هشدارهای افتایی
کد و زیرساخت دو خانواده بدافزاری به همراه تهدید جدیدی به نام Xwo مشاهده شده است که به عوامل باج‌افزار MongoLock کمک می‌کند تا وب‌سرویس‌های حفاظت نشده قابل دسترس در اینترنت را شناسایی کنند.
به گزارش معاونت بررسی مرکز افتا، به نقل از پایگاه اینترنتی BleepingComputer، بدافزار MongoLock پایگاه‌داده‌های MongoDB را مورد هدف قرار می‌دهد، آنها را از سرور پاک می‌کند و برای بازگردانی آنها تقاضای باج می‌کند.
Xwo یک اسکنر بات مبتنی بر پایتون است که به منظور فعالیت‌های شناسایی و جاسوسی طراحی شده است. این تهدید بر اساس رنج IPهای دریافت شده از سرور فرمان و کنترل (C&C)، گذرواژه‌های پیش‌فرض را برای سرویس‌های مختلف بررسی می‌کند و نتیجه را به سرور ارسال می‌کند. در اصل Xwo یک ابزار مخرب نیست اما می‌تواند برای مقاصد مخرب به کار گرفته شود.
پژوهش‌ها نشان می‌دهند که Xwo تلاش می‌کند تا اطلاعات احرازهویت پیش‌فرض را برای پایگاه‌داده‌های مختلف (MySQL، PostgreSQL و MongoDB) و Redis و Memcached در سیستم‌های ذخیره‌سازی داده‌ها در حافظه و سرویس‌های FTP بررسی کند. در صورتی که اسکنر Apache Tomcat در سیستم پیدا کند، از یک ماژول برای بررسی پیکربندی نامناسب و گذرواژه پیش‌فرض استفاده می‌کند. همچنین اطلاعات اضافی مانند مسیرهای پیش‌فرض SVN، Git و پشتیبان نیز جمع‌آوری می‌شوند.
سرورهای C&C بدافزار از سرویس‌های CDN مربوط به CloudFlare استفاده می‌کند. براساس VirusTotal، در حال حاضر 37 ضدویروس Xwo را به عنوان یک تهدید شناسایی می‌کنند. بخشی از کد اسکنر Xwo با بدافزار Xbash مشابه است. بدافزار Xbash دارای قابلیت‌های باج‌افزاری و استخراج رمزارز است که سرورهای لینوکس و مایکروسافت را هدف قرار می‌دهد. Xbash که توسط گروه Iron ایجاد شده است مشابه MongoLock است و پایگاه‌داده‌های محافظت نشده (MySQL، PostgreSQL و MongoDB) را شناسایی و حذف می‌کند.

نشانه‌های آلودگی (IoC):
هش MD5:
•    fd67a98599b08832cf8570a641712301
هش SHA1:
•    1faf363809f266bb2d90fb8d3fc43c18253d0048
هش SHA256:
•    6408c69e802de04e949ed3047dc1174ef20125603ce7ba5c093e820cb77b1ae1
دامنه‌ها:
•    Blockchainbdgpzk[.]tk
•    Pcrisk[.]xyz
•    Propub3r6espa33w[.]tk
نام‌های هاست:
•        d.pcrisk[.]xyz
•        s.blockchainbdgpzk[.]tk
•        s.pcrisk[.]xyz
•        s.propub3r6espa33w[.]tk
•        s.rapid7[.]xyz
URLها:
•    hxxp://bucket-chain.oss-cn-hongkong.aliyuncs[.]com/xwo.exe
•    hxxp://s.blockchainbdgpzk[.]tk/ci2
•    hxxp://s.pcrisk[.]xyz/ci2
•    hxxp://s.propub3r6espa33w[.]tk/ci2
•    hxxp://s.rapid7[.]xyz/ci2


منابع:

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.