محققان امنیت سایبری نوع جدیدی از باجافزار به نام CACTUS را روشن کردهاند که از نقصهای شناخته شده در دستگاههای VPN برای دستیابی به دسترسی اولیه به شبکههای هدف استفاده میکند.
کرول در گزارشی گفت: «هنگامی که وارد شبکه میشوند، بازیگران CACTUS قبل از ایجاد حسابهای کاربری جدید و استفاده از اسکریپتهای سفارشی برای خودکارسازی استقرار و انفجار رمزگذار باجافزار از طریق وظایف برنامهریزیشده، سعی میکنند حسابهای کاربری محلی و شبکه را علاوه بر نقاط پایانی قابل دسترسی، شمارش کنند. به اشتراک گذاشته شده با The Hacker News.
مشاهده شده است که این باج افزار از مارس ۲۰۲۳، نهادهای تجاری بزرگ را هدف قرار می دهد، با حملاتی که از تاکتیک های اخاذی مضاعف برای سرقت داده های حساس قبل از رمزگذاری استفاده می کنند. هیچ سایت نشت داده تا به امروز شناسایی نشده است.
پس از بهره برداری موفقیت آمیز از دستگاه های آسیب پذیر VPN، یک درب پشتی SSH برای حفظ دسترسی دائمی راه اندازی می شود و یک سری از دستورات PowerShell برای انجام اسکن شبکه و شناسایی فهرست ی از ماشین ها برای رمزگذاری اجرا می شود.
حملات CACTUS همچنین از Cobalt Strike و یک ابزار تونل زنی به نام Chisel برای فرمان و کنترل، در کنار نرم افزار نظارت و مدیریت از راه دور (RMM) مانند AnyDesk برای ارسال فایل ها به میزبان های آلوده استفاده می کنند.
همچنین اقداماتی برای غیرفعال کردن و حذف راهحلهای امنیتی و همچنین استخراج اعتبار از مرورگرهای وب و سرویس زیرسیستم مرجع امنیت محلی (LSASS) برای افزایش امتیازات انجام شده است.
افزایش امتیاز با جابهجایی جانبی، استخراج دادهها و استقرار باجافزار انجام میشود که آخرین مورد با استفاده از یک اسکریپت PowerShell که توسط Black Basta نیز استفاده شده است، به دست میآید.
یکی از جنبههای جدید CACTUS استفاده از یک اسکریپت دستهای برای استخراج باجافزار باینری با ۷-Zip، و به دنبال آن حذف آرشیو .۷z قبل از اجرای بارگذاری است.
Laurie Iacono، معاون مدیر عامل ریسک سایبری در Kroll، به The Hacker News گفت: «CACTUS اساساً خودش را رمزگذاری میکند و تشخیص آن را سختتر میکند و به آن کمک میکند تا از ابزارهای ضدویروس و نظارت بر شبکه فرار کند».
این باجافزار جدید تحت نام CACTUS از یک آسیبپذیری در یک ابزار محبوب VPN استفاده میکند و نشان میدهد که عوامل تهدید همچنان خدمات دسترسی از راه دور و آسیبپذیریهای اصلاح نشده را برای دسترسی اولیه هدف قرار میدهند.
این توسعه چند روز پس از آن صورت می گیرد که Trend Micro نوع دیگری از باج افزار معروف به Rapture را افشا کرد که شباهت هایی به خانواده های دیگر مانند Paradise دارد.
این شرکت گفت: "کل زنجیره عفونت حداکثر سه تا پنج روز طول می کشد."، با شناسایی اولیه و به دنبال آن استقرار Cobalt Strike، که سپس برای حذف باج افزار مبتنی بر دات نت استفاده می شود.
گمان میرود که این نفوذ از طریق وبسایتها و سرورهای آسیبپذیری که در معرض دید عموم قرار دارند، تسهیل میشود، و این امر ضروری است که شرکتها اقداماتی را برای بهروز نگهداشتن سیستمها و اجرای اصل حداقل امتیاز (PoLP) انجام دهند.
Trend Micro گفت: «اگرچه اپراتورهای آن از ابزارها و منابعی استفاده میکنند که به راحتی در دسترس هستند، اما موفق شدهاند از آنها به گونهای استفاده کنند که قابلیتهای Rapture را با ایجاد مخفیتر و سختتر کردن تحلیل آن افزایش دهند.
CACTUS و Rapture جدیدترین موارد اضافه شده به فهرست بلندبالایی از خانوادههای باجافزار جدیدی هستند که در هفتههای اخیر منتشر شدهاند، از جمله Gazprom، BlackBit، UNIZA، Akira و یک نوع باجافزار NoCry به نام Kadavro Vector.
