محققان افزایش نگران کننده ای را در حملات فرصت طلبانه سایبری شناسایی کرده اند که از یک #آسیب پذیری مهم RCE (CVE-2022-47966) که 24 محصول Zoho ManageEngine را تحت تاثیر قرار می دهد، سوء استفاده می کند.

چندین عامل تهدید مشاهده شده ‌اند که از 20 ژانویه 2023 به‌ طور فرصت‌ طلبانه یک آسیب‌ پذیری امنیتی حیاتی وصله ‌شده را که چندین محصول Zoho ManageEngine را تحت تأثیر قرار می ‌دهند، مسلح می‌ کنند.

نقص اجرای کد از راه دور که به‌عنوان CVE-2022-47966 ردیابی می‌شود ( امتیاز ( CVSS: 9.8 ، امکان تسخیر کامل سیستم‌های حساس توسط مهاجمان غیرقانونی را فراهم می‌کند.

24 محصول مختلف از جمله Access Manager Plus، ADManager Plus، ADSelfService Plus، Password Manager Pro، Remote Access Plus و Remote Monitoring and Management (RMM) تحت تاثیر این مشکل قرار دارند.

Martin Zugec  از Bitdefender در مشاوره فنی به اشتراک گذاشته شده با The Hacker News گفت : این نقص به دلیل استفاده از outdated third-party dependency برای اعتبارسنجی امضای  XML signature وApache Santuario امکان اجرای کد از راه دور غیرقابل تأیید را می دهد.

به گفته شرکت امنیت سایبری رومانیایی ، گفته می ‌شود که تلاش‌ های بهره ‌برداری از یک روز پس از انتشار proof-of-concept (PoC) شرکت آزمایش نفوذ Horizon3.ai در ماه گذشته آغاز شده است.

اکثر قربانیان حمله در استرالیا، کانادا، ایتالیا، مکزیک، هلند، نیجریه، اوکراین، بریتانیا و ایالات متحده هستند.

هدف اصلی حملات شناسایی شده تا به امروز حول نصب و گسترش نرم افزارهایی بر روی میزبان های آسیب پذیر مانند Netcat و Cobalt Strike Beacon  می چرخد.

برخی از نفوذها از دسترسی اولیه برای نصب نرم‌ افزار AnyDesk برای دسترسی از راه دور استفاده کرده اند ، در حالی که برخی دیگر سعی کرده‌ اند نسخه‌ ای از یک نوع باج ‌افزار به نام Buhti را نصب کنند .

بیشتر بخوانید

محققان می‌گویند هکر‌ها می‌توانند ابزار اتوماسیون ویندوز ۱۱ را به راحتی هک کرده و از طریق باج‌افزار از کاربران سوءاستفاده کنند.

در چند سال گذشته، خودکار کردن کار‌های روزمره ساده‌تر شده است. با استفاده از نرم‌افزار اتوماسیون، می‌توانید ساعات کاری خود را در صفحه‌گسترده ردیابی کنید یا زمانی که شخصی از شما در ایمیل نام می‌برد، به‌طور خودکار یک مورد از فهرست کار‌ها را ایجاد کنید. ابزار‌ها می‌توانند زندگی شما را آسان‌تر کنند، اما خطراتی را نیز به همراه دارند. ویندوز ۱۱

یک محقق امنیتی راهی برای ربودن ابزار اتوماسیون نرم افزاری مایکروسافت برای ارسال باج افزار به ماشین‌های متصل و سرقت داده‌ها از دستگاه‌ها یافته است.

مایکل بارگوری، موسس و مدیر ارشد فناوری شرکت امنیتی Zenity که پشت این کار است، گفت: این حمله از ابزار اتوماسیون، همان طور که طراحی شده است، استفاده می‌کند؛ اما به جای ارسال اقدامات قانونی، می‌توان از آن برای استقرار بدافزار استفاده کرد.

بارگوری گفت: تحقیق من نشان داد که شما به‌عنوان یک مهاجم می‌توانید به راحتی از تمام این زیرساخت‌ها استفاده کنید تا دقیقا همان کاری را که قرار است انجام دهد، انجام دهید. شما از آن برای اجرای محموله‌های خود به جای محموله‌های سازمانی استفاده می‌کنید.

این حمله مبتنی بر Power Automate مایکروسافت است. یک ابزار اتوماسیون که در ویندوز ۱۱ تعبیه شده است. Power Automate از نوعی اتوماسیون فرآیند روباتیک استفاده می‌کند که به عنوان RPA نیز شناخته می‌شود که در آن رایانه از اقدامات انسان برای تکمیل وظایف تقلید می‌کند. اگر می‌خواهید هر بار که فید RSS به‌روزرسانی می‌شود، یک اعلان دریافت کنید، می‌توانید یک فرآیند RPA سفارشی برای تحقق آن ایجاد کنید. هزاران مورد از این اتوماسیون‌ها وجود دارد و نرم افزار مایکروسافت می‌تواند Outlook، Teams، Dropbox و سایر برنامه‌ها را به هم مرتبط کند.
این نرم‌افزار بخشی از یک جنبش گسترده‌تر کم‌کد/بدون کد است که هدف آن ایجاد ابزار‌هایی است که افراد می‌توانند از آن برای ایجاد مواردی بدون داشتن دانش کدنویسی استفاده کنند.

تحقیقات بارگوری از موقعیتی شروع می‌شود که در آن یک هکر قبلا به رایانه شخصی دسترسی پیدا کرده است؛ چه از طریق فیشینگ و چه از طریق یک تهدید داخلی.

هنگامی که یک مهاجم به رایانه دسترسی پیدا می‌کند، باید چند مرحله اضافی را برای سوء استفاده از تنظیمات RPA انجام دهد؛ اما این‌ها نسبتا ساده هستند.

بارگوری که کل فرآیند را Power Pwn نامیده و در حال مستندسازی آن در GitHub است، گفت: این جا هک زیاد نیست. یک مهاجم ابتدا باید یک حساب ابری مایکروسافت که به عنوان مستاجر شناخته می‌شود، راه‌اندازی کرده و آن را طوری تنظیم کند که کنترل‌های مدیریتی بر روی ماشین‌هایی که به او اختصاص داده می‌شود، داشته باشد. این اساسا به حساب مخرب اجازه می‌دهد تا فرآیند‌های RPA را در دستگاه کاربر نهایی اجرا کند. در دستگاهی که قبلا در معرض خطر قرار گرفته بود، اکنون تنها کاری که یک هکر باید انجام دهد این است که آن را به حساب مدیریت جدید اختصاص دهد، این کار با استفاده از یک خط فرمان ساده به نام ثبت نام خاموش انجام می‌شود.

بارگوری گفت: هنگامی که این کار را انجام دادید، یک URL دریافت خواهید کرد که به شما به عنوان یک مهاجم امکان ارسال محموله‌ها را به دستگاه می‌دهد. قبل از سخنرانی خود در DefCon، او چندین نسخه نمایشی ایجاد کرد که نشان می‌داد چگونه می‌توان از Power Automate برای خروج باج‌افزار به ماشین‌های آسیب‌دیده استفاده کرد. دمو‌های دیگر نشان می‌دهند که چگونه یک مهاجم می‌تواند توکن‌های احراز هویت را از یک ماشین بدزدد.

او گفت: شما می‌توانید از طریق این تونل قابل اعتماد، داده‌ها را خارج از شبکه‌های شرکتی استخراج کنید، می‌توانید کی لاگر بسازید یا اطلاعات را از کلیپ بورد گرفته و مرورگر را کنترل کنید.

سخنگوی مایکروسافت پتانسیل این حمله را کم اهمیت جلوه داد و اشاره کرد که قبل از استفاده از یک حساب، مهاجم باید به آن دسترسی داشته باشد. هیچ مکانیزمی وجود ندارد که به وسیله آن یک دستگاه کاملا به روز شده با محافظت‌های آنتی ویروس از راه دور با استفاده از این تکنیک به خطر بیفتد. این تکنیک بر یک سناریوی فرضی متکی است که در آن یک سیستم از قبل در معرض خطر یا مستعد به خطر افتادن با استفاده از تکنیک‌های موجود مانند مهندسی اجتماعی هم برای حمله اولیه و هم برای هر حمله بعدی شبکه است.

به گفته بارگوری شناسایی این نوع حمله ممکن است سخت باشد؛ زیرا از سیستم‌ها و فرآیند‌های رسمی در سراسر آن استفاده می‌کند. وقتی به معماری فکر می‌کنید، این یک ابزار اجرای کد از راه دور است که توسط مایکروسافت ساخته شده و در تمام طول مسیر توسط مایکروسافت امضا شده است.

بارگوری گفت که قبل از سخنرانی او در DefCon، تیم مایکروسافت با او تماس گرفته و اشاره کرده اند که مدیران شبکه‌های تجاری می‌توانند با «افزودن یک ورودی رجیستری» به دستگاه‌های خود دسترسی به ابزار‌های Power Automate را محدود کنند. این فرآیند کنترل‌هایی را بر روی انواع حساب‌هایی که می‌توانند به Power Automate وارد شوند، اعمال می‌کند؛ بنابراین احتمال سوء استفاده از سیستم را کاهش می‌دهد.

با این حال بارگوری گفت: برای موفقیت‌آمیز بودن، این حرکت به تیم‌های امنیتی متکی است که سیاست‌های منسجم و روشنی را در سراسر سازمان‌های خود داشته باشند که همیشه این طور نیست.

در حالی که محبوبیت ابزار‌های RPA در حال افزایش است، قبلا حملاتی در دنیای واقعی برای سوء استفاده از پلتفرم‌ها طراحی شده‌اند. در اوایل سال ۲۰۲۰، تیم امنیتی مایکروسافت شش گروه هکر از جمله یک APT چینی را در شبکه یک شرکت پیدا کرد. یکی از گروه‌های هکر از سیستم‌های خودکار برای حذف داده‌ها استفاده کرد.

مایکروسافت در گزارش حادثه نوشت: “در اقدامی غیر معمول، مهاجم از سیستم‌های موجود مشتری، از جمله eDiscovery، ویژگی Compliance Search و Microsoft Flow برای سرقت خودکار نتایج جست و جوی خود استفاده کرد.”

بیشتر بخوانید
Diverse computer hacking shoot

مرکز مدیریت راهبردی افتا با توجه به بهره‌جویی باج‌افزار DeadBolt از ضعف امنیتی در Photo Station، از همه راهبران امنیتی سازمان‌های دارای زیرساخت حیاتی خواست تا تجهیزات QNAP خود را آپدیت کنند.

به گزارش کارگروه امنیت بهپارت به نقل از مرکز مدیریت راهبردی افتا، گردانندگان باج‌افزار DeadBolt این بار از یک آسیب‌پذیری در Photo Station برای رمزگذاری دستگاه‌های ذخیره‌سازی متصل به اینترنت ساخت شرکت QNAP، سوءاستفاده می‌کنند.

با توجه به هشدار شرکت کیونپ، کارشناسان امنیتی مرکز افتا از سازمان‌های دارای تجهیزات QNAP خواسته‌اند دستگاه‌ها و تجهیزات ذخیره‌ساز معروف به NAS را به‌طور مستقیم به اینترنت متصل نکنند و همچنین از قابلیت myQNAPcloud Link ارائه شده توسط QNAP استفاده کرده یا سرویس VPN را فعال کنند.

شرکت کیونپ به کاربران خود توصیه اکید کرده است Photo Station تجهیزات خود را به آخرین نسخه‌های غیرآسیب‌پذیر، به‌روز کنند و یا از محصول QuMagie به‌عنوان جایگزینی قدرتمند به‌جای Photo Station برای مدیریت ذخیره‌سازی تصاویر در تجهیزات NAS ساخت این شرکت استفاده کنند.

مهاجمان باج‌افزار DeadBolt دی ۱۴۰۰ نیز با بهره‌جویی از یک آسیب‌پذیری روز صفر دستگاه‌های NAS را در سرتاسر جهان هدف قرار دادند و اطلاعات این سیستم‌ها را رمزگذاری کردند.

در این حملات مهاجمان، پس از رمزگذاری تجهیزات NAS، در اطلاعیه باج‌گیری، خواستار پرداخت ۰.۰۳ باج بیت‌کوین (تقریباً ۱۲۷۷ دلار) به‌ازای یک کلید رمزگشایی برای بازیابی فایل‌ها شدند.

مهاجمان سایبری، کلید رمزگشایی اصلی را به قیمت ۵۰ بیت‌کوین عرضه می‌کنند که می‌تواند به همه قربانیان این باج‌افزار اجازه رمزگشایی فایل‌ها را بدهد.

بنا به گفته کارشناسان مرکز افتا، شرکت کیونپ، از دوازدهم شهریور در واکنش به موج جدیدی از حملات باج‌افزار DeadBolt در توصیه‌نامه‌ای به راهبران امنیتی توصیه کرده است علاوه بر به‌روزرسانی تجهیزات خود، به‌صورت جدی از رمزهای عبور قوی در تمام حساب‌های کاربری NAS استفاده و از اطلاعات و داده‌های خود به‌صورت منظم نسخه‌های پشتیبان تهیه کنند.

شرکت کیونپ ضمن انتشار هشداری، از مشتریان توصیه کرده است که دستگاه‌ها و تجهیزات NAS را مستقیماً به اینترنت متصل نکنند؛ همچنین از قابلیت myQNAPcloud Link ارائه شده توسط QNAP استفاده کرده یا سرویس VPN را فعال کنند.
به مشتریان شرکت کیونپ توصیه اکید شده است که Photo Station را به آخرین نسخه‌های غیر آسیب‌پذیر زیر، به‌روز کنند:

QTS 5.0.1: Photo Station 6.1.2 +
QTS 5.0.0/4.5.x: Photo Station 6.0.22 +
QTS 4.3.6: Photo Station 5.7.18 +
QTS 4.3.3: Photo Station 5.4.15 +
QTS 4.2.6: Photo Station 5.2.14 +

کیونپ به کاربران پیشنهاد می‌کند که از محصول QuMagie به‌عنوان جایگزینی قدرتمند به‌جای Photo Station برای مدیریت ذخیره‌سازی تصاویر در تجهیزات NAS ساخت این شرکت استفاده کنند.
مهاجمان باج‌افزار DeadBolt در دی 1400 نیز با بهره‌جویی از یک آسیب‌پذیری روز صفر دستگاه‌های NAS را در سرتاسر جهان هدف قرار دادند‌ و اطلاعات این سیستم‌ها را رمزگذاری کردند.
در این حملات مهاجمان باج‌افزاری،  پس از رمزگذاری تجهیزات NAS، پسوند .deadbolt را به نام فایل‌ها اضافه کرده و پیام رمزگذاری فایل‌ها توسط باج‌افزار DeadBolt را به‌صورت زیر در صفحه ورود دستگاه‌های NAS به کاربران نمایش می‌دهند:

“WARNING: Your files have been locked by DeadBolt”

بیشتر بخوانید
error: شما اجازه کپی کردن ندارید !!