هشدارهای افتایی
پژوهشگران Trend Micro بدافزار جدیدی را کشف کرده‌اند که از کانال‌های Slack، GitHub و سایت اشتراک‌گذاری فایل file.io برای سرقت داده از رایانه‌های ویندوزی استفاده می‌کند. این بدافزار با استفاده از حملات Watering hole نوع بخصوصی از قربانیان را هدف قرار می‌دهد.
به گزارش معاونت بررسی مرکز افتا، به نقل از وب‌سایت BleepingComputer، این بدافزار که SLUB نام دارد، در یک فرایند آلوده‌سازی چند مرحله‌ای مشاهده شده است و با زبان C++ نوشته شده است. بدافزار SLUB از کتابخانه‌های curl، boost و JsonCpp استفاده می‌کند تا درخواست HTTP برای استخراج دستورات از Gist و تفسیر ارتباطات کانال Slack را انجام دهد.
عوامل SLUB از یک اکسپلویت برای بهره‌برداری از آسیب‌پذیری اجرای کد از راه دور CVE-2018-8174 استفاده کردند تا به یک وب‌سایت نفوذ کنند و از این راه بتوانند اولین مرحله حمله را با انتقال یک دانلودکننده در قالب یک فایل DLL که از PowerShell استفاده می‌کند، انجام دهند.
براساس جزئیاتی که در تحلیل TrendMicro ارائه شده است، حملات watering hole به گونه‌ای است که قربانیانی که فعالیت‌های سیاسی را پیگیری می‌کنند را هدف قرار می‌دهد.
دانلودکننده مرحله اول بدافزار، پس از اجرا وجود برنامه‌های ضدبدافزار را بررسی و در صورت شناسایی فرایند خود را متوقف می‌کند و به طور خودکار خارج می‌شود. در غیر این صورت مرحله بعدی اجرا می‌شود که در این مرحله از آسیب‌پذیری CVE-2015-1701 در درایور حالت کرنل ویندوز بهره‌برداری می‌شود تا سطح دسترسی بالاتر حاصل شود.
درپشتی SLUB یک قطعه Gist دانلود می‌کند که مهاجمین دستورات مورد نیاز خود را در آن ذخیره کرده‌اند. این کار باعث می‌شود که دستورات به ازای هر قربانی بخصوص شخصی‌سازی شوند. این عملیات تنها برای استخراج اطلاعات کاربران انجام شده است.
نتایج دستورات اجرا شده توسط SLUB از طریق کانال Slack استخراج  و همچنین فایل‌های موجود در دسکتاپ کاربر و پوشه آرشیو اسکایپ، به همراه داده‌های دیگر، به فضای ابری File.io ارسال می‌شود.
 
پس از گزارش Trend Micro، حساب کاربرای GitHub که از قطعه‌های Gist میزبانی می‌کرد بسته شد و فضای کاری Slack استفاده شده در حمله نیز متوقف شد.
نشانه‌های آلودگی (IoC):
•    3ba00114d0ae766cf77edcdcc953ec6ee7527181968c02d4ffc36b9f89c4ebc7
•    43221eb160733ea694b4fdda70e7eab4a86d59c5f9749fd2f9b71783e5da6dd7
•    hxxps://gist.github[.]com/kancc14522/626a3a68a2cc2a91c1ece1eed7610c8a


منابع:

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.