در آگوست 2022، خانواده باج افزاری شروع به استقرار کرد که با نام play خود را معرفی نمود. براساس تحلیل های صورت گرفته، استقرار باج افزار play به عامل تهدید با عنوان DEV-0882 نسبت داده می شود. این گروه برای دستیابی به اهداف خود از اعتبارنامه ها compromised شده استفاده می نماید.
بر طبق مشاهدات انجام شده، چندین آسیب پذیری امنیتی Exchange Server نیز شناسایی شده است که توسط DEV-0882 برای دسترسی اولیه استفاده می شود. پس از بدست آوردن دسترسی اولیه، DEV-0882 چندین کار را برای ایجاد پایداری و شروع move laterally در یک شبکه انجام می دهد که عبارتند از:
- یک سری از دستورات PowerShell کدگذاری شده با Base64 را با استفاده ازInvoke-Expression (iex) برای اجرای ابزارها و اسکریپت های هک را Launche می کند.
- PuTTY Link را برای برقراری ارتباط با زیرساخت های کنترل شده توسط مهاجم دانلود می کند.
- SystemBC backdoor را نصب می کند.
- با استفاده از command یک Local User را ایجاد و به گروه Administrator و گروه کاربران Remote Desktop اضافه می کند تا persistence را انجام دهد. در سرورهای Exchange در معرض خطر، این دستورات توسط exe ایجاد می شوند و فعالیت مشکوک w3wp.exe را درExchange Server نشان می دهد.
- با استفاده از ابزار Mimikatz، اخذ اعتبار را برای دسترسی به LSASS dumps انجام می دهد.
- شناسایی Active Directory را با استفاده از ابزارهایی مانند Sharphound یا ADFind انجام می دهد.
- با استفاده از یک نرم افزار قانونی دسترسی از راه دور مانند Any Desk یک دسترسی برای خود ایجاد می کند.
راه هایی برای کاهش این خطر پذیری
- مسدود سازی process هایی که ارتباطی با دستوراتWMI و PsExec دارند.
- مسدود سازی اجرای Executable Files به جز آنهایی که قبلا مورد تایید قرار گرفته اند.
- مسدود سازی سرقت اعتبار از lsass.exe
روش های تشخیص این حمله
در صورت استفاده از راهکار شناسایی و پاسخ در نقطه پایانی (XDR) و تحلیل فعالیت های مرتبط، هشدارهای زیر مشاهده می گردد:
- مشاهده فعالیت مخرب مرتبط با Mimikatz
- مشاهده فعالیت مخرب مرتبط با SystemBC
تهدید DEV-0882 از تکنیک های زیر که در جدول مایتراتک موجود می باشد استفاده نموده است.
شرکت مهندسی امن ارتباط سینداد کلیه IOA و IOC های مرتبط با تشخیص این حمله را به سامانه های خود افزوده است.
| Initial Access | Persistence | Privilege Escalation | Credential Access | Discovery | Command and Control | Impact |
| Drive-by Compromise | Account Manipulation | Abuse Elevation Control Mechanism | Adversary-in-the-Middle | Account Discovery | Application Layer Protocol | Account Access Removal |
| Exploit Public-Facing Application | BITS Jobs | Access Token Manipulation | Brute Force | Application Window Discovery | Communication Through Removable Media | Data Destruction |
| External Remote Services | Boot or Logon Autostart Execution | Boot or Logon Autostart Execution | Credentials from Password Stores | Browser Bookmark Discovery | Data Encoding | Data Encrypted for Impact |
| Hardware Additions | Boot or Logon Initialization Scripts | Boot or Logon Initialization Scripts | Exploitation for Credential Access | Cloud Infrastructure Discovery | Data Obfuscation | Data Manipulation |
| Phishing | Browser Extensions | Create or Modify System Process | Forced Authentication | Cloud Service Dashboard | Dynamic Resolution | Defacement |
| Replication Through Removable Media | Compromise Client Software Binary | Domain Policy Modification | Forge Web Credentials | Cloud Service Discovery | Encrypted Channel | Disk Wipe |
| Supply Chain Compromise | Create Account | Escape to Host | Input Capture | Cloud Storage Object Discovery | Fallback Channels | Endpoint Denial of Service |
| Trusted Relationship | Create or Modify System Process | Event Triggered Execution | Modify Authentication Process | Container and Resource Discovery | Ingress Tool Transfer | Firmware Corruption |
| Valid Accounts | Event Triggered Execution | Exploitation for Privilege Escalation | Multi-Factor Authentication Interception | Debugger Evasion | Multi-Stage Channels | Inhibit System Recovery |
| External Remote Services | Hijack Execution Flow | Multi-Factor Authentication Request Generation | Domain Trust Discovery | Non-Application Layer Protocol | Network Denial of Service | |
| Hijack Execution Flow | Process Injection | Network Sniffing | File and Directory Discovery | Non-Standard Port | Resource Hijacking | |
| Implant Internal Image | Scheduled Task/Job | OS Credential Dumping | Group Policy Discovery | Protocol Tunneling | Service Stop | |
| Modify Authentication Process | Valid Accounts | Steal Application Access Token | Network Service Discovery | Proxy | System Shutdown/Reboot | |
| Office Application Startup | Steal or Forge Authentication Certificates | Network Share Discovery | Remote Access Software | |||
| Pre-OS Boot | Steal or Forge Kerberos Tickets | Network Sniffing | Traffic Signaling | |||
| Scheduled Task/Job | Steal Web Session Cookie | Password Policy Discovery | Web Service | |||
| Server Software Component | Unsecured Credentials | Peripheral Device Discovery | ||||
| Traffic Signaling | Permission Groups Discovery | |||||
| Valid Accounts | Process Discovery | |||||
| Query Registry |