تیم امنیتی مایکروسافت به سازمانهای سراسر جهان درباره محافظت علیه باجافزار جدیدی که طی دو ماه گذشته فعال بوده، هشداری را صادر کرده است.
باجافزار PonyFinal یک باجافزار مبتنی بر جاوا است و در حملات باجافزاری موسوم به human-operated بکار گرفته شده است.
باجافزار human-operated یک زیر مجموعه از طبقهبندی باجافزارها است. در حملات باجافزاری human-operated، خود فرد مهاجم به شبکههای سازمان هدف نفوذ کرده و باجافزار را مستقر میکند. این نوع حملات باجافزاری در مقابل حملات باجافزاری کلاسیک قرار میگیرند. در حملات باجافزاری کلاسیک، بدافزار از طریق ایمیل اسپم یا اکسپلویت کیتها توزیع میشود، در این حالت فرایند آلودگی متکی به فریب کاربران در اجرای فایل بدافزار است.
مایکروسافت در حال ردیابی حوادث باجافزار PonyFinal است. نقطه نفوذ معمولا یک حساب کاربری در سرور مدیریت سیستمهای سازمان است که عوامل PonyFinal از طریق حملات جستجو فراگیر (brute-force) و حدس گذرواژههای ضعیف وارد سیستم میشوند. پس از ورود، عوامل PonyFinal یک اسکریپت VisualBasic را اجرا میکنند که این اسکریپت یک شل معکوس PowerShell را اجرا میکند تا دادههای محلی را به سرقت ببرد. علاوه بر این، عوامل باجافزار یک سیستم با دسترسی از راه دور به منظور دور زدن فرایند ثبت وقایع (event logging) را نیز مستقر میکنند.
پس از آنکه عوامل PonyFinal دسترسی مناسب به شبکه مورد نظر یافتند، دسترسی خود را به سایر سیستمهای محلی گسترش میدهند و فایل اصلی باجافزار PonyFinal را منتقل میکنند.
در بیشتر موارد، از آنجایی که PonyFinal با زبان جاوا نوشته شده است، مهاجمین ایستگاههای کاری که در آنها Java Runtime Environment (JRE) نصب شده است را هدف قرار میدهند. مایکروسافت همچنین مواردی را نیز مشاهده کرده است که مهاجمین قبل از اجرای باجافزار، JRE را روی سیستم نصب کردهاند.
مایکروسافت میگوید که فایلهای رمز شده با باجافزار PonyFinal معمولا پسوند enc. به انتهای نام آنها اضافه میشود. در حال حاضر هیچ راهی برای رمزگشایی رایگان فایلهای رمزشده توسط PonyFinal وجود ندارد.
منبع :
