هشدارهای افتایی
پژوهشگران بیش از هزار سرور ثبت شده در امریکا را شناسایی کردند که از ده خانواده بدافزار مختلف میزبانی و از طریق عملیات فیشینگ مرتبط با بات‌نت Necurs آن‌ها را توزیع می‌کنند.
به گزارش معاونت بررسی مرکز افتا، به نقل از پایگاه‌اینترنتی ZDNet، پژوهشگران Bromium در روز پنجشنبه اعلام کردند که در بازه زمانی مارچ 2018 تا مارچ 2019 بر چندین عملیات مخرب مرتبط با این زیرساخت نظارت کرده‌اند. در این سرورها پنج تروجان بانکی شامل Dridex، Gootkit، IcedID، Nymaim و Trickbot؛ دو باج‌افزار شامل Gandcrab و Hermes؛ و سه بدافزار سارق اطلاعات شامل Fareit، Neutrino و Azorult مشاهده شده‌اند.
یکی از این سرورها متعلق به یک سیستم مستقل است که سرویس میزبانی bulletproof نام دارد. 11 سرور دیگر متعلق به یک شرکت در Nevada است که سرورهای خصوصی مجازی به فروش می‌رساند. به گفته پژوهشگران، ایمیل‌های فیشینگ بردار حمله اصلی حملات شناسایی شده است. در این حملات از فایل‌های Word حاوی ماکروهای VBS مخرب استفاده شده است. ایمیل‌ها در قالب یک سازمان شناخته شده ارسال شده‌اند و محتوای آن‌ها مربوط به موقعیت‌های شغلی است.
سرورها برای عملیات مختلف مورد استفاده مجدد قرار گرفته‌اند. برای مثال در 9 مارس یک سرور برای توزیع تروجان بانکی IcedID به کار گرفته و یک هفته بعد همان سرور برای میزبانی Dridex استفاده شد. در مورد دیگری، پژوهشگران Bromium یک وب سرور را مشاهده کردند که در مدت 40 روز از شش خانواده بدافزاری مختلف میزبانی کرده است.
علاوه بر این، شواهدی نیز وجود دارند که نشان می‌دهد سرورها با بات‌نت Necurs در ارتباط هستند. نشانه‌های آلودگی (IoC) سرورها و بدافزارها در ادامه ارائه شده‌اند:
مسیرفایل اجرایی مخرب:
•    %TEMP%\qwerty2.exe
آدرس سرورها:
•    198[.]98[.]62[.]207
•    205[.]185[.]117[.]187
•    205[.]185[.]117[.]44
•    205[.]185[.]118[.]194
•    205[.]185[.]121[.]209
•    205[.]185[.]125[.]109
•    205[.]185[.]125[.]244
•    209[.]141[.]33[.]154
•    209[.]141[.]34[.]8
•    209[.]141[.]38[.]71
•    209[.]141[.]41[.]188
•    209[.]141[.]55[.]226
•    209[.]141[.]56[.]224
•    209[.]141[.]57[.]39
•    209[.]141[.]57[.]59
•    209[.]141[.]59[.]124
•    209[.]141[.]60[.]230
•    209[.]141[.]61[.]249
فایل‌های مخرب:
•    hxxp://198[.]98.62.207/seledka.exe
•    hxxp://198[.]98.62.207/ldr.exe
•    hxxp://205[.]185.117.187/olalala/putty.exe
•    hxxp://205[.]185.117.44/olala/get.php
•    hxxp://205[.]185.118.194/rozita.exe
•    hxxp://205[.]185.121.209/1.exe
•    hxxp://205[.]185.121.209/azo.exe
•    hxxp://205[.]185.121.209/5.exe
•    hxxp://205[.]185.125.109/samanta.exe
•    hxxp://205[.]185.125.244/1.hta
•    hxxp://205[.]185.125.244/1.exe
•    hxxp://209[.]141.33.154/luiluiluiluilui/lucky.exe
•    hxxp://209[.]141.33.154/youwin.exe
•    hxxp://209[.]141.34.8/potty.jpg
•    hxxp://209[.]141.34.8/test1.exe
•    hxxp://209[.]141.41.188/default.exe
•    hxxp://209[.]141.41.188/soft.exe
•    hxxp://209[.]141.55.226/troll.jpg
•    hxxp://209[.]141.55.226/26.jpg
•    hxxp://209[.]141.55.226/troll1.jpg
•    hxxp://209[.]141.56.224/youwin.exe
•    hxxp://209[.]141.57.39/zzzcccnnn/putty.exe
•    hxxp://209[.]141.57.59/11111.exe
•    hxxp://209[.]141.57.59/youwin.exe
•    hxxp://209[.]141.59.124/hrms.exe
•    hxxp://209[.]141.59.124/azo.exe
•    hxxp://209[.]141.59.124/cc.exe
•    hxxp://209[.]141.59.124/dridex.exe
•    hxxp://209[.]141.59.124/1.exe
•    hxxp://209[.]141.59.124/521.exe
•    hxxp://209[.]141.59.124/123.exe
•    hxxp://209[.]141.60.230/521.exe
•    hxxp://209[.]141.60.230/516.exe
•    hxxp://209[.]141.61.249/521.exe
•    hxxp://209[.]141.61.249/516.exe
•    hxxp://209[.]141.61.249/23.exe
•    hxxp://209[.]141.61.249/555.exe
•    hxxp://209[.]141.61.249/666.exe
•    hxxp://209[.]141.61.249/777.exe
•    hxxp://l-jaxx[.]com/x/clear.exe
•    hxxp://l-jaxx[.]com/x/cli.exe
•    hxxp://monkeyinferno[.]net/seledka.exe
•    hxxp://monkeyinferno[.]net/ldr.exe


منبع:

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.