در ۲۸ خرداد ۱۳۹۸
  • اسکریپت
  • امنیت
  • جاوا

گروهی از نفوذگران فعالانه در حال سواستفاده از یک رخنه امنیتی مهم در نرم‌افزار Confluence شرکت Atlassian’s  هستند تا بتوانند سرورها را با باج افزار GandCrab آلوده کنند.

 

نرم‌افزار Confluence یک برنامه تحت وب جاوایی است که محیطی شبیه ویکی‌پدیا برای کارکنان سازمان‌های بزرگ فراهم می‌کند و به وسیله هزاران شرکت در سرتاسر دنیا استفاده می‌شود. رخنه امنیتی که به کد CVE-2019-3396 شناخته می‌شود،‌ در قسمت Widget Connector این برنامه قرار دارد که به کاربران اجازه می‌دهد تا محتوای سایت‌هایی نظیر youtube و Twitter را در صفحات وب قرار دهند.

 

مهاجمین می‌توانند از این اشکال در جهت نصب قالب آلوده و دسترسی راه دور بهره برداری کنند. بر اساس توصیه امنیتی شرکت Atlassian، که در ماه مارس منتشر شد، تمام نسخه‌های Confluence Server و   Confluence Data Center تا قبل از ۶.۶.۱۲، ۶.۱۲.۳، ۶.۱۳.۳ و ۶.۱۴ آسیب‌پذیر هستند.

 

بر اساس گزارشی از شرکت امنیتی Alert Logic، کد سواستفاده نمونه برای این رخنه به شکل عمومی در تاریخ ۱۰ اوریل پخش شد و نفوذگران بدخواه بلافاصله از آن برای حمله استفاده کردند.

 

به گفته آن‌ها:

 

«در فاصله یک هفته پس از انتشار کد نمونه سواستفاده ما شاهد اولین دسته از مشتریان آسیب دیده بودیم. اولین این مشتریان به وسیله بارهای بدخواه مجبور به ارتباط با یک آی پی شناخته شده آلوده می‌شد. به نظر می‌آید مهاجمین کنترل کننده این بازه آی پی به سرعت و با موفقیت از این فرصت نهایت استفاده را برده باشند.»

 

بسته آلوده‌ای که به وسیله نفوذگران به سرورهای آسیب دیده هدایت شد حاوی یک اسکریپت powershell است که بر روی سیستم قربانی اجرا می‌شود.

 

سپس این اسکریپت یک نسخه سفارشی شده از یک عامل اجرایی Powershell را به نام Empire از یک سایت pastebin دانلود می‌کند.

 

عامل اجرایی Empire برای اجرای یک فایل اجرایی به نام len.exe مورد استفاده قرار می‌گیرد که درون حافظه یک پروسه در حال اجرا بارگذاری می‌شود.

محققان متوجه شدند که این فایل در‌واقع GandCrab می‌باشد، یک باج افزار معروف  که در سال گذشته تعداد زیادی از شرکت ها را آلوده کرد. GandCrab اولین بار در ژانویه سال گذشته شناخته شد و یکی از شایع ترین باج افزارهایی است که در حال حاضر کاربران و تجار را مورد هدف قرار می‌دهد. آفرینندگان آن در حال فروش آن به گروه‌های خرابکار دیگر هستند.

 

باج افزارهایی نظیر GandCrab معمولاً از طریق فایل‌های آفیس پیوست شده به ایمیل‌های فیشینگ(کلاه برداری) پخش می‌شوند.

 

گسترش از طریق رخنه‌های امنیتی سرور در گذشته دیده شده است ولی این روش عموما برای اجرای برنامه‌های استخراج ارز دیجیتال استفاده می‌شود چون اجازه استفاده راحت از منابع سیستم را می‌دهد.

 

به گفته محققان:

 

«ممکن است این شیوع مجدد باج افزار به شکل کد اجرا شونده راه دور غیر مجاز  یک استفاده جدید برای نفوذ باج افزارها باشد به جای برنامه‌های استخراج ارز دیجیتال باشد. با در نظر گرفتن اینکه رخنه CVE-2019-3396  نرم‌افزار Confluence (که یک پلتفرم ویکی است) را هدف قرار داده می‌توان نتیجه گرفت که این نرم‌افزار اطلاعات حساس شرکت را درون خود دارد و ممکن است که درست پشتیبان گیری نشده باشد. احتمالاً مهاجمین برآورد کرده‌اند که شانس باجگیری و کسب درآمد از این طریق بیشتر از درآمد  اجرای برنامه استخراج ارز دیجیتال باشد.»

 

در گذشته محققین امنیتی رخنه‌هایی در رمزگذاری فایل GandCrab پیدا کرده‌اند که اجازه ساخت برنامه‌های قفل گشایی را به آن‌ها داده است. با وجود این نویسندگان این باج افزار بسیار فعال هستند و از اشتباهات خود درس می گیرند. در حال حاضر ابزاری مشابه برای خنثی کردن این باج افزار وجود ندارد.