به تازگی حملاتی کشف‌شده که در جریان آن‌ها، مهاجمان باج‌افزار Yanluowang با به‌کارگیری بدافزار BazarLoader در مرحله شناسایی (Reconnaissance)، سازمان‌های ایالات‌متحده را با تمرکز بر روی بخش مالی مورد هدف قرار داده‌اند.
به گزارش مرکز مدیریت راهبردی افتا، بر اساس تاکتیک‌ها، تکنیک‌ها و رویه‌های مشاهده‌شده (Tactics, Techniques, and Procedures – به‌اختصار TTP)، مهاجمان باج‌افزار Yanluowang از خدمات موسوم به “باج‌افزار به‌عنوان سرویس” (Ransomware-as-a-Service – به‌اختصار RaaS) استفاده می‌کنند و ممکن است با باج‌افزار Thieflock که توسط گروه Fivehands توسعه‌یافته در ارتباط باشند.
به نقل از محققان سیمانتک (Symantec)، این مهاجمان حداقل از ماه اوت به اهدافی بزرگ‌تری در ایالات‌متحده حمله کرده‌اند.
درحالی‌که باج‌افزار Yanluowang بر روی مؤسسات مالی تمرکز دارد، شرکت‌هایی را در بخش‌های تولید، خدمات فناوری اطلاعات، مشاوره و مهندسی نیز مورد هدف قرار داده است.
گروه باج‌افزاری Fivehands نیز نسبتاً گروه جدیدی است و برای اولین بار در ماه آوریل در گزارشی توسط Mandiant شناخته شد که آن را به گروه UNC۲۴۴۷ نسبت داده بودند و سپس CISA نیز در گزارش زیر نسبت به حملات این گروه هشدار داد.

https://us-cert.cisa.gov/ncas/analysis-reports/ar۲۱-۱۲۶a

در آن زمان، Mandiant عنوان کرد که UNC۲۴۴۷ قابلیت‌های پیشرفته‌ای برای عدم‌تشخیص و به‌حداقل‌رساندن شناسایی پس از نفوذ توسط محصولات و راهکارهای امنیتی دارد و گردانندگان آن، باج‌افزار RagnarLocker را نیز منتشر کرده‌اند.
سیمانتک خاطرنشان می‌کند که ارتباط بین حملات اخیر Yanluowang و حملات قدیمی‌تر باج‌افزار Thieflock غیرقطعی است، زیرا تنها به چندین TTP زیر که در حملات باج‌افزار Fivehands یافت شده، استناد شده است.
به‌کارگیری ابزارهای بازیابی رمز عبور معمول و ابزارهای منبع‌باز (مانند GrabFF)
به‌کارگیری ابزارهای منبع‌باز پویش شبکه (مانند SoftPerfect Network Scanner)
استفاده از مرورگر S۳ Browser و Cent Browser برای بارگذاری و دانلود داده‌ها
قبل از استقرار باج‌افزار بر روی دستگاه‌های موردنظر، گردانندگان باج‌افزار، اقدامات زیر را انجام می‌دهند:
ایجاد یک فایل .txt شامل فهرستی از ماشین‌های شناسایی‌شده راه دور جهت بررسی خط فرمان (Command Line).
به‌کارگیری Windows Management Instrument- به‌اختصار WMI – جهت استخراج فهرستی از پروسه‌های در حال اجرا در ماشین‌های راه دور که در فایل .txt ذکرشده است.
ثبت تمام لاگ‌های (Logs) مربوط به پروسه‌ها و اسامی ماشین‌های راه دور در processes.txt

پس از استقرار، باج‌افزار Yanluowang مستقرشده، اقدامات زیر انجام می‌شود:
تمام ماشین‌های مجازی Hypervisor را که بر روی کامپیوتر آلوده‌شده در حال اجرا هستند، متوقف می‌کند.
پروسه‌های فهرست شده در processes.txt را که شامل SQL و نرم‌افزار تهیه نسخه پشتیبان (Veeam Back up) است، خاتمه می‌دهد.
فایل‌ها را روی کامپیوتر آلوده رمزگذاری می‌کند و به انتهای هر فایل، پسوند .yanluowang را اضافه می‌کند.
اطلاعیه باج‌گیری (Ransome Note) به نام README.txt را روی کامپیوتر آلوده‌شده و سیستم‌های رمزگذاری شده قرار می‌دهد.

تحلیل باج‌افزار Yanluowang نشان می‌دهد که هیچ مدرکی قطعی که نشان دهد نویسندگان این باج‌افزار همان نویسندگان Fivehands هستند، وجود ندارد. محققان احتمال می‌دهند که حملات باج‌افزار Yanluowang توسط شرکای سابق Thieflock در انجام می‌شود.
پس از دسترسی و نفوذ به شبکه موردنظر، مهاجمان از PowerShell برای دانلود مواردی همچون بدافزار BazarLoader جهت گسترش آلودگی در سطح شبکه (Lateral Movement) استفاده می‌کنند.
BazarLoader توسط بات‌نت TrickBot که باج‌افزار Conti را نیز منتشر می‌کند، به اهداف موردنظر منتقل می‌شود. به تازگی، گردانندگان TrickBot شروع به تغییر بات‌نت Emotet نیز کرده‌اند.
مهاجمان Yanluowang، پروتکل Remote Desktop Service  – به‌اختصار RDP را از طریق Registry فعال می‌کنند و برای دسترسی از راه دور، ابزار ConnectWise را نصب می‌کنند.
محققان اعلام نموده‌اند که وابستگان این باج‌افزار، برای کشف سیستم‌های موردنظر خود، ابزار پرس‌وجوی متنی مبتنی بر Active Directory (AdFind) را برای جستجو در Active Directory بکار می‌گیرند و از SoftPerfect Network Scanner برای یافتن نام سرورها و سرویس‌های شبکه استفاده می‌کنند.
همچنین آن‌ها برای سرقت اطلاعات اصالت‌سنجی از مرورگرهای Firefox، Chrome و Internet Explorer ماشین‌های آلوده، از ابزارهایی همچون GrabFF، GrabChrome و BrowserPassView استفاده می‌کنند.
نتایج تحقیقات محققان شرکت سیمانتک حاکی از آن است که مهاجمان از KeeThief برای سرقت کلید اصلی (Master Key) به‌منظور مدیریت رمز عبور در KeePass، ابزارهای تصویربرداری از صفحه (Screen Capture) و ابزار استخراج داده Filegrab استفاده کرده‌اند.
در اطلاعیه باج‌گیری باج‌افزار Yanluowang، مهاجمان تهدید کرده‌اند که قربانی به نهادهای قانونی مراجعه نکند یا از شرکت‌های مذاکره‌کننده باج‌افزار، درخواست کمک نکند. مهاجمان همچنین اعلام کرده‌اند که چنانچه قربانی، از درخواست آن‌ها اطاعت نکند، اقدام به اجرای حملات منع سرویس توزیع‌شده (Distributed Denial-of-Service – DDoS)، تماس با شرکای تجاری آنان و پاک‌کردن داده‌ها خواهند کرد. تصویر زیر نمونه‌ای از اطلاعیه باج‌گیری این باج‌افزار را نمایش می‌دهد:

باوجوداینکه باج‌افزار Yanluowang همچنان درحال‌توسعه است، بسیار خطرناک بوده و یکی از بزرگ‌ترین تهدیداتی است که سازمان‌ها در سراسر جهان با آن مواجه هستند.
مشروح یافته‌های شرکت سیمانتک در خصوص باج‌افزار Yanluowang در نشانی‌های زیر قابل دریافت و مطالعه است:

https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/yanluowang-targeted-ransomware
https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/yanluowang-ransomware-attacks-continue

نشانه‌های آلودگی
منبع:

https://www.bleepingcomputer.com/news/security/yanluowang-ransomware-operation-matures-with-experienced-affiliates/

(با تشکر از شرکت مهندسی شبکه‌گستر برای همکاری در تهیه این گزارش)