هشدارهای افتایی
آزمایشگاه Morphisec در طول دو هفته گذشته، افزایش فعالیت‌های آلوده‌سازی قربانیان توسط بدافزار AVE_MARIA را با استفاده از روش‌های مختلف فیشینگ مشاهده کرده است. AVE_MARIA یک بدافزار سرقت اطلاعات پیشرفته است که نسبتا جدید بوده و اولین مستندات مشاهده آن مربوط به اواخر سال 2018 است.
به گزارش معاونت بررسی مرکز افتا، به نقل از این آزمایشگاه، در حالی که بدافزار قبلا از AutoIt به عنوان بخشی از مرحله دانلودکننده AVE_MARIA استفاده می‌کرد، کمپین جدیدی شناسایی‌شده که از روش‌های اضافی و پیشرفته‌تر مخفی‌کاری برای انتقال یک بدافزار سارق اطلاعات مشابه استفاده می‌کند. همچنین، مشاهده شده‌ است که با استفاده از مراحل تحویل بدافزار Orcus RAT و اجزای بدون فایلRevenge RAT، با شناسایی و حملات عمیق به فرآیندهای پردازشی مجاز ویندوز از شناسایی بدافزار جلوگیری می‌کنند.
بدافزار به دنبال یک کمپین ایمیل موفق فیشینگ، یک VBScript مخرب اجرا می‌کند. این VBScript حاوی یک فرمان PowerShell است که مولفه اولیه مرحله Recon یا شناسایی را دانلود می‌کند. مرحله اول فرمان PowerShell ، مولفه RevengeRat را مستقیما از paste.ee، یک سایت شناخته شده ذخیره متن رایگان، در حافظه دانلود می‌کند. این مولفه با سرور C&C خود ارتباط برقرار کرده و تمام اطلاعات اولیه رایانه هدف (فرآیندهای پردازشی در حال اجرا، نرم‌افزارهای ضدویروس نصب شده، نام کاربری، ماشین، درایوهای سیستم و موارد دیگر) را به عنوان بخشی از مرحله شناسایی ارسال و سپس مرحله بعدی فرمان PowerShell  را اجرا می‌کند.
AVE_MARIA و دانلودکننده که بعد از مرحله اول شرح ‌داده‌ شده اجرا می‌شود، جزو بخش اصلی مرحله دوم فرمان PowerShell نیستند. این موضوع باعث پایین آمدن احتمال تشخیص بدافزار توسط ابزارهای شناسایی می‌شود. اولین URL در paste.ee نشان‌دهنده دانلودکننده است، که فرایند مدنظر خود را روی یک فرایند مجاز ویندوز اجرا می‌کند. همین ماژول قبلا نیز به عنوان بخشی از کمپینOrcus RAT استفاده شده‌ بود. دانلودکننده با استفاده از ابزارهای خودکار مبهم‌سازی می‌شود و به راحتی می‌تواند توسط ابزار de4dot  رفع‌ابهام شود. 
این بدافزار با 194.5.98[.]139 ارتباط برقرار می‌کند که قبلا به عنوان سرور  C&Cبرای کمپین Orcus RAT شناخته شده ‌بود.

نشانه‌های آلودگی (IoC):
:VBS
•    hxxps://paste[.]ee/r/d8Xpk/0
Revenge RAT Recon Downloader:
•    hxxps://paste[.]ee/r/YoY3z/0
-AVE_MARIA Downloader :
•    hxxps://paste[.]ee/r/cbaHS
•    hxxps://paste[.]ee/r/VsX9H
AVE_MARIA:
•    hxxps://paste[.]ee/r/4AIl0
•    hxxps://paste[.]ee/r/T36RL
دامنه‌ها و IP:
•    list131.ignorelist[.]com
•    194.5.98[.]139

منبع : 

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.