آژانس امنیت سایبری و زیرساختهای ایالات متحده (CISA) اعلام کرده است که گروههای باجافزاری با سوءاستفاده از نمونههای پچنشده نرمافزار SimpleHelp Remote Monitoring and Management (RMM)، مشتریان یک ارائهدهنده نرمافزار صورتحساب خدمات عمومی را هدف قرار دادهاند.
جزئیات حملات SimpleHelp
CISA گزارش داده است که این حادثه بخشی از الگوی گستردهتر حملات باجافزاری است که از ژانویه ۲۰۲۵ سازمانها را از طریق نسخههای پچنشده SimpleHelp RMM مورد حمله قرار دادهاند.
اوایل سال جاری، SimpleHelp مجموعهای از نقصهای امنیتی (CVE-2024-57727، CVE-2024-57728 و CVE-2024-57726) را افشا کرد که میتوانند منجر به افشای اطلاعات، افزایش سطح دسترسی و اجرای کد از راه دور شوند. این آسیبپذیریها بارها در حملات واقعی، از جمله توسط گروه باجافزاری DragonForce، مورد سوءاستفاده قرار گرفتهاند. ماه گذشته، شرکت Sophos گزارش داد که یک ارائهدهنده خدمات مدیریتشده (MSP) با استفاده از این نقصها در SimpleHelp مورد نفوذ قرار گرفته و سپس برای دسترسی به مشتریان مصرفکننده هدف استفاده شده است.
CISA اعلام کرده است که نسخههای ۵.۵.۷ و قدیمیتر SimpleHelp دارای چندین آسیبپذیری، از جمله CVE-2024-57727، هستند و گروههای باجافزاری از آنها برای دسترسی به نسخههای پچنشده مشتریان مصرفکننده و انجام حملات اخاذی دوگانه سوءاستفاده میکنند.
راهکارهای دفاعی
CISA راهکارهای زیر را برای سازمانها، از جمله ارائهدهندگان خدمات شخص ثالث که از SimpleHelp برای اتصال به مشتریان استفاده میکنند، پیشنهاد کرده است:
- شناسایی و ایزوله کردن نمونههای سرور SimpleHelp از اینترنت و بهروزرسانی آنها به آخرین نسخه.
- اطلاعرسانی به مشتریان و هدایت آنها برای ایمنسازی اندپوینتهای خود.
- انجام اقدامات شکار تهدید برای شناسایی نشانههای نفوذ و نظارت بر ترافیک ورودی و خروجی غیرعادی از سرور SimpleHelp (برای مصرفکنندگان).
- قطع ارتباط سیستمهای رمزگذاریشده توسط باجافزار از اینترنت، نصب مجدد سیستمعامل و بازیابی دادهها از نسخه بکاپ تمیز.
- نگهداری دورهای نسخههای بکاپ تمیز و آفلاین.
- اجتناب از قرار دادن خدمات راه دور مانند پروتکل دسکتاپ راه دور (RDP) در معرض وب.
CISA تأکید کرده است که پرداخت باج به مهاجمان توصیه نمیشود؛ زیرا هیچ تضمینی برای دریافت ابزار رمزگشایی وجود ندارد. همچنین، پرداخت باج ممکن است مهاجمان را به هدف قرار دادن سازمانهای بیشتر، تشویق دیگر مجرمان به توزیع باجافزار، یا تأمین مالی فعالیتهای غیرقانونی ترغیب کند.
حملات باجافزار Fog با استفاده از نرمافزار نظارت بر کارکنان
همزمان، شرکت Symantec (متعلق به Broadcom) جزئیاتی از حمله باجافزاری Fog به یک مؤسسه مالی در آسیا منتشر کرده است که از ترکیبی از ابزارهای دومنظوره و متنباز تست نفوذ، که در حملات باجافزاری دیگر دیده نشدهاند، استفاده کرده است.
باجافزار Fog، که از می ۲۰۲۴ شناسایی شده، از اطلاعات کاربری شبکه خصوصی مجازی (VPN) بهدستآمده و آسیبپذیریهای سیستمی برای دسترسی به شبکه سازمانها و رمزگذاری دادهها پس از سرقت آنها بهره میبرد. زنجیرههای آلودگی جایگزین از فایلهای میانبر ویندوزی (LNK) در آرشیوهای ZIP استفاده میکنند که از طریق ایمیل و حملات فیشینگ توزیع میشوند. اجرای فایل LNK منجر به دانلود اسکریپت PowerShell میشود که لودر باجافزار Fog را مستقر میکند.
این حملات با تکنیکهای پیشرفتهای برای افزایش سطح دسترسی و فرار از شناسایی، مانند اجرای کد مخرب مستقیما در حافظه و غیرفعال کردن ابزارهای امنیتی، مشخص میشوند. Fog قادر به هدف قرار دادن دستگاههای ویندوزی و لینوکسی است. طبق گزارش Trend Micro، تا آوریل ۲۰۲۵، گروه Fog ادعا کرده است که ۱۰۰ قربانی در سایت افشای دادههای خود داشتهاند، که اکثرا در بخشهای فناوری، آموزش، تولید و حملونقل فعال بودهاند.
پژوهشگران Symantec گزارش دادهاند که مهاجمان از نرمافزار نظارت بر کارکنان Syteca (پیش تر Ekran)، که استفادهای غیرمعمول در حملات باجافزاری است، و ابزارهای تست نفوذ متنباز مانند GC2، Adaptix و Stowaway استفاده کردهاند. ابزار Stowaway، که بهطور گسترده توسط گروههای هکری چینی استفاده میشود، برای استقرار Syteca به کار رفته است. همچنین، برنامههای قانونی مانند 7-Zip، Freefilesync و MegaSync برای ایجاد آرشیوهای فشرده دادهها جهت سرقت استفاده شدهاند.
نکته قابلتوجه این حملات، ایجاد یک سرویس توسط مهاجمان برای حفظ دسترسی به شبکه چند روز پس از استقرار باجافزار است. مهاجمان حدود دو هفته قبل از رمزگذاری در شبکه حضور داشتهاند. پژوهشگران Symantec و Carbon Black اعلام کردهاند که این رفتار غیرمعمول، که معمولا پس از سرقت دادهها و رمزگذاری فعالیت مخرب متوقف میشود، ممکن است نشاندهنده اهداف جاسوسی یا تلاش برای کسب درآمد سریع از طریق باجافزار باشد.
افشای پنل LockBit و هدفگیری چین
همزمان، افشای پنل مدیریتی باجافزار بهعنوان سرویس (RaaS) LockBit نشان داده است که این گروه در شش ماه گذشته ۱۵۶ قربانی داشته و حدود ۲.۳ میلیون دلار درآمد کسب کرده است، که نشاندهنده ادامه فعالیت این گروه علیرغم مشکلات متعدد است.
تحلیل شرکت Trellix درباره هدفگیری جغرافیایی LockBit از دسامبر ۲۰۲۴ تا آوریل ۲۰۲۵، بر اساس افشای پنل مدیریتی در می ۲۰۲۵، نشان داده است که چین یکی از کشورهای اصلی مورد هدف همکاران Iofikdis، PiotrBond و JamesCraig بوده است. دیگر اهداف برجسته شامل تایوان، برزیل و ترکیه هستند.
پژوهشگر امنیتی Trellix اظهار کرده است که تمرکز حملات در چین احتمالا به دلیل پایگاه صنعتی و تولیدی بزرگ این کشور است. برخلاف گروههای Black Basta و Conti که گاهی اهداف چینی را بدون رمزگذاری بررسی میکنند، LockBit مایل به فعالیت در مرزهای چین و نادیده گرفتن پیامدهای سیاسی بالقوه است، که رویکرد متفاوتی را نشان میدهد.
این پنل امکان تولید نسخههای باجافزاری LockBit Black 4.0 و LockBit Green 4.0 برای سیستمهای ویندوزی، لینوکسی، و ESXi را فراهم میکند و دسترسی به گفتوگوهای مذاکره با قربانیان را میدهد. LockBit 4.0 در ۱۹ دسامبر ۲۰۲۴ توسط توسعهدهندگان اصلی منتشر شد.
افشای پنل همکار باعث شده است که LockBit جایزهای برای اطلاعات قابلتأیید درباره هویت «xoxo from Prague»، که مسئولیت این افشا را بر عهده گرفته، اعلام کند. همچنین، LockBit از توقف ناگهانی RansomHub در اواخر مارس ۲۰۲۵ سود برده است، که باعث شده برخی همکاران آن، از جمله BaleyBeach و GuillaumeAtkinson، به LockBit بپیوندند و فعالیتهای خود را در حالی که نسخه بعدی باجافزار، LockBit 5.0، در حال توسعه است، از سر بگیرند.
پژوهشگر امنیتی Trellix اظهار کرده است که این افشا واقعیت پیچیده و کمتر فریبنده فعالیتهای غیرقانونی باجافزاری را نشان میدهد. اگرچه سودآور است، اما از عملیات کاملا هماهنگ و بسیار پرسودی که گروه میخواهد جهان باور کند، فاصله دارد.
