به گفته محققان، اپراتورهای باج‌افزار Black Kingdom شرکت‌های بزرگی که در شبکه‌های خود از نسخه قدیمی Plus VPN استفاده می‌کنند را هدف قرار داده است و با این روش دسترسی اولیه مورد نیازشان را ایجاد می‌کنند.

این بدافزار در دام یکی از هانی‌پات‌ها گرفتار شد و فرصت بررسی بیشتر آن برای محققان فراهم گردید.

نحوه کار بدافزار:

در این کمپین از آسیب‌پذیری CVE-۲۰۱۹-۱۱۵۱۰ بهره‌جویی شده که این آسیب‌پذیری در نسخه‌های قدیمی Plus VPN وجود داشته و در آوریل ۲۰۱۹، پچ رفع ایراد آن منتشر شده‌است. برخی شرکت‌ها، با وجود انتشار اسناد این آسیب‌پذیری، از بروزرسانی کردن اپلیکیشن خودداری کردند. این امر هشدارهای جدی دولت آمریکا را در پی داشت و موجب افزایش سوءاستفاده برخی عوامل از آن گردید. برخی از سازمان‌ها هنوز هم از نسخه‌های آسیب‌پذیر این نرم‌افزار استفاده می‌کنند.

شرکت‌ها امنیتی هلندی به نام Redteam.pl شاهد حمله‌ای بودند که در آن اپراتورهای Black Kingdom با استفاده از حفره امنیتی Plus VPN به شبکه‌ای مجازی که فکر می‌کردند قربانی واقعی آنهاست، حمله کردند.

بنابه گفته این تیم تحقیقاتی، پس از اینکه بدافزار وارد شبکه یا سیستم قربانی شد، خود را به عنوان یکی از فعالیت‌های برنامه‌ریزی‌شده‌ اپلیکیشن Google Chrome معرفی می‌کند.

به گفته این تیم، فعالیت یاد شده دستوری که با رشته Base64 کدگذاری شده را اجرا می‌کند که طبق نظر تیم ReadTeam.PL می‌تواند یک ترمینال پاورشل معکوس را بر روی سیستم قربانی اجرا کند.

IP مربوط به سرور هکر ها ۱۹۸.۱۳.۴۹.۱۷۹ بوده که یک VPS ارزان قیمت می‌باشد و توسط هکرها مورد استفاده قرار می‌گیرد.

سه دامنه به این IP متصل است که دامنه سوم به چند سرور انتشار بدافزار اندروید و استخراج رمز ارز در آمریکا و ایتالیا متصل است.

  • host.cutestboty.com
  • keepass.cutestboty.com
  • anno1119.com

باج‌افزار Black Kingdom برای اولین بار در فوریه دیده شد. در این کمپین پس از رمزنگاری، فایل‌ها با پسوند .DEAMON بر روی سیستم قربانی ذخیره می‌‍‌شد.

در نمونه‌های تحلیل شده از این کمپین مشاهده گردید که بدافزار با همان IP گزارش شده توسط تیم REDTEAM ارتباط برقرار کرده‌اند. متن زیر پیامی است که به قربانی ارسال شده است. در این پیام از قربانی خواسته‌شده که به کیف پول رمزارز یاد شده در متن، به ارزش ۱۰ هزار دلار، بیت کوین واریز شود، همچنین در ادامه پیام نوشته شده که در صورت عدم پرداخت هزینه، اطلاعات قربانی حذف و فروخته خواهد شد.

نظرات

نظر (به‌وسیله فیس‌بوک)