پشتیبانی 24/7 :

031-36691964 | 021-88203003

جستجو

نسخه جدید باج افزار TargetCompany روی VMware ESXi اثر می گذارد.

تیتر مطالب

محققین امنیتی نوع جدیدی از باج افزار TargetCompany مشاهده کرده اند که محیطهای VMware ESXi را با استفاده از اسکریپت های Shell سفارشی هدف قرار داده تا Payloadهای مورد نظر خود را نصب و اجرا کند.
این باج افزار که با نام های Mallox، FARGO و Tohnichi نیز شناخته می شود، از ژوئن 2021 فعالیت خود را با تمرکز بر حملات پایگاه داده ای در سازمانهای کشورهای مختلفی مثل تایوان، کره شمالی، تایلند و هند، آغاز کرد.
در فوریه 2022 کمپانی Avast اعلام کرد یک ابزار رمزگشایی رایگان برای استفاده در برابر انواع مختلف آن باج افزار تا آن زمان، در دسترس است. اما این گروه مجددا در ماه سپتامبر فعالیت های منظم خود را از سر گرفته و سرورهای آسیب پذیر مایکروسافت SQL را هدف قرار داند و قربانیان را به افشای اطلاعات دزدیده شده از طریق تلگرام تهدید می کردند.
نوع جدید لینوکسی این باج افزار
به گزارش شرکت Trend Micro نوع جدید لینوکسی این باج افزار، قبل از ادامه روال مخرب مطمئن می شود که دارای امتیازات و دسترسی های مدیریتی است.
به منظور دانلود و اجرای Payload باج افزار، مهاجم از اسکریپت های سفارشی که می تواند داده ها را به دو سرور جداگانه منتقل کند که در صورت بروز مشکل یا در معرض خطر گرفتن یک ماشین، استفاده می کند.

هنگامی که بر روی سیستم هدف قرار می گیرد، payload با اجرای دستور “uname” و جستجوی “vmkernel” بررسی می کند که آیا در یک محیط VMware ESXi اجرا می شود یا خیر. سپس فایل TargetInfo.txt ایجاد شده و به سرور C2 ارسال می شود. این فایل شامل اطلاعات قربانی مثل نام هاست، آدرس IP، جزییات سیستم عامل، کاربران لاگین و مجوزها، شناسه های منحصر به فرد و جزییاتی در مورد فایل های رمزنگاری شده و دایرکتوری هاست.
باج افزار فایل هایی را که پسوندهای مرتبط با VM دارند (مثل vmdk, vmem, vswp, vmx, vmsn , nvram) را رمزنگاری کرده و پسوند lock. را به انتهای فایل ها اضافه می کند.
در نهایت یک یادداشت باج با نام HOW TO DECRYPT.txt ایجاد شده و شامل دستورالعملی برای چگونگی پرداخت باج و دریافت کلید رمزگشایی است.

پس از آنکه تمامی این کارها به اتمام رسید Payload توسط اسکریپت Shell حذف شده و تمام ردپایی که می توان در تحقیقات پس از حادثه استفاده کرد، از ماشین های آسیب دیده پاک می شود.
تحلیل گران این حملات را به گروه Vampire نسبت می دهند و آدرس های IP مورد استفاده آنها مربوط به یک ISP در چین است، اما این اطلاعات برای تعیین منشا دقیق این مهاجمان کافی نیست.
به طور معمول باج افزار TargetCompany بر روی ماشین های ویندوزی تمرکز دارد اما انتشار نوع لینوکسی آن و ماشین های VMware ESXi نشان دهنده تکامل این باج افزار است.
محققین توصیه می کنند برای پیشگیری از آسیب در برابر چنین باج افزارهایی، از راهکارهای احراز هویت چند عاملی-MFA استفاده کرده، پشتیبان گیری به صورت منظم و صحیح انجام شده و سیستم ها و نرم افزارها مرتب و به موقع به روز شوند.

 

منبع: 
https://www.bleepingcomputer.com