باجافزار Ryuk با هدف قرار دادن سازمانهای بزرگ در سراسر جهان شناخته شده است که اغلب بوسیله بدافزارهای شناخته شدهای مانند Emotet و TrickBot توزیع و منتشر میشود. این باجافزار اولین بار در آگوست سال 2018 کشف شد و از آن زمان به بعد سازمانهای مختلفی را آلوده و میلیونها دلار از قربانیان سرقت کرده است.
تجزیه و تحلیلها نشان میدهد که Ryuk نتیجه توسعه سفارشی یک بدافزار قدیمی به نام Hermes است. اخیرا محققان از ارتباط Ryuk با آسیبپذیری خطرناک Zerologon پرده برداشتند. Zerologon یک آسیبپذیری خطرناک است که با شناسه "CVE-2020-1472" شناخته میشود، این آسیبپذیری به دلیل نقص در فرآیند ورود به سیستم است که به مهاجم اجازه میدهد با استفاده از پروتکل Netlogon یا Netlogon Remote Protocol (MS-NRPC)، اتصال یک کانال آسیبپذیر Netlogon را با یک کنترلکننده دامنه برقرار کند.
بر اساس گزارش DFIR، مهاجمان از طریق بدافزار Bazar Loader به محیط دسترسی نفوذ میکنند. در این حمله جدید، مهاجمان سریعتر به هدف خود میرسند اما تاکتیکها و تکنیکهای کلی با حملات قبلی مشابه است. در این باجافزار، مهاجمان به عنوان یک کاربر عادی با دسترسی محدود شروع به کار کرده و با بهرهبرداری از آسیبپذیری Zerologon به کنترلکننده دامنه اصلی دسترسی پیدا میکنند. اقدامات جانبی به کار گرفته شده از طریق انتقال فایل SMB و اجرای WMI انجام میشوند و هنگامی که به کنترلکننده دامنه ثانویه منتقل میشوند، عاملان تهدید دامنه بیشتری را از طریق Net و ماژول PowerShell Active Directory شناسایی میکنند. مهاجمان با اجرای باجافزار بر روی کنترلکننده دامنه اصلی، هدف خود را به پایان میرسانند. جهت مقابله با این بدافزار، باید اطمینان حاصل شود که وصله منتشر شده مایکروسافت در شبکه اعمال شود.
منبع:
- 40