رامونا پردازش نگار

باج‌افزار Hive؛ کندویی با عسل تلخ

نخستین نسخه از باج‌افزار Hive در اواخر بهار 1400 ظهور کرد. این باج‌افزار فعال و دائماً در حال تکامل دارای نگارش‌های مختلف برای سیستم‌های عامل Windows و Linux و همچنین هایپروایزرهای ESXi است.

در این گزارش، نگاهی انداخته‌ایم به باج‌افزار Hive؛ با ما همراه باشید.

 

اخاذی دوگانه

 

مهاجمان Hive نیز همانند بسیاری از هم‌قطاران صاحب‌نام خود سیاست «اخاذی دوگانه» را در پیش گرفته‌اند. در اخاذی دوگانه، چنانچه سازمان قربانی، باج را در مهلت تعیین شده پرداخت نکند نام آن بر روی وب‌سایت به اصطلاح «نشت داده‌ها» (Data Leak Site) به‌صورت عمومی منتشر می‌شود تا اطلاع همگان از هک شدن سازمان، مسئولان آن را بیش از پیش برای پرداخت مبلغ اخاذی شده تحت فشار قرار دهد. اگر همچنان سازمان قربانی از باج دادن سر باز بزند، اطلاعات سرقت شده بر روی سایت مذکور منتشر یا به حراج گذاشته می‌شود تا به قربانیان بعدی نیز این پیام رسانده شود که اگر از درخواست این تبهکاران سرپیچی کنند عاقبتی مشابه در انتظارشان خواهد بود.

تصویر زیر نمایی از یکی از این اخاذی‌ها را در وب‌سایت HiveLeaks در شبکه Tor نمایش می‌دهد.

 

به‌روزرسانی مستمر

 

یکی از ویژگی‌های این باج‌افزار، به‌روزرسانی مستمر فایل‌های مخرب آن توسط برنامه‌نویسان Hive است. برای مثال، تصویر زیر [منبع]، وضعیت شناسایی یکی از این فایل‌ها را در 24 فروردین 1401 نشان می‌دهد. همان طور که پیداست در تاریخ مذکور هیچ یک از ضدویروس‌های فعال بر روی وب‌سایت VirusTotal قادر به شناسایی آن نبودند.

بررسی مجدد فایل مذکور در 8 روز بعد، یعنی 2 اردیبهشت 1401 نشان می‌دهد بیش از 60 درصد ضدویروس‌ها که نام برخی برندهای مطرح نیز در میان آنهاست کماکان توان شناسایی آن را ندارند. به عبارت دیگر، اعمال هر به‌روزرسانی و تغییر توسط نویسندگان Hive به‌معنای بی‌اثر شدن سازوکار شناسایی این فایل‌ها توسط بسیاری از ضدویروس‌ها برای مدتی نسبتاً طولانی است.

 

فیشینگ

 

ارسال هدفمند ایمیل‌های «فیشینگ» یکی از روش‌های اصلی مهاجمان باج‌افزار Hive برای فراهم کردن دسترسی اولیه به شبکه قربانیان است.

حملات فیشینگ را می‌توان به دو دسته «فله‌ای» (Bulk Phishing) و «نیزه‌ای» (Spear Phishing) تقسیم کرد. در فیشینگ فله‌ای، مهاجم پیام فریبنده خود را از طریق بسترهایی همچون ایمیل یا رسانه‌های اجتماعی به طیف وسیعی از کاربران ارسال می‌کند؛ با این امید که تعدادی از دریافت‌کنندگان به دام او بیفتند. اما در فیشینگ نیزه‌ای، مهاجم به‌صورت هدفمند پیامی را که به‌طور اختصاصی برای فریب کاربری خاص طراحی شده به آن کاربر ارسال می‌کند. آن چه مهاجمان باج افزار Hive بکار می‌گیرند همان فیشینگ نیزه‌ای است.

سهولت و اثربخشی بالای حملات فیشینگ، همچنان عامل تداوم بکارگیری آن توسط مهاجمان سایبری خواهد بود. نصب ضدبدافزار و ضدهرزنامه و اطمینان از به‌روز بودن آنها، پالایش پیوست‌های ایمیل، استفاده از دیواره آتش، نصب به‌موقع اصلاحیه‌های امنیتی و اعمال سیاست‌های جامع و تا حد امکان سخت‌گیرانه در دسترسی کاربران به سایت‌ها و برقراری ارتباطات اینترنتی در کنار آموزش کاربران، از جمله اقدامات اساسی در مقابله با تهدیدات فیشینگ است. همچنین اگر از راهبران و مسئولان امنیت سازمانتان هستید، ما به شما محصول «آروید» را پیشنهاد می‌کنیم. آروید، با شبیه‌سازی تهدیدات مبتنی بر ایمیل، برگزاری خودکار دوره‌های آموزشی و گزارش‌دهی جامع از میزان آمادگی کارکنان در مقابله با این تهدیدات، راهکاری مطمئن برای ایمن نگاه داشتن کاربران – و در نتیجه سازمان – است.

 

بهره‌جویی از ProxyShell

 

سوءاستفاده از ProxyShell یکی از روش‌های مورد استفاده مهاجمان باج‌افزار Hive برای دسترسی اولیه به سازمان هدف است.

ProxyShell عنوان سه آسیب‌پذیری در Microsoft Exchange Server است. مهاجم با سوءاستفاده از زنجیره این آسیب‌پذیری‌ها قادر به عبور از سد سازوکار اصالت‌سنجی سرور و اجرای کد با سطح دسترسی بالا بر روی آن است.

سه آسیب‌پذیری ProxyShell به شرح زیر است:

  • CVE-2021-34473 – ضعفی از نوع «اجرای از راه دور کد» (RCE)
  • CVE-2021-34523 – ضعفی از نوع «ترفیع دسترسی» (Elevation of Privilege)
  • CVE-2021-31207 – ضعفی از نوع «عبور از سد کنترل امنیتی» (Security Feature Bypass)

24 فروردین 1400، مایکروسافت، CVE-2021-34473 و CVE-2021-34523 را در به‌روزرسانی KB5001779 وصله کرد. این شرکت 21 اردیبهشت 1400 نیز CVE-2021-31207 را در به‌روزرسانی KB5003435 ترمیم کرد.

ProxyShell از جمله آسیب‌پذیری‌هایی است که PoC اکسپلویت آن از پیش از عرضه به‌روزرسانی‌های مایکروسافت به‌صورت عمومی بر روی اینترنت قابل دسترس بوده است.

ProxyShell PoC

کم‌توجهی برخی راهبران در اعمال به‌روزرسانی‌های مربوطه موجب شده تا ProxyShell همچنان از آسیب‌پذیری‌های محبوب هکرها و نفوذگران باشد. مهاجمان باج‌افزار Hive نیز بارها از ProxyShell برای رخنه به اهداف خود بهره برده‌اند. در جریان این حملات پس از اکسپلویت ProxyShell، اسکریپت‌های WebShell، با عملکرد «بک‌دور» در یکی از پوشه‌های عمومی سرور Exchange کپی می‌شوند. در ادامه، کدهای مخرب مورد نظر مهاجمان از طریق پروسه معتبر PowerShell با سطح دسترسی SYSTEM اجرا می‌شود.

 

سرورهای Linux و ESXi در فهرست اهداف

 

از پاییز 1400، باج افزار Hive مجهز به یک نسخه تحت Linux و FreeBSD شده است.

نگارشی اختصاصی از Hive نیز قادر به اجرا بر روی سرور VMWare ESXi و رمزگذاری تمامی ماشین‌های مجازی بر روی آن است. ESXi دارای فرامینی است که سوءاستفاده از آنها امکان رمزگذاری همه ماشین‌های میزبانی شده روی هایپروایزر را در مدتی بسیار کوتاه فراهم می‌کند. به تازگی نیز نویسندگان Hive، احتمالاً با الگوبرداری از BlackCat، این نگارش را با زبان برنامه‌نویسی Rust بازکامپایل کرده‌اند. استفاده از نسخ آسیب‌پذیر ESXi، بکارگیری گذرواژه غیرپیچیده و به طور کلی اصالت‌سنجی ضعیف، این هایپروایزر را در معرض تهدیداتی همچون باج‌افزار Hive قرار می‌دهد. مطالعه این راهنمای VMware به تمامی راهبران VMWare ESXi توصیه می‌شود.

 

نفوذ از طریق RDP

 

مواردی گزارش شده که در آنها مهاجمان Hive اقدام به خرید اطلاعات اصالت‌سنجی RDP سازمان قربانی از هکرهای Initial Access Broker – به اختصار IAB – کرده بود. یک IAB با بکارگیری روش‌ها و ابزارهای خود تلاش می‌کند تا به شبکه سازمان‌های مختلف نفوذ کند. اما پس از هک شبکه و ماندگار کردن خود در آن دست به اقدام بیشتری نمی‌زند. بلکه اطلاعات اصالت‌سنجی لازم برای رخنه به شبکه هک‌شده را به مهاجمان دیگر نظیر نویسندگان، گردانندگان و توزیع کنندگان باج‌افزار می‌فروشند. در حقیقت این افراد نقش یک «مرد میانی» را در حملات سایبری ایفا می‌کنند.

رعایت موارد زیر برای مقاوم‌سازی سرورهای RDP توصیه می‌شود:

  • در دسترس مستقیم قرار ندادن سرور RDP بر روی اینترنت
  • استفاده از فایروال
  • تغییر پورت پیش‌فرض
  • محدودسازی دسترسی به کاربرانی خاص
  • عدم استفاده از هر گونه گذرواژه ساده، تکراری یا افشاشده
  • بکارگیری اصالت‌سنجی چندعاملی (Multi-factor Authentication)
  • رصد مستمر ارتباطات مبتنی بر RDP

 

باج‌افزار به‌عنوان سرویس

 

گردانندگان باج‌افزار Hive مجوز استفاده از آن را در قالب Ransomware-as-a-Service یا همان RaaS به سایر مهاجمان می‌فروشند؛ در ازای هر حمله موفق، سهمی از مبلغ اخاذی‌شده به گردانندگان باج‌افزار Hive و باقی آن به مشترک RaaS که اجراکننده حمله بوده تعلق می‌گیرد.

در RaaS، وظیفه رخنه به شبکه قربانی و اجرای باج‌افزار بر عهده و به انتخاب مشتری است. به عبارت دیگر، هر مشتری RaaS می‌تواند از الگو و روشی متفاوت برای هک سازمان مورد نظر خود و اجرای باج‌افزار استفاده کند. بنابراین تکنیک‌های مهاجمان Hive، لزوماً محدود به موارد اشاره شده در این گزارش نیست.

 

کلام پایانی

 

به یاد داشته باشیم که مؤثرترین راهکار در مقابله با تهدیدات مخرب باج‌افزاری، ابتدا آگاهی و در ادامه پیشگیری از ورود آنها به سازمان است.

اشتراک در
اطلاع از
0 نظرات
بازخورد (Feedback) های اینلاین
مشاهده همه دیدگاه ها
مطالب اخیر
LockBit؛ فعال‌ترین باج‌افزار جهان از نگاهی نزدیک
فایل‌های فارسی ناقل اکسپلویت Follina
BlackCat؛ نمونه‌ای از خلاقیت بی‌پایان گردانندگان باج‌افزار
ترمیم بیش از ۶۰ آسیب‌پذیری در محصولات مایکروسافت
ESXi؛ این بار هدف باج‌افزار Black Basta
Symbiote؛ پنهانی‌ترین بدافزار تحت Linux
تکنیکی جدید برای انتشار بدافزار
بهره‌جویی گسترده از آسیب‌پذیری Follina
چالش‌های نیروی انسانی متخصص در حوزه امنیت سایبری
راهکاری موقت برای آسیب‌پذیری روز-صفر CVE-2022-30190
ایران؛ اولین کشور از لحاظ کثرت بدافزارهای موبایلی
خرید VMware توسط Broadcom با قیمت ۶۱ میلیارد دلار
آسیب‌پذیری ضدویروس‌ها؛ نگاهی به واکنش‌ها
41 ضعف امنیتی دیگر در فهرست آسیب‌پذیری‌های در حال بهره‌جویی
آلوده‌سازی به کی‌لاگر از طریق فایل PDF
Eternity؛ مجموعه‌ای از بدافزارهای مخرب
هشدار اضطراری در خصوص آسیب‌پذیری‌های اخیر VMware
SQLPS؛ پروسه‌ای معتبر در تسخیر استخراج‌کنندگان رمزارز
رایج‌ترین خطاها از نگاه 8 آژانس امنیتی
HTML؛ در نقش پیوست ایمیل فیشینگ

دانلود

لطفا برای دریافت لینک دانلود اطلاعات خواسته شده را وارد نمایید
0
علاقمندیم که دیدگاه‌های شما را بدانیم! لطفا نظر دهید.x
()
x
اسکرول به بالا