بر اساس گزارشی از شرکت فایرآی (FireEye, Inc) گروهی از مهاجمان با سوءاستفاده از آسیب‌پذیری CVE-۲۰۲۱-۲۰۰۱۶ در محصولات SonicWall SMA ۱۰۰ به نفوذ در شبکه و توزیع باج‌افزار FiveHands بر روی دستگاه‌ها اقدام کردند.
این گروه از مهاجمان که فایرآی از آنها با عنوان UNC۲۴۴۷ یاد کرده قبل از آن که وصله CVE-۲۰۲۱-۲۰۰۱۶ در اواخر فوریه در دسترس قرار بگیرد از این آسیب‌پذیری سوءاستفاده می‌کرده است.
در اوایل سال میلادی جاری مشخص شد که مهاجمان از طریق این آسیب‌پذیری روز – صفر به سامانه‌های داخلی سونیک‌وال نفوذ کرده بودند. از آن زمان تاکنون گروه‌های مختلف از مهاجمان از CVE-۲۰۲۱-۲۰۰۱۶ در برخی حملات خود استفاده کرده‌اند.
در جریان حمله UNC۲۴۴۷، مهاجمان از Cobalt Strike بمنظور ماندگاری در سیستم و نصب بکدور SombRAT بهره گرفته‌شده است.
نخستین نسخه از باج‌افزار FiveHands در اکتبر ۲۰۲۰ شناسایی شد.
FiveHands بسیار مشابه با باج‌افزار HelloKitty است. هر دوی آنها بر پایه باج‌افزار DeathRansom توسعه داده شده‌اند. HelloKitty در فاصله بین می تا دسامبر ۲۰۲۰ حضوری فعال داشت و از ابتدای سال ۲۰۲۱ این باج‌افزار جای خود را به FiveHands داده است.
علاوه بر امکانات و توابع مشابه و وجود شباهت‌هایی در کدنویسی، Favicon سایت این دو بدافزار در شبکه Tor نیز یکسان است(شکل زیر).

چت باج‌افزار FiveHands در شبکه Tor

FiveHands دارای قابلیت‌های بیشتری در مقایسه با HelloKitty و DeathRansom است(شکل زیر). از جمله می‌توان به قابلیت بهره‌گیری از Windows Restart Manager برای بستن فایل‌های در حال استفاده و در نتیجه فراهم شدن امکان رمزگذاری آنها اشاره کرد. همچنین FiveHands مجهز به کتابخانه‌های اختصاصی رمزگذاری، دریافت‌کننده بر روی حافظه (Memory-only Dropper) و درخواست‌های موسوم به Asynchronous I/O است.

مقایسه FiveHands با HelloKitty و DeathRansom

به گفته فایرآی، مهاجمان UNC۲۴۴۷ پس از رمزگذاری اطلاعات قربانی تلاش می‌کنند تا با جلب‌ توجه رسانه‌ها و پیشنهاد فروش داده‌های سرقت شده در فروم‌های هکرها قربانیان خود را مجبور به پرداخت باج کنند.
UNC۲۴۴۷ توزیع باج‌افزار Ragnar Locker را نیز در کارنامه دارد.
در ماه مارس هم فایرآی از شناسایی سه آسیب‌پذیری روز – صفر در محصولات سونیک‌وال خبر داده بود. مهاجمان UNC۲۶۸۲ از این آسیب‌پذیری‌ برای توزیع وب شل‌های BEHINDER، نفوذ به شبکه قربانی و دستیابی به فایل‌ها و ایمیل‌های قربانی بهره گرفته بودند.
مشروح گزارش فایرآی در لینک زیر قابل دریافت و مطالعه است:

https://www.fireeye.com/blog/threat-research/۲۰۲۱/۰۴/unc۲۴۴۷-sombrat-and-fivehands-ransomware-sophisticated-financial-threat.html

نشانه‌های آلودگی
منبع:

https://www.bleepingcomputer.com/news/security/new-ransomware-group-uses-sonicwall-zero-day-to-breach-networks/