حمله باج افزار MegaCortex به شبکه های سازمانی

واحد مرکزی خبر دوشنبه ۱۶ اردیبهشت ۱۳۹۸ ساعت ۱۶:۳۷
باج افزار جدیدی با نام MegaCortex در حال هدف قرار دادن شبکه های سازمانی است و پس از نفوذ به یک شبکه، با استفاده از کنترل کننده های دامنه ویندوز توزیع می شود

به گزارش خبرگزاری صدا و سیما به نقل از روابط عمومی مرکز مدیریت راهبردی افتای ریاست جمهوری به نقل از پایگاه اینترنتی BleepingComputer، در شبکه هایی که با باج افزار MegaCortex آلوده شده اند تروجان های Emotet یا Qakbot مشاهده شده است.
روند آلوده سازی شبکه های سازمانی نشان می دهد مهاجمین از تروجان ها برای دسترسی به سیستم های آلوده بهره می برند؛ روشی که در روند حملات باج افزار Ryuk مشاهده شده بود.
قربانیان اعلام کرده اند که حملات از "کنترل کننده دامنه دستکاری شده " آغاز و بر روی کنترل کننده دامنه، Cobalt Strike منتقل و اجرا شده است تا یک shell معکوس به سمت هاست مهاجم ایجاد شود.
مهاجم با استفاده از این shell دسترسی راه دور به کنترل کننده دامنه بدست می آورد و آن را برای توزیع یک کپی از PsExec و یک فایل batch به رایانه های شبکه پیکربندی می کند. PsExec فایل اجرایی اصلی بدافزار است. در ادامه مهاجم از طریق فایل PsExec فایل batch را بصورت کنترل از راه دور اجرا می کند.
فایل batch تعداد ۴۴ فرایند پردازشی مختلف، ۱۹۹ سرویس ویندوز و ۱۹۴ سرویس دیگر را متوقف می کند. پس از متوقف شدن سرویس هایی که مانع اجرای بدافزار یا مانع رمزگذاری روی فایل ها می شوند، فایلی با نام winnit.exe اجرا می شود. این فایل یک فایل DLL تصادفی را استخراج و آن را توسط rundll۳۲.exe اجرا می کند. فایل DLL مولفه اصلی باج افزار است که رایانه قربانی را رمزگذاری می کند پس از رمزگذاری، پسوند aes۱۲۸ctr به فایل ها اضافه می شود، مانند تمام باج افزارها، یک فایل txt با محتوای نحوه پرداخت باج نیز ایجاد می شود.