حمله به سرورهای مایکروسافت SQL برای استقرار باج افزار FreeWorld

حمله به سرورهای مایکروسافت SQL برای استقرار باج افزار FreeWorld

تاریخ ایجاد

حمله به سرورهای مایکروسافت SQL برای استقرار باج افزار FreeWorld 

ax

شکل 1- تصویری از باج افزار FreeWorld

در حال حاضر، عوامل تهدیدی یا هکرها، از سرورهای Microsoft SQL (MS SQL) که امنیت پایین دارند، به منظور ارسال دو نوع بدافزار به نام‌های Cobalt Strike و FreeWorld استفاده می‌کنند. این دو بدافزار به عنوان ابزارهایی برای حملات سایبری و باج‌افزار به‌کار می‌روند.
شرکت امنیتی به نام Securonix این حمله را با نام DB#JAMMER شناخته و آن را از دیگر حملات مشابه به دلیل نحوه استفاده از ابزارها و زیرساخت‌ها متمایز می‌کند.
تحلیل‌گران امنیتی در یک تحلیل فنی از این حمله اظهار می‌کنند که ابزارهایی مانند نرم‌افزارهای شمارش، بارگذاری نرم‌افزار RAT (Remote Access Trojan)، نرم‌افزارهای انتزاع اطلاعات و دزدیدن اطلاعات اعتباری و در نهایت نرم‌افزارهای باج‌افزار از جمله ابزارهای استفاده شده در این حمله هستند.
نکته قابل توجه در اینجا این است که نوع بدافزار باج‌افزار مورد استفاده در این حمله یک نسخه جدیدتر از باج‌افزار Mimic به نام FreeWorld به‌نظر می‌آید.
مراحل این حمله به شرح زیر است:
1. دستیابی به دسترسی اولیه به سیستم هدف با استفاده از حمله brute-force به سرور MS SQL.
2. استفاده از این دسترسی برای شمارش دیتابیس و استفاده از گزینه تنظیم xp_cmdshell به منظور اجرای دستورات شل و انجام عملیات تجسس.
3. مرحله بعدی شامل اقداماتی برای مختل کردن دیواره آتش سیستم و ایجاد تثبیت با اتصال به یک سهمی (SMB) اشتراکی از راه دور به منظور انتقال فایل‌ها به/ از سیستم قربانی و نصب ابزارهای مخرب مانند Cobalt Strike است.
4. این مراحل در نهایت به اجرای نرم‌افزار AnyDesk منجر می‌شود که برای پخش باج‌افزار FreeWorld به‌کار می‌رود. اما قبل از این مرحله، حمله‌کنندگان اقداماتی برای جلوگیری از تشکیل اتصال دائمی RDP از طریق Ngrok نیز انجام می‌دهند.
Ngrok یک سرویس تونلینگ است که به افراد اجازه می‌دهد تا سرویس‌های محلی را به صورت ایمن از طریق اینترنت در دسترس عمومی قرار دهند. این ابزار به‌طور معمول توسط توسعه‌دهندگان و مهندسان سیستم برای تست و دسترسی به سیستم‌ها و خدمات محلی از راه دور استفاده می‌شود.
حالا، ایده "RDP persistence through Ngrok" این است که حمله‌کننده پس از نفوذ به سیستم هدف، از Ngrok به‌عنوان یک ابزار برای ایجاد اتصال دائمی RDP به سیستم استفاده می‌کند. این اتصال RDP از طریق اینترنت ایجاد می‌شود و توسط Ngrok به سیستم متصل می‌شود. این کار به حمله‌کننده اجازه می‌دهد که به‌طور مداوم و بدون اکتشاف از راه دور به سیستم هدف دسترسی داشته باشد و از تثبیت پنهان استفاده کند.
در کل، این روش به حمله‌کننده امکان می‌دهد که دسترسی دائمی به سیستم هدف را ایجاد کرده و از طریق RDP به آن دسترسی پیدا کند، حتی اگر از راه دور و بدون اطلاع کاربران یا مدیران سیستم باشد. این یکی از راه‌هایی است که حمله‌کنندگان برای حفظ دسترسی به سیستم‌ها بعد از نفوذ از آن استفاده می‌کنند.
 تحلیل‌گران به اهمیت رمزهای عبور قوی، به‌ویژه در سرویس‌های عمومی اشاره می‌کنند.
این حمله نخستین بار نیست که سرورهای MS SQL درست امن‌نشده را به عنوان هدف حملات سایبری برای اجرای بدافزارها انتخاب می‌کند. هفته گذشته، AhnLab Security Emergency Response Center (ASEC) جزئیات حمله جدیدی را منتشر کرد که با استفاده از بدافزارهای LoveMiner و projacking روی سرورهای تخریب‌شده طراحی شده‌اند.
این حمله در موازات با ادعای اپراتورهای باج‌افزار Rhysida در مورد داشتن ۴۱ قربانی، از جمله بیش از نیمی از آن‌ها در اروپا، انجام شده است.

Rhysida یک نوع باج‌افزار (Ransomware) است، که یک نوع خاص از نرم‌افزار مخرب بوده و فایل‌های کامپیوتری را رمزگذاری می‌کند که برای بازگشت دسترسی به آن‌ها از قربانیان پول (رمزگشایی) می‌خواهد. Rhysida به‌عنوان یکی از جدیدترین نسخه‌های باج‌افزار در سال ۲۰۲۳ ظاهر شده است.
 

ax


شکل 2- تصویری از باج افزار Rhysida

همچنین این حمله مطابق با انتشار یک ابزار decryptor رایگان برای نوعی باج‌افزار به‌نام Key Group انجام شده است، که از اشتباهات رمزنگاری در برنامه بهره می‌برد. Key Group همانند دیگر باج‌افزارها به منظور به‌دست آوردن پول از قربانیان استفاده می‌شود. بر اساس آماری که Coveware در جولای 2023 به اشتراک گذاشته است، سال 2023 شاهد افزایش بی‌سابقه حملات باج افزار بوده است، حتی با وجود اینکه درصد حوادثی که منجر به پرداخت قربانی شده است به پایین‌ترین سطح خود یعنی 34 درصد کاهش یافته است. از سوی دیگر، میانگین مبلغ باج پرداختی به 740,144 دلار رسیده است که 126 درصد نسبت به سه ماهه اول 2023 افزایش یافته است. نوسانات در نرخ کسب درآمد با عوامل تهدید باج افزار همراه است که باعث توسعه تجارت اخاذی می‌شود، از جمله به اشتراک گذاری جزئیات تکنیک‌های حمله توسط هکرها افزایش یافته است.
 توصیه های امنیتی

  •  به‌روزرسانی نرم‌افزار: اطمینان حاصل کنید که سیستم عامل، نرم‌افزارها و برنامه‌های خود را به‌روز نگه دارید. بسیاری از حملات باج‌افزار از آسیب‌پذیری‌هایی که در نسخه‌های قدیمی نرم‌افزارها وجود دارد، بهره می‌برند.
  •  استفاده از نرم‌افزار امنیتی: نصب یک نرم‌افزار امنیتی و آنتی‌ویروس قوی می‌تواند به شما در شناسایی و پاک‌سازی باج‌افزارها کمک کند.
  • پشتیبان‌گیری منظم: اطلاعات مهم و فایل‌های حساس خود را به‌صورت منظم پشتیبان‌گیری کنید. این کار می‌تواند در صورت رمزگشایی توسط باج‌افزار، از از دست رفتن اطلاعات شما جلوگیری کند.
  • اجتناب از باز کردن فایل‌های پیوست ناشناخته: هرگز فایل‌های پیوست ایمیل یا لینک‌های مشکوک را باز نکنید و به دقت ایمیل‌های ناشناخته را حذف کنید.
  • محدود کردن دسترسی: دسترسی به منابع حساس مانند سرورها و پایگاه‌های داده را محدود کنید. فقط افرادی که به‌طور واقعی نیاز به دسترسی دارند، باید به آنها دسترسی داشته باشند.
  • مانیتورینگ فعال: سیستم‌های مانیتورینگ فعال راهکارهای موثری برای شناسایی حملات باج‌افزاری هستند. آگاهی داشتن از فعالیت‌های عجیب در سیستم‌های خود می‌تواند به شما کمک کند تا به سرعت واکنش مناسبی نسبت به حملات انجام دهید.

منبع خبر