اواخر ماه مارس سال جاری، خبری مبنی بر حمله‌ی باج‌افزاری موسوم به GandCrab به مشتریان «ارائه‌دهندگان خدمات مدیریت‌شده[1]» منتشر شد که از همان زمان احتمال می‌دادیم این تنها پرونده در نوع خود نخواهد بود. ارائه‌دهندگان خدمات مدیریت‌شده در حقیقت برای مجرمان سایبری آنقدر لقمه‌ی چرب و نرمی هستند که نمی‌شود نادیده‌شان گرفت. ظاهراً هم حق با ما بود.

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ در ماه آوریل، باج‌افزاری تحت عنوان Sodin توجه متخصصین ما را جلب کرد. این باج‌افزار با باج‌افزارهای دیگر تفاوت داشت؛ تفاوتش هم این بود که علاوه بر استفاده از شکاف‌های امنیتی در سیستم MSPها همچنین از آسیب‌پذیری‌ای در پلت‌فرم Oracle WebLogic نیز اکسپلویت می‌کرده است. و برخلاف معمول که همیشه باج‌افزار به داخلت کاربری نیاز دارد (برای مثال نیاز قربانی به اجرای یک فایل از ایمیل فیشینگ) در این مورد خاص هیچ مداخله‌ی کاربری‌ای نیز در کار نیست. از دیدگاه ما جالب‌ترین چیز در مورد این بدافزار، طریقه‌ی توزیعش است.

 

روش‌های توزیع Sodin

مهاجمین با هدف توزیع این بدافزار برای اجرای فرمان PowerShell روی سرور آسیب‌پذیرِ Oracle WebLogic بوسیله‌ی WebLogic از آسیب‌پذیری CVE-2019-2725 استفاده کردند. این کار بدان‌ها اجازه داد تا یک دراپر در سرور آپلود که بعداً هم نصب پی‌لود را به همراه داشت. پی‌لود چه بود: همان باج‌افزار Sodin. پچ‌های این باگ در تاریخ آوریل منتشر شدند اما اواخر ماه ژوئن باز آسیب‌پذیری مشابهی کشف شد- CVE-2019-2729.

در حملاتی که پای MSPها وسط می‌آید، Sodin به طرق مختلف روی دستگاه کاربر می‌نشیند. کاربرانِ دست کم سه ارائه‌دهنده‌ی خدمات مدیریت‌شده همین الانش هم قربانی این تروجان شدند. گفته می‌شود در برخی موارد مهاجمین از کنسول‌های دسترسی ریموت Webroot و Kaseya برای تزریق این تروجان استفاده کرده بودند. در برخی موارد دیگر مهاجمین با استفاده از کانکشن RDP، امتیازات بالا، راه‌حل‌های امنیتی دی‌اکتیوشده و بک‌آپ‌ها توانستند به زیرساخت MSP نفوذ کنند. سپس آن‌ها باج‌افزار در کامپیوتر مشتری دانلود کردند.

 

چه کاری از دست ارائه‌دهندگان سرویس برمی‌آید؟ ‌

برای شروع، تا جایی که ممکن است ذخیره‌ی رمزعبور برای دسترسی ریموت و همچنین احراز هویت دو عاملی را جدی بگیرید. کنسول‌های ریموت Kaseya و Webroot هر دو از احراز هویت دو عاملی پشتیبانی می‌کنند. علاوه بر این، بعد از این رویداد، توسعه‌دهندگان شروع کردند به در اختیار گرفتنِ کارکردِ آن. ظاهراً مهاجمینی که Sodin را توزیع می‌کنند منتظر یک فرصت استثنائی نیستند؛ آن‌ها از قصد دنبال متودهای گوناگونند تا بتوانند این بدافزار را از طریق ارائه‌دهندگان MSP توزیع کنند. به همین دلیل مجبورند به دقت به تمام ابزار دیگر که در این حوزه مورد استفاده قرار می‌گیرند نگاه کنند.

MSPها و خصوصاً آن‌هایی که خدماتی در راستای امنیت سایبری ارائه می‌دهند باید از زیرساخت‌های خود نهایت حراست را بکنند (حتی باید بیش از اینکه حواسشان به زیرساخت کلاینت است به زیرساخت خودشان باشد).

 

شرکت‌های دیگر باید چکار کنند؟

البته که آپدیت کردن نرم‌افزار هنوز هم از مهم‌ترین کارهاست. اینکه بدافزاری با آسیب‌پذیری‌هایی کشف‌شده به زیرساخت نفوذ کند و چند ماه پیش تازه بخواهد پچ شود نشان از سهل‌انگاری در اموری بسیار ساده دارد. شرکت‌هایی که از Oracle WebLogic استفاده می‌کنند ابتدا می‌بایست خود را با مشاوره‌های امنیتی Oracle (برای هر دو آسیب‌پذیری) آشنا کنند- CVE-2019-2725 و CVE-2019-2729. همچنین توصیه می‌کنیم از راه‌حل‌های امنیتی مطمئنی استفاده کنید که زیرمجموعه‌های مجهز به شناسایی باج‌افزار دارند و می‌توانند ایستگاه‌های کار را از گزند آن‌ها مصون نگه دارند.