گروه باجافزار Cring در اوایل سال ۲۰۲۱ شروع به فعالیت كرد.
به گزارش گرداب - متخصصان امنیت سایبری بر این باور هستند که که این گروه باجافزاری از آسیبپذیریهای موجود در سیستم سوءاستفاده میکند به گفته کارشناسان در یکی از حملات اخیر، این باجافزار از آسیبپذیری موجود در یک فیلترشکن، برای هدف قرار دادن برنامههای قدیمی مایکروسافت و ادوبی استفاده کرده است. برنامههای قدیمی که دیگر پشتیبانی نمیشوند، اهداف آسانتری برای مجرمان سایبری هستند.
شرکت امنیت شبکه سوفوس در سپتامبر ۲۰۲۱، گزارشی درباره یکی از حملات سایبری منتشر کرد. در این حمله، باجافزار Cring با استفاده از یکی از آسیبپذیریهای موجود در برنامه Adobe ColdFusion ۹ توانسته بود تا کنترل سرور ColdFusion را به دست بگیرد.
این شرکت همچنین اعلام کرد که هکرهایی از بلاروس و اوکراین از این باجافزار استفاده کردهاند تا از راه دور، به سرورهای یک شرکت ناشناس در بخش خدمات نفوذ کنند.
هکرها از ابزارهای خودکار برای بررسی نه هزار مسیر در سیستمهای شرکت طی ۷۵ ثانیه استفاده کردهاند. سه دقیقه بعد، آنها قادر به استفاده از یکی از آسیبپذیریهای موجود در نسخه قدیمی برنامه Adobe بودند و از این طریق توانستند تا به فایلهایی در سرور دسترسی پیدا کنند که دور از دسترس عموم قرار داشتند.
آنها فایلی به نام جزئیات رمزعبور را انتخاب کرده و با استفاده از کدهای مخدوش، ردپای خود را پوشاندهاند. بعد از دو روز و نیم، به شبکه سیستم به عنوان ادمین متصل شده و کنترل آن را در دست گرفتهاند. در آخر نیز یک یادداشت مبنی بر باجگیری پست کردهاند.
هکرها همچنین توانستند قبل از نفوذ به سرور اینترنتی در عرض چند دقیقه و اجرای باجافزار بعد از ۷۹ ساعت، به جدولهای زمانی و دادههای حسابداری مربوط به حقوق و دستمزد دسترسی پیدا کنند. اندرو برانت، محقق در شرکت Sophos، میگوید که استفاده از باجافزار Cring چیز جدیدی نیست، اما در حد اندکی مورد استفاده قرار میگیرد.
او میگوید: «در این حملهای که ما تحقیق کردیم، شرکت قربانی یکی از شرکتهای خدماتی بود. این شرکت دستگاهی با نرمافزاری قدیمی و پچ نشده داشته که به اینترنت هم متصل بوده است. نکته جالب اینجاست که از این سرور هر روز استفاده میشده و فعال بوده است.
در حالی که معمولا آسیب پذیرترین دستگاهها غیرفعال میشوند. اما در هر حال، چه دستگاه فعال باشد و چه غیرفعال، دستگاهها و سرورهای پچ نشده که به اینترنت متصل هستند هدف اصلی مهاجمان سایبری هستند تا از این طریق به سیستمهای شرکت نفوذ کنند. سازمانهایی که چنین دستگاههایی در شبکههای خود دارند مطمئن باشند که هدف حمله سایبری قرار خواهند گرفت».
در حمله سایبریای که سوفوس بررسی کرده بود، هکرها وبسایت قربانیان را با ابزارهای خودکار اسکن کرده بودند و به محض پیدا کردن سرور پچ نشده ColdFusion، به راحتی به آن دسترسی پیدا کردند. محققان سوفوس میگویند که اپراتورهای Cring از تکنیکهای نسبتا پیچیدهای برای پنهان کردن فایلهای خود، اجرای کد در حافظه و مخفی کردن ردپای خود با بازنویسی فایلها با دادههای مخدوش یا حذف گزارشها استفاده کردهاند تا کسی نتواند آنها را شناسایی کند.
آنها بعد از دور زدن بخشهای امنیتی، یادداشتی با مضمون «در صورتی که معامله خوب پیش نرفت، دادهها را افشا خواهیم کرد» به جا گذاشتند.
رئیس شرکت تشخیص بدافزار Positive Technologies، الکسی ویشنیاکوف، میگوید که این گروه از بدافزار Mimikatz برای نفوذ به یک سازمان استفاده میکند و با نرمافزار Cobalt Strike آن را در شبکه میزبان ایمنسازی میکند.
بعد از به دست گرفتن کنترل کامل شبکه، باجافزار را دانلود و توزیع میکند. او در ادامه میگوید خطرناکتر از همه، یک سری اقدامات نفوذ به سیستم است که موفقیتآمیز بودهاند. نفوذ به سیستم نه تنها خطرات مربوط به باجگیری و عواقب مالی دارد، بلکه چنین حملاتی میتواند منجر به حوادث ناگوار و حتی مرگ شود.
منبع:
ZDNet