کارشناسان امنیتی، باج افزار Hades و گروه تحت حمایت دولت با نام Hafnium را که در پشت پرده حملات اولیه به سرورهای Microsoft Exchange بوده است، با یکدیگر مرتبط دانسته اند.

پرسنل این باج افزار همچنین مسئول حملات به یکی از بزرگان صنعت حمل بار با نام فوروارد ایر و تعداد انگشت شمار دیگری از شرکت ها بوده اند. این مسئله مرتبط با گروه عملیاتی روسی بدنام فعال در زمینه جرایم سایبری با نام اویل کورپ (Indrik Spider) بوده است که به شکل گونه جدیدی از باج افزار WasterdLocker خود، که برای کمک به گروه های دور زننده تحریم هایی که موجب دلسردی و انصراف قربانیان از پرداخت هزینه ها می شود، طراحی شده است.

با این حال ، گزارش جدیدی از اویک سکیوریتی، ادعا می کند دامنه ای را برای command-and-control در حمله Hades در ماه دسامبر سال 2020، درست قبل از کشف حملات سرور Zero-day Exchange پیدا کرده است.

جیسون بویس، معاون اویک سکیوریتی، توضیح داد: "تیم ما پس از به خطر افتادن و رمزگذاری جهت بررسی وضعیت حادث شده، ورود کردند و در این مورد خاص، دامنه هافنیوم به عنوان عامل ایجاد خطر در طی حمله Hades شناسایی شد".

وی افزود: "علاوه بر این ، این دامنه با یک سرور Exchange مرتبط بود و در روزهای منتهی به حادثه رمزگذاری برای command-and-control استفاده می شده است".

وی همچنین ادعا کرد که در کل دو احتمال وجود دارد: یک عامل تهدید کننده بسیار حرفه ای، در پوشش Hades در در این کار دست دارد و یا اینکه چند گروه مستقل به دلیل ضعف امنیتی، به طور تصادفی از همان محیط استفاده می کنند.

یافته های دیگر Hades را به عنوان یک گروه باج افزار غیرمعمول معرفی و مشخص می کند. تعداد بسیار کمی از قربانیان شناسایی شده اند و بیشتر به نظر می رسد از بخشهای صنایع تولیدی باشند.

بویس همچنین به "پیچیدگی بسیار کمی" در سایت های نشت راه اندازی شده توسط این گروه اشاره کرد، شامل حساب توییتر خود، صفحه ای در هک‌فرومز و صفحات پیج‌بین و هیست‌بین که متعاقبا حذف شده اند.

وی افزود: "همانطور که متخصصین این دست حوادث می دانند، برای عاملین و گردانندگان باج افزار بسیار معمول است که سایت هایی را برای نشت داده های خود ایجاد کنند، اما آنچه در مورد Hades جالب بود این است که آنها از روش هایی برای نشت و سایت های خود استفاده کردند که معمولا در مدت زمان بسیار کوتاهی از دسترس خارج شده اند".

"ما می دانیم که عامل حملات مبلغی در حدود 5 تا 10 میلیون دلار به عنوان باج درخواست کرده و جالب اینکه در پاسخ‌دهی به افراد، بسیار کند عمل میکند. در بعضی موارد، ممکن است اصلاً پاسخی نداده باشند. در موردی نیز، یکی از کاربران توییتر حتی اعلام کرده است "TA هرگز پاسخ نمی دهد". اگر فقط چند سازمان مورد حمله قرار گرفته بودند، چرا باید پاسخگویی به درخواست های باج برای این همه مدت طولانی زمان ببرد؟ آیا انگیزه بالقوه دیگری در این حمله وجود داشته است؟ چرا از آن زمان تا کنون خبری از Hades نبوده است؟".

بویس همچنین خاطر نشان کرد که داده های فاش شده در سایت ها بسیار کمتر از اطلاعاتی است که در اصل گروه به سرقت برده است، که مربوط به مراحل دقیق و جزئیات تولید است.

این گزارش همچنین به بازماندگان فعالیتهایی در گروه باج افزاری TimosaraHackerTerm (THT) در برخی از محیط های کاربری قربانیان Hades، چند هفته قبل از سری حملات ثانویه اشاره داشت. این موارد شامل استفاده از Bitlocker یا BestCrypt برای رمزگذاری، اتصال به آدرس IP کشور رومانی و استفاده از VSS Admin برای پاکسازی نسخه های shadow copy در دستگاه اصلی است.

 

پیش زمینه:

شرکای CISA مواردی از سوءاستفاده و آسیب پذیری های فعال را در محصولات داخلی مایکروسافت Exchange مشاهده کرده اند. در حال حاضر احتمال آسیب پذیری و سوءاستفاده احتمالی از این نقص ها بر روی مایکروسافت 365 و یا Azure Cloud مشخص نشده است. سوءاستفاده احتمالی موفق از این آسیب پذیری ها، به مهاجم این امکان را میدهد تا به سرورهای داخلی Exchange دسترسی پیدا کرده و برای وی امکان دسترسی مداوم سیستم و کنترل شبکه سازمانی را فراهم میکند.

CISA اعلام کرده است که این سوءاستفاده از محصولات داخلی مایکروسافت Exchange خطری غیرقابل قبول برای agent های اجرایی فدرال دارد و باید در اسرع وقت این مشکل مرتفع شود. این اعلام نظر بر مبنای احتمال سوءاستفاده فعلی از این آسیب پذیری ها در بدترین حالت خود است که به طبع آن، سوءاستفاده از این آسیب پذیری ها، نشر نرم افزار آسیب دیده در شرکت های فدرال، پتانسیل بالای بروز آسیب در سیستمهای اطلاعاتی agent در معرض خطر و تاثیر بالقوه ایجاد خطر موفقیت آمیز را در پی دارد.

در حال حاضر آسیب پذیری های مربوط به این آسیب پذیری شناسایی شده، شامل CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065 است.

طبق گفته های مایکروسافت و محققین امنیتی، آسیب پذیری های زیر نیز شناسایی شده اند که مشخص نیست هنوز قابل بهره برداری باشند: CVE-2021-26412, CVE-2021-26854, CVE-2021-27078.

اقدامات مورد نیاز

1. پس از شناسایی همه موارد مورد نظر در محیط سرورهای داخلی مایکروسافت Exchange، agent ی که دارای تخصص کافی هستند باید با استفاده از ابزار جمع آوری اطلاعات را به صورت قانونی تهیه کنند (مانند هشدار امنیتی CISA) برای جمع آوری اطلاعات حافظه سیستم، لاگ های مربوط به وبِ سیستم، لاگ های رویداد های ویندوز و تمام جزئیات رجیستری. سپس agent باید اطلاعات جمع آوری شده را از نظر نشانه هایی مبنی بر نفوذ یا موارد مشکوک، مانند تخلیه اعتبارنامه ها و سایر فعالیت هایی که در قسمت هشدار فعالیت، شرح داده شده اند را بررسی کنند. اگر رفتار مشکوک یا نشانه ای از بروز خطر مشاهده شد، به مورد 2 مراجعه کنید.

اگر هیچ نشانه ای از به خطر افتادگی یافت نشد، agent باید بلافاصله بروزرسانی های مایکروسافت را برای سرورهای مایکروسافت Exchange اعمال کرده و سپس به گزینه 5 بروند.

اگر agent از تخصص کافی در زمینه اعمال موارد قانونی ذکر شده در سیستم های خود را ندارند، باید به گزینه 3 رجوع کنند.

2. agent هایی که تخصص لازم را دارند، بلادرنگ، قبل از انجام گزینه 3، اقدامات زیر را انجام دهند. agent ها باید اطلاعات جمع آوری شده در این مرحله را در راستای شناسایی نشانه هایی از تغییرات و نفوذ یا رفتار مشکوک، مانند تخلیه اعتبار نامه ها، حرکات غیرطبیعی و متفرقه، persistence mechanisms و هرگونه سوءاستفاده احتمالی بررسی کنند.
   1. به بصورت صحیح از حافظه سیستم یک نسخه پشتیبان تهیه کنید یا برای virtual host، یک نسخه حافظه مجازی (VMEM) را در حافظه خارجی برای بررسی، تهیه و ذخیره کنید.
   2. اگر امکان تهیه نسخه پشتیبان فراهم بود، طبق فرایند agent عمل کرده تا نسخه لایو پشتیبان را ایجاد نمایید.
   3. اگر نمیتوان نسخه پشتیبان لایو را تهیه کرد، همه سیستم ها (سیستم های مجازی) که نسخه تحت وب Outlook (به طور کلی Outlook Web Access/App یا OWA و یا صفحه کنترل Exchange یا ECP را اجرا میکنند، متوقف نمایید.
   4. برای جستجوی IOCهای موجود در قسمت هشدار فعالیت های CISA، اقدام به بررسی و آنالیز نسخه پشتیبان تهیه شده، کنید.
   5. ترافیک شبکه و داده های بزرگ ذخیره شده را در راستای پیدا کردن نشانه های بروز مخاطرات و یا اتصالات مشکوک که در قسمت هشدار فعالیت CISA ارائه شده است را بررسی و آنالیز نمایید.
   6. شبکه و سیستم ها را برای یافتن نشانه های اضافی مبنی بر نفوذ و تغییرات که ارائه شده اند، با دقت بررسی کنید.
3. agent ی که نشانه های نفوذ و سازش را در گزینه 1 شناسایی کرده اند یا تخصص لازم برای انجام گزینه های 1 و یا 2 را ندارند، باید این مراحل را انجام داده و سپس به گزینه 4 بروند:
   1. سرورهای مایکروسافت Exchange را فوراٌ قطع کنید.
   2. تا زمانی که CISA این سازمان ها را به بازسازی سیستم عامل سرور مایکروسافت Exchange و نصب مجدد بسته نرم افزاری هدایت میکند، نمایندگی ها از پیوستن مجدد به دامنه سازمانی سرور مایکروسافت Exchange منع شده اند.
   3. شناسایی و حذف تمام حساب های مخرب actor-controlled و شناسایی persistence mechanisms.
   4. نهادهایی درگیر این آسیب پذیری، باید قبل از بازسازی سیستم ها از منابع معتبر با استفاده از آخرین نسخه محصول موجود، با CISA ارتباط برقرار کرده و راهنمایی های لازم را دریافت کنند.
4. وجود هر یک از موارد زیر را به عنوان یک مشکل و حادثه بلادرنگ به CISA گزارش دهید:
   1. شناسایی شاخص های نشان دهنده بروز خطر، همانطور که در قسمت هشدار فعالیت CISA ذکر شده است.
   2. وجود کد web shell در سرور داخلی مایکروسافت Exchange که در معرض خطر است.
   3. دسترسی یا استفاده غیرمجاز از حساب ها.
   4. وجود شواهدی مبنی بر حرکات متفرقه توسط مهاجمین با دسترسی به سیستم های در معرض خطر و آسیب.
   5. سایر شاخص های دسترسی یا unauthorized compromise.
   6. سایر شاخص های مرتبط به این موضوع که توسط CISA اعلام شده است.
5. همه agent ها باید گزارش خود را با استفاده از الگوی ارائه شده تا ظهر به وقت استاندارد شرقی در ظهر جمعه پنجم مارس 2021 گزارش دهند. مدیران ارشد اطلاعات (CIO) در سطح دپارتمان یا معادل آن باید این گزارش را که گواهی وضعیت agent است، به CISA گزارش دهند.

این اقدامات ضروری در مورد agent ی که از سرورهای مایکروسافت Exchange در هر سیستم اطلاعاتی استفاده میکنند، شامل یک سیستم اطلاعاتی که توسط یک نهاد دیگر به نمایندگی از یک agency استفاده یا اداره میشود، اعمال میشود که اطلاعات agent را جمع آوری، پردازش، ذخیره، انتقال، انتشار یا در غیر اینصورت حفظ میکند.

اقداماتCISA

CISA به کار با شرکای خود برای نظارت بر هرگونه سوءاستفاده ممکن و مرتبط با این آسیب پذیری ادامه خواهد داد.

CISA با در دسترس قرار گرفتن شاخص های اضافی بر مبنای بروز خطر و آسیب، آزاد خواهد شد.

CISA برای مطابقت با این بخشنامه، به agent فاقد توانایی داخلی، کمک فنی خواهد کرد.

CISA از طریق وب سایت CISA، و به وسیله ارتباط هماهنگ با بخشنامه اضطراری و از طریق مشارکت های فردی در صورت درخواست و همچنین راهنمایی بیشتری را به agent ارائه میدهد.

تا 5 آپریل 2021، CISA گزارشی را به وزیر امنیت داخلی و مدیر دفتر مدیریت و بودجه یا OMB ارائه میدهد که وضعیت بین agent و مسائل مهم این آسیب پذیری را مشخص می نماید.

مدت زمان

این دستورالعمل اضطراری تا زمانی که همه agent های عامل سرورهای مایکروسافت Exchange از بسته بروزرسانی موجود استفاده نکنند یا تا زمانی که بخشنامه با اقدامات مناسب دیگر خاتمه یابد، همچنان در حال اجرا خواهد بود.

مسابقه هک Pwn2Own سری بهاری سال 2021، هفته گذشته در 8 آپریل با تساوی سه جانبه بین تیم Devcore ،OV و محققان Daan Keuper و Thijs Alkemade به پایان رسید.

در مجموع 1.2 میلیون دلار برای 16 سطح و موضوع مهم نفوذ در طول یک رویداد مجازی سه روزه که توسط طرح روز صفر (ZDI) سازماندهی و برگزار شده بود، اهدا شد.

به گزارش هکر نیوز، اهدافی که با تلاش برای نفوذ موفق آمیز مواجه شدند، شامل سیستم های عامل زوم، اپل سافاری، مایکروسافت Exchange ، مایکروسافت تیمز، پاراللز دسکتاپ، ویندوز 10 و نسخه دسکتاپ اوبونتو بودند.

برخی از مهمترین موارد برجسته و مهم این رقابت به شرح زیر بوده اند:

• با استفاده از بای پس احراز هویت و افزایش دسترسی محلی برای تصاحب کامل یک سرور مایکروسافت Exchange، که برای آن تیم دِوکور 200 هزار دلار جایزه کسب کرد.
• ایجاد زنجیره ای از اشکالات برای دستیابی به اجرای کد در مایکروسافت تیمز و کسب 200.000 دلار برای تیم تحقیقاتی OV
• سوءاستفاده از کلیک صفر (zero-click) با هدفگیری برنامه زوم توسط زنجیره سه گانه باگ برای بهره برداری از این برنامه پیام رسان و به دست آوردن امکان اجرای کد در سیستم هدف. (200.000 دلار)
• بهره برداری از نقص بیشینه عدد صحیح در سافاری و نوشتن بیش از ظرفیت و محدوده آن، برای بدست آوردن امکان اجرای کد سطح کرنل (100.000 دلار)
• نفوذ با هدف رندر کروم برای هک مرورگرهای گوگل کروم و مایکروسافت ادج (کرومیوم) (100.000 دلار)
• استفاده از اشکالات use-after-free، شرایط رقابتی و بیشینه عدد صحیح در ویندوز 10 برای تبدیل شدن از یک کاربر عادی به سطح دسترسی کامل به سیستم (40.000 دلار به هر یک)
• ترکیب سه نقص شامل نشت حافظه غیر اولیه، بیشینه انباشته و بیشینه عدد صحیح، برای فرار از Parallels Desktop و اجرای کد بر روی سیستم عامل اصلی (40.000 دلار)
• سوءاستفاده از نقص تخریب حافظه برای اجرای موفقیت آمیز کد بر روی سیستم عامل میزبان از داخلParallels Desktop (40.000 دلار)
• بهره برداری از اشکال دسترسی خارج از حریم برای افزایش از یک کاربر استاندارد به دسترسی بنیادی در نسخه دسکتاپی اوبونتو (30.000 دلار)

آسیب پذیری های زوم که توسط دان کوپر و تیش آکیمید از شرکت کامپیوتست سکیوریتی مورد بهره برداری قرار گرفته اند، بسیار ویژه قابل توجه هستند زیرا این نقص ها به جز فرد شرکت کننده در تماس زوم، به هیچ تعامل و ارتباط دیگری با قربانی احتیاج ندارد. علاوه بر این، این مورد بر روی نسخه های ویندوز و مک این برنامه قابل انجام است اما مشخص نیست که نسخه های آندروید و iOS نیز شامل این آسیب پذیری میشوند یا خیر.

جزئیات فنی این نقص ها هنوز مشخص نیست، اما در بیانیه ای منتشر شده برای به اشتراک گذاری یافته ها، شرکت امنیتی هلندی گفت که محققان "پس از آن که تقریباً به طور کامل سیستم را تحت کنترل خود درآوردند و اقداماتی مانند روشن کردن دوربین، روشن کردن میکروفون، خواندن ایمیل ها، تغییر تنظیمات صفحات و بارگیری تاریخچه مرورگر را به مرحله اجرا رساندند".

هنگامی که باز مدیران زوم درخواست پاسخ شد، آنها اعلام کردند که این امر باعث ایجاد تغییرات در سرور برای بروزرسانی و رفع اشکالات شده است و خاطرنشان کرد که این گروه بر روی ترکیب حفاظت های اضافی برای رفع نواقص امنیتی کار می کند. این شرکت برای رسیدگی به مشکلات قبل از علنی شدنشان، فرصت 90 روزه دارد.

سخنگوی این شرکت به خبرگزاری ها گفت: "در تاریخ 9 آپریل، یک به روزرسانی سروری منتشر کردیم که در برابر حمله نشان داده شده در Pwn2Own در زوم چت از برنامه محافظت می کند. این بروزرسانی نیازی به اقدامی از سمت کاربران ندارد. ما در حال کار بر روی موارد کاهش هرچه بیشتر آسیب پذیری ها برای رفع کامل مشکلات اساسی زوم هستیم".

این شرکت همچنین اعلام کرد که به هیچ نشانه ای دال بر سوءاستفاده از باگ های کشف شده نرسیده است، در حالی که نقایص ذکر شده در جلسات ویدئویی زوم بی تاثیر هستند و "حمله فقط می تواند توسط یک تماس خارجی انجام شود که مخاطب آن حمله قبلاً تایید شده یا بخشی از همان حساب سازمانی هدف بوده باشد".

محقق مستقل، آلیسا ایساژ، همچنین پس از یافتن اشکال در نرم افزار مجازی سازی پاراللز، به عنوان اولین زنی که در Pwn2Own  برنده شد، تاریخ سازی کرد. اما تنها به دلیل اینکه این نقص قبل از برگزاری این رویداد به ZDI گزارش داده شده بود، او تنها برنده قسمتی از جوایز شد.

ایساگ در توئیتر خود نوشت: "من فقط می توانم این واقعیت را قبول کنم که مشارکت موفق من در Pwn2Own باعث جلب توجه به سمت برخی از موارد قابل تغییر و یا منسوخ شده در قوانین مسابقه شد". وی افزود: "در دنیای واقعی چیزی به عنوان "نکته قابل بحث"وجود ندارد. یک بهره برداری و نفوذ و سوءاستفاده سایبری، یا سیستم هدف را می شکند و رسوخ میکند یا خیر"!