محققان امنیتی در خصوص نصب فوری وصله های آسیب پذیری های حیاتی که منجر به دسترسی به شبکه می شوند، هشدار داده اند. برخی از گروههای باج افزاری از این آسیب پذیری ها برای استقرار backdoor استفاده کرده و مدتها بعد که حتی قربانی وصله ها را نصب نماید هم امکان دسترسی به سیستم را خواهند داشت.
در یکی از این موارد باج افزار Lorenz که چند ماه پس از دسترسی هکرها به شبکه قربانی با استفاده از اکسپلویت یک باگ مهم، تکمیل شد.
Backdoor قبل از آپدیت امنیتی، نصب می شود.
بررسی های صورت گرفته توسط محققان شرکت S-RM در مورد باج افزار Lorenz نشان می دهد که هکرها، شبکه قربانی را 5 ماه قبل از شروع سرقت اطلاعات و رمزنگاری سیستم، نقض کرده بودند.
این محققین دریافتند که هکرها دسترسی ورودی را از طریق CVE-2022-29499 به دست آورده که یک آسیب پذیر حیاتی در زیرساخت Mitel telephony بوده است و امکان اجرای کد از راه دور را می دهد.
این حفره امنیتی سال پیش توسط CrowdStrike Services کشف شد و سازنده هم از وجود این حفره اطلاعی نداشت و مسلما اقدامی برای رفع آن انجام نداده بود.
در حالیکه که وصله CVE-2022-29499 در جولای منتشر شد، اما این گروه باج افزاری سریعتر بوده و زودتر از آسیب پذیری بهره برداری کرده و backdoor مورد نظر خود را در سیستم های قربانی، نصب کردند.
مهاجمان backdoor را بنام ““twitter_icon_<ransom string> در دایرکتوری سیستم مخفی کرده بودند.
Web shell یک خط کد PHP است که در انتظار درخواستهای HTTP POST با دو پارامتر “id” که رشته ای رندوم از اقدامات تایید اعتبار دسترسی به سیستم و “img” که شامل دستوراتی برای اجرا هستند، می باشد.
برای 5 ماه، این web shell در شبکه قربانی مخفی و ساکت قرار داشت. زمانی که مهاجم آماده شروع حمله می شود، از backdoor استفاده کرده و باج افزار Lorenz در 48 ساعت نصب می شود.
یک نظریه در مورد این گروه باج افزاری این است که به اندازه ی کافی سازماندهی شده و یک تیم اختصاصی داشته تا دسترسی اولیه را به دست آورد و از سرقت آن توسط سایر مهاجمان محفاظت کند.
به گفته محققین S-RM مهاجمان سایبری به طور معمول تمامی استفاده خود از آسیب پذیریهای جدید را خواهند داشت و تلاش می کنند تا سیستم های در معرض خطر و وصله نشده بیشتری پیدا کرده و بعدا برای ادامه حمله به سراغ آنها بروند. این گروه به سراغ backdoor های قدیمی رفته و چنانچه هنوز دسترسی مقدور باشد از آنها برای حمله باج افزاری خود استفاده می کنند.
به همین دلیل محققان تاکید می کنند که انجام آپدیت های نرم افزاری تا آخرین ورژن در زمان درست و سریع قدم مهمی در دفاع از شبکه می باشد، اما در مورد آسیب پذیری های حیاتی، سازمانها باید شبکه خود را برای اکسپلویت و نفوذ احتمالی، همواره بررسی نمایند.
بررسی لاگها، جستجوی دسترسی ها و رفتارهای احراز هویت نشده و بررسی داده های مانیتور شده شبکه برای ترافیک های غیرعادی می تواند در این زمینه کمک کننده باشد.
