سرورهای مایکروسافت SQL، اماج حملات باج‌افزار Trigona

سرورهای مایکروسافت SQL، اماج حملات باج‌افزار Trigona

جدیدترین گزارش‌های منتشره در حوزه امنیت سایبری حکایت از آن دارند که مهاجمان در حال نفوذ به سرورهای MS-SQL (مایکروسافت SQL) دارای امنیت ضعیف می‌باشند تا باج‌افزار Trigona را در سیستم مستقر کرده و به رمزگذاری تمامی فایل‌ها بپردازند. این سرورها توسط حملات Brute-Force و یا دیکشنری از طریق در اختیار گرفتن حساب‌های کاربری که دارای نام کاربری و رمز عبور قابل حدس می‌باشند مورد حمله قرار می‌گیرند. مهاجمان در مرحله اول پس از اتصال به سرور یک باج‌افزار که توسط شرکت AhnLab (محققان امنیت سایبری مستقر در کشور کره جنوبی) CLR Shell نام گرفته است را در سیستم رها می‌کنند. این باج‌افزار به‌منظور دسترسی به داده‌های سیستمی، تغییر پیکربندی حساب‌های کاربری تحت نفوذ قرار گرفته و افزایش سطح دسترسی‌های فرآیند LocalSystem از طریق بهره‌برداری از یک حفره امنیتی موجود در سرویس ورود ثانویه ویندوز مورد استفاده قرار می‌گیرد.

در مرحله دوم، مهاجمان اقدام به نصب و اجرای یک باج‌افزار Dropper در قالب سرویس داخلی svcservice.exe ویندوز می‌نمایند که در قدم بعدی برای اجرای باج‌افزار Trigona در لباس مبدل svchost.exe مورد استفاده قرار می‌گیرد. تنظیم پیکربندی باینری باج‌افزار برای اجرای خودکار پس از هر بار ریستارت به‌منظور اطمینان از باقی ماندن فایل‌ها در حالت کدگذاری شده از جمله دیگر اقدامات مهاجمان به شمار می‌رود. علاوه بر آن پیش از اجرای فرآیند رمزگذاری فایل‌ها و نمایش پیغام‌های باج‌خواهی، باج‌افزار قابلیت سیستم ریکاوری ویندوز را غیرفعال کرده و تمامی کپی‌های Windows Volume Shadow را نیز پاک‌سازی می‌کند تا عملیات ریکاوری فایل‌ها بدون دسترسی به کلیدهای کدگشایی را عملاً غیرممکن نماید.

عملیات باج‌خواهی Trigona برای اولین بار در اکتبر 2022 میلادی توسط گروه MalwareHunter کشف شده و سپس به‌وسیله رسانه BleepingComputer مورد تحلیل و بررسی قرار گرفته است. گروه مسئول حملات باج‌خواهی خود را تنها در قالب ارز دیجیتال Monero به انجام رسانده و تاکنون 190 نفر را به‌صورت جهانی قربانی خود کرده‌اند. باج‌افزار Trigona به غیر از دایرکتوری Windows و Program Files، تمامی دیگر فایل‌های سیستم را کدگذاری کرده و پس از افزودن پسوند ._locked به‌تمامی فایل‌ها، کلیدهای کدگشایی کدگذاری شده، شناسه کمپین و شناسه قربانی (نام شرکت) را در تمامی فایل‌ها تعبیه می‌نماید. ایجاد یک فایل تحت عنوان “how_to_decrypt.hta” حاوی لینک دارک نت و کد احراز هویت مربوطه جهت اتصال به وب‌سایت در تمامی فولدرها از جمله دیگر اقدامات این باج‌افزار به شمار می‌رود. در انتها لازم به ذکر است که گروه مسئول حمله ادعای فاش نمودن تمامی اطلاعات سرقت شده در دارک نت در صورت عدم پرداخت مبلغ درخواستی را نیز مطرح کرده است.

منبع: BleepingComputer

محمدجواد قلی پور

محمدجواد قلی پور

جذابیت دوچندان حوزه‌های الکترونیک و کامپیوتر باعث شده است تا محمدجواد نسبت به نگارش اخبار و مقالات در رسانه‌های اینترنتی از خود علاقه نشان دهد. او اکنون بیشتر از یک دهه در این زمینه فعال بوده و تاکنون صدها مقاله در حوزه‌های مختلف و هزاران خبر را تدوین و در رسانه‌های سخت‌افزاری معروف ایران منتشر کرده است تا تلاشی هر چند کوچک را در راستای رفع مشکلات الکترونیکی و کامپیوتری کاربران به انجام رسانده باشد.
محمدجواد قلی پور

محمدجواد قلی پور

جذابیت دوچندان حوزه‌های الکترونیک و کامپیوتر باعث شده است تا محمدجواد نسبت به نگارش اخبار و مقالات در رسانه‌های اینترنتی از خود علاقه نشان دهد. او اکنون بیشتر از یک دهه در این زمینه فعال بوده و تاکنون صدها مقاله در حوزه‌های مختلف و هزاران خبر را تدوین و در رسانه‌های سخت‌افزاری معروف ایران منتشر کرده است تا تلاشی هر چند کوچک را در راستای رفع مشکلات الکترونیکی و کامپیوتری کاربران به انجام رسانده باشد.
مطالب مرتبط:
  1. کشف یک بدافزار جدید به نام Goldoson در سیستم‌عامل آندروید
  2. انتشار یک به‌روزرسانی اورژانسی برای گوگل کروم | مرورگر خود را سریعاً آپدیت کنید!
  3. دومین آسیب‌پذیری روز صفر مربوط به کتابخانه Skia در مرورگر کروم رفع شد
  4. حمله مهاجمان به وب‌سایت‌های وردپرسی با استفاده از پلاگین قدیمی Eval PHP

پر بازدیدترین‌های اخبار

جدیدترین‌های اخبار

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *