هشدارهای افتایی
در اواخر ماه آگوست، یک گروه تحلیل تهدیدهای سایبری با نام nao_sec، یک اکسپلویت کیت جدید معروف به Fallout را کشف کردند که برای توزیع باج‌افزار GandCrab و سایر کدهای مخرب از جمله برنامه‌های ناخواسته مورد استفاده قرار گرفته است. پس از اینکه این اکسپلویت کیت در یک وبسایت بکار گرفته شود، از آسیب‌پذیری‌های CVE-2018-4878 مربوط به Flash Player و CVE-2018-8174 مربوط به موتور VBScript ویندوز برای انتقال بدافزار به سیستم‌های بازدیدکنندگان بهره‌برداری می‌شود. نکته جالب توجه این است که کشف این اکسپلویت کیت در زمان انتقال و نصب دانلودکننده SmokeLoader( که برای نصب CoalaBot و یک بدافزار ناشناخته دیگر بکار گرفته شده است) می‌باشد.
 علاوه بر این، اکسپلویت کیت Fallout توسط شرکت امنیتی FireEye در یک حمله ارسال تبلیغات مخرب در  منطقه خاورمیانه، جنوب اروپا و کشورهای منطقه آسیا و اقیانوسیه نیز مشاهده شده است. شرکت امنیتی FireEye مشاهده کرد که اکسپلویت کیت Fallout باج‌افزار GandCrab را در سیستم‌های ویندوزی نصب می‌کند. همچنین کاربران macOS را به صفحاتی منتقل می‌کند که تبلیغات نرم‌افزار آنتی‌ویروس جعلی یا Adobe Flash Player جعلی را نمایش می‌دهد.
 
 

این اکسپلویت کیت در ابتدا تلاش می‌کند تا از VBScript بهره‌برداری کند، سپس از یک نقص در Flash Player سوء استفاده می‌کند. پس از اجرای کد اکسپلویت، یک تروجان در سیستم‌های ویندوزی دانلود و اجرا می‌شود. سپس کد مخرب تمامی فرایندهای اجرایی در حال اجرا را بازنویسی می‌کند، checksumهای آن‌ها را ایجاد و آن‌ها را با checksumهای یک لیست سیاه مقایسه می‌کند. این لیست حاوی ابزارهای مرتبط با تحلیل و ماشین مجازی است:
    vmwareuser.exe   •
    vmwareservice.exe   •
   vboxservice.exe   •
    vboxtray.exe   •
    Sandboxiedcomlaunch.exe   •
    procmon.exe   •
    regmon.exe   •
    filemon.exe   •
   wireshark.exe   •
    netmon.exe   •
    vmtoolsd.exe   •
در صورتی که هیچ یک از فرایندهای اجرایی بالا در سیستم آلوده در حال اجرا نباشند، تروجان یک DLL را دانلود و اجرا می‌کند تا باج‌افزار GandCrab نصب شود.
IoCها:
:Fallout Exploit Kit
   (naosecgomosec.gq (185.243.112.198   •
    c148012f9ce59daea1abce2cfaac9c0732e86b7eb00468222b63436306c39d26   •

:Nullsoft Installer self-extracting archive
    60d8c76564e9c6ca8435b8e83be9743cc7793091856d7d624eb5f899d055024a   •
:SmokeLoader
    (killermansopitu.com (185.177.23.245   •
   6626c19e3f0d2fa6d2a16dcda9e3907c1af6acb223d58815ff6bb8f538b698f4   •
  6625c5281a46079b5f9b20ded3426d2022a4f796f2325878bdc59d6bb9c7c36c   •
    5b5a961e9f5bc9e8adc9562caa8c6e99be456fa211d9df7df996b2a18e896d74   •
    82.196.2.225   •
    185.170.43.95   •

:(Bot (New.exe)
    845888758736860a37b969cadcbaa6ed8f7db601c3597ecae477331bf6b81eb4   •
    karnevallizdageil.com (185.239.238.204   •
  idontlikeitwhenyoudoit.ru   •
    merhabaslm.su   •
  ichockealotkrug.com   •
   wheniseeyourdedows.com   •
   justreggitifyouknowit.ru   •
    himynameisnoah.su   •
 iliketopunchnoah.com   •

:CoalaBot
    65f85f643efdcde095b905aabbaa40fbdae89a0209614ada8f43f1d6295f7045   •
  185.170.43.95   •

منبع:

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.