باج افزار CACTUS

محققان امنیت سایبری در مورد کمپین باج‌افزار CACTUS هشدار می‌دهند که از آسیب‌پذیری‌های امنیتی جدید افشا شده در Qlik Sense، یک پلتفرم تجزیه و تحلیل ابری و هوش تجاری، سرمایه‌گذاری می‌کند. این کمپین توسعه قابل توجهی را نشان می دهد زیرا اولین مورد مستند را نشان می دهد که در آن بازیگران مخرب با استفاده از باج افزار CACTUS از آسیب پذیری های Qlik Sense به عنوان روش اصلی خود برای دستیابی به دسترسی اولیه به محیط های هدف استفاده کرده اند. این امر بر تاکتیک‌های در حال تکاملی که توسط بازیگران تهدید برای بهره‌برداری از ضعف‌های پلتفرم‌های نرم‌افزاری محبوب برای دسترسی غیرمجاز و به خطر انداختن داده‌ها استفاده می‌شود، تأکید می‌کند.

باج افزار CACTUS از طریق چندین آسیب پذیری نرم افزار تحویل داده می شود

تحلیلگران امنیت سایبری مجموعه ای از حملات را شناسایی کرده اند که به نظر می رسد از سه آسیب پذیری فاش شده چند ماهه سوء استفاده می کنند:

• CVE-2023-41265 (امتیاز CVSS: 9.9) - این آسیب‌پذیری شامل تونل‌سازی درخواست HTTP است که به مهاجم راه دور امکان می‌دهد امتیازات خود را بالا ببرد و درخواست‌های اجرا شده توسط سرور پشتیبان میزبان برنامه مخزن را ارسال کند.
• CVE-2023-41266 (امتیاز CVSS: 6.5) - یک آسیب‌پذیری پیمایش مسیر که به مهاجم غیرمجاز و راه دور اجازه می‌دهد درخواست‌های HTTP را به نقاط پایانی غیرمجاز منتقل کند.
• CVE-2023-48365 (امتیاز CVSS: 9.9) - یک آسیب‌پذیری اجرای کد از راه دور تأیید نشده ناشی از اعتبارسنجی نامناسب هدرهای HTTP، به مهاجم راه دور اجازه می‌دهد تا امتیازات خود را از طریق تونل‌سازی درخواست‌های HTTP افزایش دهد.

توجه به این نکته مهم است که CVE-2023-48365 نتیجه یک پچ ناقص برای CVE-2023-41265 است. هر دو آسیب‌پذیری، همراه با CVE-2023-41266، در اواخر آگوست 2023 فاش شدند و اصلاحی برای CVE-2023-48365 در 20 سپتامبر 2023 اجرا شد.

در حملات باج‌افزار CACTUS مشاهده شده، آسیب‌پذیری‌های شناسایی‌شده مورد سوء استفاده قرار می‌گیرند که منجر به سوء استفاده از سرویس Qlik Sense Scheduler می‌شود. این به مهاجمان امکان می دهد تا فرآیندهای طراحی شده برای دانلود ابزارهای اضافی را با هدف ایجاد پایداری و تنظیم کنترل از راه دور ایجاد کنند.

ابزارهای اضافی درگیر در این حملات عبارتند از ManageEngine Unified Endpoint Management and Security (UEMS)، AnyDesk و Plink. قابل ذکر است که عوامل تهدید در حال حذف نصب نرم افزار Sophos، تغییر رمز عبور حساب مدیر و ایجاد یک تونل RDP از طریق Plink مشاهده شده اند. زنجیره های حمله در نهایت منجر به استقرار باج افزار CACTUS می شوند و مهاجمان نیز از کلون ها برای استخراج داده ها استفاده می کنند. این استراتژی حمله جامع بر ماهیت پیچیده و چند مرحله‌ای کمپین باج‌افزار CACTUS تأکید می‌کند.

بازیگران تهدید باج افزار در حال توسعه تکنیک های خود هستند

ظهور باج افزار CACTUS نشان دهنده پیچیدگی روزافزون چشم انداز تهدید باج افزار است. اقتصاد زیرزمینی برای پشتیبانی از حملات در مقیاس بزرگ از طریق شبکه ای از کارگزاران دسترسی اولیه و صاحبان بات نت تکامل یافته است. این نهادها دسترسی به سیستم های قربانی را به چندین بازیگر وابسته می فروشند و به گسترش تهدیدات باج افزار کمک می کنند.

علیرغم تلاش‌های جهانی دولت‌ها برای مبارزه با باج‌افزار، مدل کسب‌وکار Ransomware-as-a-Service (RaaS) روشی انعطاف‌پذیر و سودآور برای اخاذی از اهداف است. طول عمر و سودآوری این مدل همچنان ادامه دارد و به عوامل تهدید این امکان را می دهد تا فعالیت های غیرقانونی خود را تطبیق دهند و ادامه دهند.

یکی از گروه‌های باج‌افزار قابل‌توجه، Black Basta ، در آوریل ۲۰۲۲ وارد صحنه شد و تخمین زده می‌شود که سودهای غیرقانونی بیش از ۱۰۷ میلیون دلار از طریق پرداخت باج بیت‌کوین از بیش از ۹۰ قربانی به دست آورده است. تحقیقات مشترک اخیر نشان داده است که بخش قابل توجهی از این وجوه از طریق Garantex، یک صرافی ارز دیجیتال روسی که توسط دولت ایالات متحده در آوریل 2022 به دلیل تسهیل تراکنش ها با بازار هایدرا دارک نت تحریم شد، شسته شده است.

علاوه بر این، این تجزیه و تحلیل ارتباطات بین بلک باستا و گروه جنایت سایبری روسی Conti را که اکنون منقرض شده است، کشف کرده است، که تقریباً همزمان با ظهور بلک باستا، فعالیت خود را متوقف کرد. علاوه بر این، پیوندهایی با QakBot ، ابزاری که در استقرار باج افزار استفاده می شود، شناسایی شده است. این شبکه پیچیده از انجمن ها بر ماهیت پیچیده و به هم پیوسته عملیات باج افزار مدرن تاکید می کند.