انتشار باج‌افزار RYUK در پی آسیب‌پذیری ZEROLOGON

انتشار باج‌افزار RYUK در پی آسیب‌پذیری ZEROLOGON

باج‌افزار Ryuk با هدف قرار دادن سازمان‌های بزرگ در سراسر جهان شناخته شده است که اغلب بوسیله بدافزارهای شناخته شده‌ای مانند Emotet و TrickBot توزیع و منتشر می‌شود. این باج‌افزار اولین بار در آگوست سال 2018 کشف شد و از آن زمان به بعد سازمان‌های مختلفی را آلوده و میلیون‌ها دلار از قربانیان سرقت کرده است. تجزیه و تحلیل‌ها نشان می‌دهد که Ryuk نتیجه توسعه سفارشی یک بدافزار قدیمی به نام Hermes است. اخیرا محققان از ارتباط Ryuk با آسیب‌پذیری خطرناک Zerologon پرده برداشتند. Zerologon یک آسیب‌پذیری خطرناک است که با شناسه "CVE-2020-1472" شناخته می‌شود، این آسیب‌پذیری به دلیل نقص در فرآیند ورود به سیستم است که به مهاجم اجازه می‌دهد با استفاده از پروتکل Netlogon یا (Netlogon Remote Protocol (MS-NRPC، اتصال یک کانال آسیب‌پذیر Netlogon را با یک کنترل‌کننده دامنه برقرار کند. بر اساس گزارش DFIR، مهاجمان از طریق بدافزار Bazar Loader به محیط دسترسی نفوذ می‌کنند. در این حمله جدید، مهاجمان سریعتر به هدف خود می‌رسند اما تاکتیک‌ها و تکنیک‌های کلی با حملات قبلی مشابه است. در این باج‌افزار، مهاجمان به عنوان یک کاربر عادی با دسترسی محدود شروع به کار کرده و با بهره‌برداری از آسیب‌پذیری Zerologon به کنترل‌کننده دامنه اصلی دسترسی پیدا می‌کنند. اقدامات جانبی به کار گرفته شده از طریق انتقال فایل SMB و اجرای WMI انجام می‌شوند و هنگامی که به کنترل‌کننده دامنه ثانویه منتقل می‌شوند، عاملان تهدید دامنه بیشتری را از طریق Net و ماژول PowerShell Active Directory شناسایی می‌کنند. مهاجمان با اجرای باج‌افزار بر روی کنترل‌کننده دامنه اصلی، هدف خود را به پایان می‌رسانند. جهت مقابله با این بدافزار، باید اطمینان حاصل شود که وصله منتشر شده مایکروسافت در شبکه اعمال شود.