسی، یک حساب کاربری محلی ایجاد کردند.
در ادامه، عاملان حمله با استخراج پایگاه Security Account Manager (SAM) اطلاعات احراز هویت را جمعآوری کرده و در جریان حرکت جانبی، حافظه فرایند LSASS را روی چندین سیستم تخلیه کردند تا به اطلاعات حسابهای کاربری دسترسی پیدا کنند.
استفاده از ابزارهای قانونی برای پنهانسازی حمله
مهاجمان برای حفظ ارتباط با شبکه آلوده، یک پراکسی معکوس SOCKS، نسخهای تغییرنامیافته از ابزار Chisel با نام chrome.exe و همچنین یک Cloudflare Tunnel راهاندازی کردند. به گفته محققان، برخی ابزارهای مورد استفاده نیز با پسوند .jpg روی سرورهای خارجی میزبانی شده بودند تا از روشهای ساده تشخیص فایل عبور کنند.
در مرحله بعد، مهاجمان با استفاده از ابزار PsExec و با سطح دسترسی SYSTEM، یک اسکریپت PowerShell را روی تعداد زیادی از رایانههای شبکه اجرا کردند. این فایل با نام bitsadmin.exe ذخیره شده بود تا خود را بهعنوان یکی از ابزارهای قانونی ویندوز معرفی کند.
پیش از آغاز رمزگذاری، باجافزار Spirals نرمافزار Microsoft Defender را غیرفعال کرده و سرویسهای مرتبط با ۲۳ محصول پشتیبانگیری، پایگاه داده و مجازیسازی، از جمله Veeam، VMware، Hyper-V، Microsoft SQL Server، Oracle و PostgreSQL را متوقف کرده است تا مانعی برای رمزگذاری فایلها وجود نداشته باشد.
هشدار سیمانتک درباره باجافزار Spirals
سیمانتک اعلام کرده است که تاکنون باجافزار Spirals تنها در یک حمله مشاهده شده، اما تواناییهای فنی، سرعت بالای اجرای عملیات و روشهای پنهانسازی آن نشان میدهد عاملان این بدافزار از مهارت بالایی برخوردار هستند و احتمال دارد در آینده حملات گستردهتری را علیه سازمانها انجام دهند.
این شرکت همچنین شاخصهای نفوذ (IoCs) مرتبط با این حمله را منتشر کرده و از سازمانها خواسته است با بررسی زیرساختهای خود، هرگونه نشانه احتمالی از فعالیت باجافزار Spirals را شناسایی و برای مقابله با آن اقدام کنند.