هشدارهای افتایی
پژوهشگران امنیتی TrendMicro در ماه سپتامبر عملیاتی را مشاهده کردند که نوع پیشرفته یک حمله فیشینگ به شمار می‌رود. در این عملیات از ایمیل‌های به سرقت رفته استفاده شده است و از آن‌ها برای انتقال بدافزار در متن پاسخ به گفتگوهای موجود در ایمیل استفاده شده است. با این روش به راحتی می‌توان کاربران را فریب داد، زیرا قربانی ایمیل مخرب را از آدرسی دریافت می‌کند که با او گفتگویی در جریان دارد.
این حملات مشابه عملیات اسپم URSNIF/GOZI است که اوایل سال جاری توسط Talos کشف شد. در این حملات نیز از گفتگوهای موجود در ایمیل‌ها توسط بات‌نت Dark Cloud سوء استفاده شد.
بر اساس داده‌های TrendMicro، عملیات کشف شده کشورهای مناطق امریکا، اروپا، آسیا و امریکای لاتین را تحت تاثیر قرار داده است. همچنین سازمان‌های بخش‌های آموزشی، مالی، انرژی و همچنین صنایع حمل‌ونقل، تولیدی، دولتی و املاک مورد هدف حملات بوده‌اند.
بدلیل اینکه فرستنده فردی شناخته شده و پیام ایمیل بخشی از یک گفتگو در جریان است، قربانی به راحتی اعتماد خواهد کرد. با این حال موارد مشکوکی نیز در ایمیل‌ها دیده می‌شوند. واضح‌ترین مورد وجود دو زبان در متن ایمیل است. مثلا زبان عبارت استفاده شده در امضا فرانسوی است اما زبان عنوان انگلیسی است. یا مثلا همچنین متن ایمیل نیز تا حدی نا مربوط است.
هنگام بررسی سرایند (header) ایمیل‌ها، پژوهشگران TrendMicro نکات مختلفی را استخراج کردند. ابتدا، فارغ از اینکه حساب اصلی صاحب ایمیل از چه کشوری است، ایمیل‌های این عملیات از کشور امریکا ارسال شده‌اند. نکته دیگر این است که ایمیل‌های مختلفی با آدرس‌های مختلفی، همگی در ماه سپتامبر، ارسال شده‌اند. علاوه بر این، فرمت فایل پیوست شده بدین صورت است: [sender_company]+[string].doc یا [sender_company].doc، که در آن بخش اول نام شرکت ارسال کننده ایمیل است و بخش دوم یک کلمه‌‌ای است که در گفتگو استفاده شده است، مانند Inquiry، Statement و Request. احتمال می‌رود که این عملیات، موج جدیدی از عملیات اسپم URSNIF/GOZI باشد.
اگر قربانی روی فایل doc مخرب کلیک کند، قبل از اجرای فایل، یک کد PowerShell فراخوانی می‌شود که آخرین نسخه بدافزار URSNIF را از یک سرور C&C بارگیری می‌کند. این بدافزار بررسی‌هایی را قبل از اجرا انجام می‌دهد. بدافزار تنها روی سیستم‌عامل ویندوز، به ویژه نسخه ویستا به بالا اجرا می‌شود. همچنین در صورت شناسایی کدهای زبان CN (چین) و RU (روسیه)، بدافزار فعالیتی نمی‌کند.
بدنه نهایی این بدافزار یک فایل DLL است که هدف آن سرقت اطلاعات است. اطلاعاتی که سرقت می‌شوند شامل این موارد هستند: اطلاعات سیستم، لیست برنامه‌های نصب شده، لیست درایورهای نصب شده، لیست فرایندهای پردازشی در حال اجرا، لیست دستگاه‌های شبکه، آدرس آی‌پی خارجی، اطلاعات احرازهویت ایمیل (IMAP، POP3، SMTP)، کوکی‌ها، گواهی، ضبط ویدئو از صفحه (AVI) و اطلاعات مالی.
برای جلوگیری از شناسایی و سندباکس، یکی از کارهایی که انجام می‌شود این است که بدافزار مکان نشانه‌گر موس را دوبار بررسی می‌کند. اگر در این دو بار، مکان آن تغییر نکرده باشد، وجود سند باکس را شناسایی می‌کند. 
حملات فیشینگ بدلیل اتکا بر روش‌های مهندسی اجتماعی بسیار موثر هستند. در حملاتی که برای انتشار URSNIF استفاده شده، از ترفندی استفاده شده است که قربانیان به راحتی فریب می‌خورند. توصیه شده است تا کاربران در صورت وجود از احرازهویت دومرحله‌ای استفاده کنند تا از حساب‌های آنلاین خود محافظت کنند. علاوه بر این باید برای کاربران سازمان، آموزش‌هایی مبنی بر شناسایی ایمیل‌های فیشینگ و مشکوک ارائه شوند. همچنین باید از کلیک بر روی اسنادی تنظیمات امنیتی را در Word تغییر می‌دهند نیز پرهیز کرد.

نشانه‌های آلودگی (IoC):
هش‌های فایل doc:
•    bdd3f03fb074c55cf46d91963313966ce26afdb13b1444258f8f9e7e723d8395
•    dd7b4fc4d5cc1c1e25c800d5622423725a1b29000f93b658a54e267bbbe6f528
•    4df47982fdd1ac336625600fa8c947d45909248309b117d05fc532a2260c7bc4
•    f88ef62f2342f4d1105cfe85395b735efd3f0308b79551944983ce245d425510
•    567fe3794a9eec27697ae0634861d284279261880887f60a7374c6cbe63b7674
•    52d3ece98b6b3b686925156c3d62d8ce133fe3326e11b4c981c251452e4a41d2
•    4d0762a6b2879d2fa821716db76bc980fdb3b8507611d2853df58c0d4127f9ea
•    47e2c66ba16e3ffa9704a13f2c00670319bf292b3d2aa7deede5442da02181e5
•    c2c946f7fd63fc15048a9af4043686f5a56b169e74cb36892fb8d1563b810467
•    21ce42a1fc6631ed10db3d0e44b4ccb6d96a729fc494bd86a57cf07ff72cb8f2
•    de8f8f39259992886da3b07635cbf121027379e5c1a156a32c6c6e5ace3cc4c3
•    6b387b8534da9cc7cf0af4f2fb8c2a92f9316c0ea6ffb9cfe49b09b4c3df9778
•    6bf99f4b17a07e788219333d96a7a19c9eddc1b49d16c2a21da255a6a16c80d5
•    33d078881456e3b930c480803902fa28142b17c8550f3932e7cf4a1df0eb9213
•    6ca2d4dcea456b9d4c87f211ed20bb32f71a0c78ee8059b934162e643d66e0c9
•    82bee0c249b63f349d212a36f0b9ad90f909017ac734eac133353a1135d7474d
•    1f2e12a58cc23f4e6e7f17b8c1a5c50b88614fda103577354b9564f2dffc257f
•    1db71aec64d0e391a8c99f4f6ee214962a281733643ace0874cf69e2843f448c
•    c33d642da477f65c11daa9e8098b9917c4c5a6f131dd1369a20cb1b14c4cc261
•    398e677290b1db00d8751c3498847ad9c7d10721630175d2506c4d45af19d229
•    813a08d3b2216c89d42e8225c6de760d785905d1c76bd7428201d68c3c368f65
•    5aed7d6a3e8692143e53f9556cd3aa371149c96b91c02d1c659cb58d88572e47
URSNIF بارگیری شده:
•    0a38d92775cfc7182076d9a21c4937149ea8be6ebf22b9530afbca57d69c0d46
بدنه قابل اجرا:
•    358bd52ac46755b1c6fa73805a7a355450f85f4bcf1b2e798a04960743390422
•    e8633f2f2b6b0b8f7348b4660e325ab25b87ec8faa40fb49eb0215b31bd276aa
•    f92ba10fe245c00575ae8031d4c721fe0ebb0820a4f45f3bbce02654a6e7f18d
آدرس‌های URL:
•    hxxp://t95dfesc2mo5jr[.]com/RTT/opanskot[.]php?l=targa2[.]tkn
•    hxxp://enduuyyhgeetyasd[.]com/RTT/opanskot[.]php?l=omg8[.]tkn
•    hxxp://q0fpkblizxfe1l[.]com/RTT/opanskot[.]php?l=targa4[.]tkn
•    hxxp://2dhtsif1a8jhyb[.]com/RTT/opanskot[.]php?l=okb1[.]tkn
•    hxxp://yrtw1djmj6eth7[.]com/RTT/opanskot[.]php?l=okb7[.]tkn
•    hxxp://popoasdzxcqe[.]com/YUY/huonasdh[.]php?l=rgr7[.]tkn
•    hxxp://q0fpkblizxfe1l[.]com/RTT/opanskot[.]php?l=targa2[.]tkn
•    hxxp://e3u1oz4an1dqmj[.]com/RTT/opanskot[.]php?l=okb9[.]tkn
•    hxxp://popoasdzxcqe[.]com/YUY/huonasdh[.]php?l=rgr3[.]tkn
•    hxxp://2dhtsif1a8jhyb[.]com/RTT/opanskot[.]php?l=okb5[.]tkn
•    hxxp://hbhbasdqweb[.]com/YUY/huonasdh[.]php?l=rgr4[.]tkn
•    hxxp://q0fpkblizxfe1l[.]com/RTT/opanskot[.]php?l=targa4[.]tkn
سرورهای فرمان و کنترل (C&C):
•    app[.]kartop[.]at
•    doc[.]dicin[.]at
•    doc[.]avitoon[.]at
•    app[.]avitoon[.]at
•    ops[.]twidix[.]at
•    xx[.]go10og[.]at
•    api[.]kartop[.]at
•    m1[.]fofon[.]at
•    cdn[.]kartop[.]at
•    api[.]tylron[.]at
•    chat[.]twidix[.]at
•    api[.]kaonok[.]at
•    chat[.]jimden[.]at
•    mahono[.]cn

منبع:

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان شهید بهشتی، خیابان شهید صابونچی، کوچه دهم ،پلاک 36 ،مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.