آبان ۲۸, ۱۴۰۳
  • twitter
  • telegram
  • linkedin
  • youtube
  • instagram
  • aparat
  • صفحه خانگی
  • >
  • یییی اسلاید
  • >
  • باج‌افزار Fog شبکه مجازی خصوصی (VPN) شرکت SonicWall را هدف قرار می‌دهد تا به شبکه‌های شرکتی نفوذ کند.

باج‌افزار Fog شبکه مجازی خصوصی (VPN) شرکت SonicWall را هدف قرار می‌دهد تا به شبکه‌های شرکتی نفوذ کند.

باج‌افزار Fog شبکه مجازی خصوصی (VPN) شرکت SonicWall را هدف قرار می‌دهد تا به شبکه‌های شرکتی نفوذ کند.

مهاجمان سایبری که با باج‌افزارهای Fog و Akira فعالیت می‌کنند، از حساب‌های VPN شرکت SonicWall برای نفوذ به شبکه‌های شرکتی استفاده می‌کنند. ظاهراً این نفوذ از طریق بهره‌برداری از یک آسیب‌پذیری شناخته‌شده و مهم با شناسه CVE-2024-40766 صورت می‌گیرد. این آسیب‌پذیری مربوط به یک نقص در کنترل دسترسی SSL VPN است که می‌تواند دسترسی‌های غیرمجاز را برای مهاجمان ممکن سازد.

SonicWall یک آسیب‌پذیری در سیستم‌عامل SonicOS را در اواخر آگوست ۲۰۲۴ اصلاح کرده است. اما حدود یک هفته پس از انتشار این به‌روزرسانی، SonicWall اعلام کرده که مهاجمان سایبری هنوز به طور فعال از این آسیب‌پذیری برای نفوذ به سیستم‌ها استفاده می‌کنند.

پژوهشگران امنیتی شرکت Arctic Wolf متوجه شده‌اند که برخی از افراد یا گروه‌هایی که با باج‌افزار Akira در ارتباط هستند، از این آسیب‌پذیری برای نفوذ اولیه به شبکه‌های قربانیان خود بهره‌برداری می‌کنند.

طبق گزارش جدید شرکت امنیتی Arctic Wolf، عملیات‌های باج‌افزاری Akira و Fog تاکنون حداقل ۳۰ مورد نفوذ به شبکه‌های مختلف را انجام داده‌اند. همه‌ی این نفوذها از طریق دسترسی از راه دور به شبکه‌ها با استفاده از حساب‌های SonicWall VPN (که برای اتصال امن استفاده می‌شود) آغاز شده‌اند.

از مجموع ۳۰ مورد نفوذ گزارش‌شده، ۷۵ درصد از آنها به عملیات باج‌افزار Akira مرتبط هستند، در حالی که باقی موارد (۲۵ درصد) به عملیات باج‌افزار Fog نسبت داده شده‌اند.

گروه‌های تهدید Akira و Fog از زیرساخت‌های مشابهی برای انجام حملات خود استفاده می‌کنند. این موضوع نشان می‌دهد که این دو گروه به همکاری غیررسمی خود ادامه می‌دهند، و شرکت امنیتی Sophos پیشتر این همکاری را در مستندات خود ثبت کرده است.

اگرچه پژوهشگران ۱۰۰ درصد مطمئن نیستند که این نقص در همه موارد مورد استفاده قرار گرفته باشد، اما تمام نقاط انتهایی که نفوذ به آن‌ها صورت گرفته بود، در برابر این نقص آسیب‌پذیر بوده و نسخه‌ای قدیمی و به‌روزرسانی‌نشده را اجرا می‌کردند.

پس از نفوذ مهاجمان به شبکه‌ها، معمولاً زمان کمی طول می‌کشید تا داده‌ها را رمزگذاری کنند. این زمان در اکثر موارد حدود ده ساعت بوده است، اما در برخی از موارد بسیار سریع، مهاجمان توانسته‌اند داده‌ها را تنها در ۱.۵ تا ۲ ساعت رمزگذاری کنند.

مهاجمان سایبری در بسیاری از این حملات از شبکه‌های خصوصی مجازی (VPN) یا سرورهای خصوصی مجازی (VPS) برای دسترسی به دستگاه‌های هدف استفاده کرده‌اند. با این روش، آن‌ها توانسته‌اند آدرس‌های IP واقعی خود را مخفی کنند تا مکان یا هویت واقعی‌شان شناسایی نشود.

شرکت Arctic Wolf متوجه شده است که سازمان‌هایی که مورد حمله قرار گرفته‌اند، علاوه بر استفاده از دستگاه‌هایی که وصله‌های امنیتی بر روی آن‌ها نصب نشده بود، از احراز هویت چندعاملی برای حساب‌های SSL VPN خود استفاده نکرده‌اند. همچنین، این سازمان‌ها خدمات خود را بر روی پورت پیش‌فرض ۴۴۳۳ اجرا می‌کردند، که ممکن است به دلیل عدم تغییر پورت پیش‌فرض، به آسیب‌پذیری آن‌ها افزوده باشد.

در مواردی که لاگ‌های دیوار آتش (Firewall logs) جمع‌آوری شده‌اند، شرکت Arctic Wolf به دو شناسه رویداد مشخص اشاره می‌کند. شناسه رویداد ۲۳۸ مربوط به مجاز بودن ورود کاربر از منطقه WAN و شناسه رویداد ۱۰۸۰ مربوط به مجاز بودن ورود کاربر از منطقه SSL VPN است. این شناسه‌ها می‌توانند نشان‌دهنده‌ی فعالیت‌های مشکوک یا ورود غیرمجاز به شبکه‌ها باشند.

بعد از مشاهده یکی از پیام‌های مربوط به ورود، چندین پیام لاگ از نوع INFO برای SSL VPN با شناسه رویداد ۱۰۷۹ ثبت شده است. این پیام‌ها نشان‌دهنده این هستند که فرآیند ورود کاربر و تخصیص آدرس IP به او به طور موفقیت‌آمیز انجام شده است، که می‌تواند به فعالیت‌های مشکوک یا ورود غیرمجاز اشاره کند.

در مراحل بعد از نفوذ، مهاجمان سایبری به سرعت اقدام به رمزگذاری داده‌ها کرده‌اند و تمرکز اصلی آن‌ها بر روی ماشین‌های مجازی و پشتیبان‌های این ماشین‌ها بوده است. این نوع حملات معمولاً به منظور قفل کردن داده‌ها و اخاذی از قربانیان انجام می‌شود.

در جریان سرقت اطلاعات از سیستم‌های آسیب‌دیده، مهاجمان داده‌هایی مانند مدارک و نرم‌افزارهای خاص را هدف قرار داده‌اند. با این حال، آن‌ها به فایل‌هایی که بیش از شش ماه از تاریخ ایجاد یا ویرایش آن‌ها گذشته بود، توجهی نکرده و همچنین فایل‌های حساس‌تر را که بیش از ۳۰ ماه از تاریخ آن‌ها گذشته بود، نادیده گرفته‌اند. این رفتار ممکن است نشان‌دهنده استراتژی خاصی در انتخاب داده‌ها برای سرقت باشد.

باج‌افزار Fog در ماه مه ۲۰۲۴ به کار خود آغاز کرده و به سرعت در حال رشد است. وابستگان یا اعضای این عملیات به طور معمول از نام‌کاربری و رمز عبورهای compromised (مخرب یا دزدیده شده) مربوط به VPNها برای نفوذ اولیه به سیستم‌ها و شبکه‌های هدف استفاده می‌کنند.

گروه باج‌افزاری Akira که در مقایسه با سایر گروه‌ها سابقه و شناخته‌شدگی بیشتری دارد، اخیراً با مشکلاتی در دسترسی به وب‌سایت‌های خود در شبکه Tor مواجه شده است. اما به نظر می‌رسد که این مشکلات به تدریج در حال حل شدن و بازگشت به حالت عادی هستند.

نوشته های مرتبط

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

آخرین مطالب