هکرهایی که در پشت گروه باج افزار BlackByte قرار دارند، اخیرا در یک حمله سایبری از یک نقص امنیتی تازه پچ شده که بر روی هایپروایزرهای VMware ESXi تأثیر میگذارد، سوء استفاده کردهاند. این گروه باج افزاری همچنین از درایورهای آسیب پذیر مختلف برای دور زدن مکانیزمهای امنیتی بهره برده است.
سوء استفاده از درایورهای آسیب پذیر برای دور زدن حفاظتهای امنیتی و به کارگیری یک رمزگذار باج افزارِ خود انتشار (عملکردی مشابه کرم رایانهای) از جمله تاکتیکها، تکنیکها و رویههای (TTP) گروه باج افزار BlackByte (بلک بایت) میباشد.
سوء استفاده از CVE-2024-37085، یک آسیب پذیری بای پس (دور زدن) مکانیزم احراز هویت در VMware ESXi که توسط سایر گروههای باج افزاری نیز مورد استفاده قرار گرفته است، نشانه آن میباشد که گروههای سایبری در حال دور شدن از رویکردهای یکنواخت قبلی خود هستند.
BlackByte اولین بار در نیمه دوم سال 2021 آغاز به کار کرد و ظاهراً یکی از انواع باج افزارهایی است که در ماههای منتهی به منحل شدن باج افزار Conti ظاهر شده است.
این گروه باج افزار به عنوان یک سرویس (RaaS)، سابقه سوء استفاده از آسیب پذیریهای ProxyShell در سرورExchange مایکروسافت برای ایجاد دسترسی اولیه را دارد. این باج افزار از نفوذ به سیستمهایی که از زبانهای روسی و تعدادی از زبانهای اروپای شرقی استفاده میکنند، اجتناب میکند.
BlackByte، رویکرد اخاذی مضاعف را به عنوان بخشی از استراتژی خود به کار میگیرد و از طریق وب سایت خود در دارک نت، فرآیند اخاذی را به انجام میرساند.
انواع مختلفی از این باج افزار که به زبان های C، .NET و Go نوشته شدهاند، تا کنون مشاهده شدهاند. BlackByte غالبا بخشهای زیرساخت حیاتی از جمله مالی، غذا و کشاورزی و تأسیسات دولتی را با انگیزه مالی مورد حمله قرار میدهد.
سیسکو تالوس که حمله اخیر باج افزار BlackByte را مورد بررسی قرار داده است، اذعان داشت که این نفوذ احتمالاً با استفاده از دادههای لاگین معتبر برای دسترسی به VPN سازمان قربانی انجام شده و دسترسی اولیه از طریق یک حمله بروت فورس فراهم شده است.
استفاده از VPN قربانی به منظور ایجاد دسترسی از راه دور مزایایی همچون مخفی ماندن از دید EDR سازمان را به دنبال دارد.
هکرها متعاقباً توانستند سطح دسترسی خود را افزایش دهند و از مجوزهای دسترسی به سرور VMware vCenter سازمان برای ایجاد و افزودن حسابهای جدید به یک گروه اکتیو دایرکتوری به نام ESX Admins استفاده کنند.
به گفته تالوس، این کار با بهرهبرداری از آسیب پذیری CVE-2024-37085 انجام شده است که هکرها را قادر میسازد تا با ایجاد گروهی با همان نام، سطح دسترسی Admin را بر روی Hypervisor (هایپروایزر) نیز به دست آورند.
هکرها از این دسترسی ایجاد شده میتوانند برای کنترل ماشینهای مجازی (VM)، اصلاح پیکربندی سرور میزبان و دسترسی غیرمجاز به لاگهای سیستم و ابزارهای تشخیص و نظارت بر عملکرد سوء استفاده کنند.
حمله اخیر BlackByte، فایلهای قربانی را با پسوند ” blackbytent_h” رمزگذاری میکند و این رمزگذاری نیز به عنوان بخشی از حمله BYOVD اجرا میگردد.
هر چهار درایور شناسایی شده در این حمله از یک قرارداد نامگذاری مشابه پیروی میکنند (هشت کاراکتر الفبایی و عددی تصادفی و به دنبال آن یک زیر خط و سپس یک مقدار عددی افزایشی):
- AM35W2PH (RtCore64.sys)
- AM35W2PH_1 (DBUtil_2_3.sys)
- AM35W2PH_2 (zamguard64.sys)
- AM35W2PH_3 (gdrv.sys)
بخشهای خدمات حرفهای، علمی و فنی بیشترین درایورهای آسیب پذیر را دارند و 15 درصد از کل حملات را به خود اختصاص دادهاند؛ پس از آن بخشهای تولیدی (13 درصد) و خدمات آموزشی (13 درصد) قرار دارند.
سیسکو تالوس همچنین ارزیابی کرده است که باج افزار BlackByte احتمالاً فعالتر از آن چیزی است که نشان میدهد. از این رو، تخمین زده میشود که تنها 20 تا 30 درصد قربانیان به صورت عمومی پست میشوند، اگرچه علت قطعی این اختلاف هنوز نامشخص است.
پیشرفت BlackByte در زبانهای برنامه نویسی از C# به Go و متعاقباً به C/C++ در آخرین نسخه رمزگذار آن (BlackByteNT)، نشان دهنده تلاش عمدی برای افزایش انعطافپذیری بدافزار در برابر تشخیص و تجزیه و تحلیل است.
زبانهای پیچیدهای مانند C/C++ امکان ادغام تکنیکهای پیشرفته آنتی آنالیز و آنتی دیباگ را فراهم میکنند، که در ابزار BlackByte در طول تجزیه و تحلیل دقیق توسط سایر محققان امنیتی مشاهده شده است.
