رامونا پردازش نگار

باج افزار Quantum

Quantum؛ باج‌افزاری سریع و خشن

در یکی از حملات اخیر باج افزار Quantum، مهاجمان در کمتر از 4 ساعت پس از نفوذ اولیه به یک دستگاه، موفق به توزیع رمزگذار در سطح شبکه سازمان شدند. این مدت را می‌توان یکی از کمترین زمان‌های به اصطلاح Time-to-Ransom – به اختصار TTR – دانست.

بر اساس The DFIR Report «روش نفوذ اولیه» (Initial Access) این مهاجمان، ارسال ایمیل «فیشینگ» بوده است. آنها، همچنین از Cobalt Strike و پروتکل RDP برای گسترش دامنه نفوذ و از WMI و PsExec به‌منظور توزیع باج‌افزار Quantum استفاده کردند.

 

ایمیل؛ درگاه ورود مهاجمان

 

همان‌طور که اشاره شد نفوذ اولیه مهاجمان باج افزار Quantum به شبکه قربانی با اجرای یک فیشینگ موفق ایمیلی میسر شده است. ایمیل ارسالی، ناقل یک فایل docs_invoice_173.iso بوده است. فایل ISO نیز خود حاوی دو فایل زیر گزارش شده است:

document.lnk
dar.dll

مهاجمان، ویژگی Hidden فایل dar.dll را فعال کرده بودند تا آن چه که کاربر غیرحرفه‌ای در زمان باز کردن فایل ISO با آن مواجه می‌شود صرفاً document.lnk باشد.

 

تروجان IcedID

 

document.lnk یک میانبر (Shortcut) به dar.dll است و اجرای آن عملاً موجب فراخوانی فرمان زیر می‌شود:

C:\Windows\System32\rundll32.exe dar.dll,DllRegisterServer

dar.dll فایل نصبی بدافزار IcedID است و با اجرای آن راه ورود مهاجمان به دستگاه آلوده باز می‌شود.

IcedID تروجانی است که از طریق فیشینگ منتشر می‌شود و در حملات دو باج‌افزار Conti و REvil نیز نقشی فعال داشته است.

در جریان حمله اخیر، پس از نصب IcedID، رونوشتی از آن با نام Ulfefi32.dll در مسیر %AppData% ایجاد شده بود. سپس به منظور ماندگار ساختن بدافزار بر روی دستگاه یک فرمان از نوع Scheduled Task تعریف شده و هر یک ساعت یک‌بار آن را فراخوانی می‌کند.

 

گسترش دامنه نفوذ و اجرای باج‌افزار

 

Cobalt Strike از جمله ابزارهایی بوده که در حمله باج افزار Quantum به نحوی از آن جهت دستیابی به اطلاعات اصالت‌سنجی استفاده شده است. با در اختیار این اطلاعات و بکارگیری RDP امکان دسترسی مهاجمان به سرورها ممکن شد.

این افراد از فرامین زیر برای استخراج اطلاعات مورد نیاز جهت گسترش دامنه نفوذ بهره بردند:

cmd.exe /c chcp >&2
WMIC /Node:localhost /Namespace:\\root\SecurityCenter2 Path AntiVirusProduct Get * /Format:List
ipconfig /all
systeminfo
net config workstation
nltest /domain_trusts
nltest /domain_trusts /all_trusts
net view /all /domain
net view /all
net group "Domain Admins" /domain

همچنین ابزارهای 7zip و adfind.exe و فایل adfind.bat را در مسیر C:\Windows\Temp کپی کردند تا مطابق با تصویر زیر از آنها استفاده کنند.

مهاجمان با اجرای فرمان زیر، از طریق یکی از سرورهای Domain Controller رونوشتی از باج‌افزار Quantum را در پوشه Temp تمامی سرورها و ایستگاه‌های کاری شبکه کپی کردند:

C:\Windows\system32\cmd.exe /K copy ttsel.exe \\<IP>\c$\windows\temp\

و در نهایت با فراخوانی دو فرمان زیر باج افزار Quantum اجرا و فرایند رمزنگاری فایل‌ها آغاز می‌شود:

psexec.exe \\<IP ADDRESS> -u <DOMAIN>\Administrator -p "<PASSWORD>" -s -d -h -r mstdc -accepteula -nobanner c:\windows\temp\ttsel.exe

wmic /node:"<IP ADDRESS>" /user:"<DOMAIN>\Administrator" /password:"<PASSWORD>" process call create "cmd.exe /c c:\windows\temp\ttsel.exe"

 

درباره باج‌افزار Quantum

 

نخستین نسخه از باج افزار Quantum در تابستان سال قبل شناسایی شد. Quantum در همین مدت کوتاه عملکرد نسبتاً فعالی داشته و اخاذی‌های میلیون دلاری از قربانیان را در کارنامه خود ثبت کرده است.

معمولاً مهاجمان Quantum پیش از رمزگذاری، اقدام به سرقت اطلاعات مهم می‌کنند تا با تهدید افشای آنها، قربانی را برای پرداخت باج بیشتر در فشار قرار دهند. تصویر زیر بلاگ گردانندگان Quantum را در شبکه ناشناس Tor نشان می‌دهد.

سایت باج افزار Quantum

 

کلام پایانی

 

حمله اخیر باج افزار Quantum و رخنه مهاجمان بر اثر اشتباه یکی از کاربران در اجرای پیوست ایمیل ارسالی، یک بار دیگر اهمیت توجه به آگاهی‌بخشی به کارکنان را یادآور می‌شود. ما به شما محصول «آروید» را پیشنهاد می‌کنیم. آروید، با شبیه‌سازی تهدیدات مبتنی بر ایمیل، برگزاری خودکار دوره‌های آموزشی و گزارش‌دهی جامع از میزان آمادگی کارکنان در مقابله با این تهدیدات، راهکاری مطمئن برای ایمن نگاه داشتن کاربران – و در نتیجه سازمان – است.

 

نشانه‌های آلودگی

 

هش SHA-1 فایل‌های مرتبط با باج افزار Quantum که در این مطلب به آنها پرداخته شد به شرح زیر است:

415b27cd03d3d701a202924c26d25410ea0974d7
08a1c43bd1c63bbea864133d2923755aa2f74440
aa25ae2f9dbe514169f4526ef4a61c1feeb1386a
444c704afe4ee33d335bbdfae79b58aba077d10d
445294080bf3f58e9aaa3c9bcf1f346bc9b1eccb
db7d1545c3c7e60235700af672c1d20175b380cd
da2caf36b52d81a0d983407ab143bef8df119b8d
deea45010006c8bde12a800d73475a5824ca2e6f

جزییات بیشتر را می توانید در The DFIR Report مطالعه کنید.

اشتراک در
اطلاع از
0 نظرات
بازخورد (Feedback) های اینلاین
مشاهده همه دیدگاه ها
مطالب اخیر
LockBit؛ فعال‌ترین باج‌افزار جهان از نگاهی نزدیک
فایل‌های فارسی ناقل اکسپلویت Follina
BlackCat؛ نمونه‌ای از خلاقیت بی‌پایان گردانندگان باج‌افزار
ترمیم بیش از ۶۰ آسیب‌پذیری در محصولات مایکروسافت
ESXi؛ این بار هدف باج‌افزار Black Basta
Symbiote؛ پنهانی‌ترین بدافزار تحت Linux
تکنیکی جدید برای انتشار بدافزار
بهره‌جویی گسترده از آسیب‌پذیری Follina
چالش‌های نیروی انسانی متخصص در حوزه امنیت سایبری
راهکاری موقت برای آسیب‌پذیری روز-صفر CVE-2022-30190
ایران؛ اولین کشور از لحاظ کثرت بدافزارهای موبایلی
خرید VMware توسط Broadcom با قیمت ۶۱ میلیارد دلار
آسیب‌پذیری ضدویروس‌ها؛ نگاهی به واکنش‌ها
41 ضعف امنیتی دیگر در فهرست آسیب‌پذیری‌های در حال بهره‌جویی
آلوده‌سازی به کی‌لاگر از طریق فایل PDF
Eternity؛ مجموعه‌ای از بدافزارهای مخرب
هشدار اضطراری در خصوص آسیب‌پذیری‌های اخیر VMware
SQLPS؛ پروسه‌ای معتبر در تسخیر استخراج‌کنندگان رمزارز
رایج‌ترین خطاها از نگاه 8 آژانس امنیتی
HTML؛ در نقش پیوست ایمیل فیشینگ

دانلود

لطفا برای دریافت لینک دانلود اطلاعات خواسته شده را وارد نمایید
0
علاقمندیم که دیدگاه‌های شما را بدانیم! لطفا نظر دهید.x
()
x
اسکرول به بالا