هشدارهای افتایی
کارشناسان امنیتی کسپرسکی اعلام کردند که در ماه گذشته هزاران کاربر مورد هدف حملات بدافزاری Roaming Mantis قرار گرفتند.
به گزارش معاونت بررسی مرکز افتا، به نقل از پایگاه اینترنتی SecurityAffairs، بدافزار Roaming Mantis برای اولین بار در مارچ 2018 مشاهده شد که به مسیریاب‌های ژاپنی نفوذ کرد و باعث انتقال کاربران به سایت‌های مخرب شد. آخرین موج حملات این بدافزار بر گسترش لینک‌های فیشینگ از طریق پیامک تمرکز دارد که قربانیان این حملات در کشورهای روسیه، ژاپن، هند، بنگلادش، قزاقستان، آذربایجان، ایران و ویتنام قرار دارند.
بدافزارهای مرتبط با Roaming Mantis بیش از 6800 بار توسط پژوهشگران مشاهده شدند که این تعداد برای 950 کاربر منحصر به فرد و در بازه 25 فوریه تا 20 مارچ 2019 (6 تا 29 اسفند 97) است.
همراه با تکنیک دستکاری DNS که در گذشته انجام شده بود، مهاجمین از روش فیشینگ جدیدی با پیکربندی‌های موبایل مخرب استفاده کردند. مهاجمین از صفحات فرود جدیدی برای هدف قرار دادن دستگاه‌های iOS استفاده کردند که باعث نصب پیکربندی مخرب در iOS می‌شود. این پیکربندی باعث باز شدن سایت فیشینگ در مرورگر دستگاه‌های هدف می‌شود تا اطلاعات قربانیان جمع‌آوری شوند. کاربران اندروید توسط بدافزارهایی آلوده شدند که Trend Micro آن را با نام XLoader و McAfee با نام MoqHao شناسایی می‌کنند.
در اواخر ماه فوریه 2019، کارشناسان یک URL را شناسایی کردند که مهاجمین از آن برای تغییر DNS مسیریاب استفاده کردند. این حمله تحت شرایطی موفق عمل می‌کند که هیچ احرازهویتی برای کنترل پنل مسیریاب وجود نداشته باشد، دستگاه یک نشست ادمین برای پنل مسیریاب داشته باشد و نام‌کاربری و گذرواژه پیش‌فرض برای مسیریاب تعیین شده باشد (برای مثال admin:admin).
کارشناسان کسپرسکی هزاران مسیریاب را کشف کردند که از این طریق DNS آن‌ها به آدرس‌های مخرب تغییر یافته است. این نوع حمله توسط فایل sagawa.apk نیز انجام شده است.
در تصویر زیر کشورهای آلوده به همراه میزان آلودگی مشخص شده‌اند (اندروید):

 
برای جلوگیری از نفوذ و آلودگی توسط این حملات، موارد زیر توصیه می‌شوند:
•    تغییر شناسه و گذرواژه‌های پیش‌فرض و اعمال وصله‌های امنیتی منتشر شده،
•    عدم دانلود فایل‌های APK از منابع نامعتبر توسط کاربران اندروید،
•    عدم نصب پیکربندی ثالث نامعتبر توسط کاربران iOS.

نشانه‌های آلودگی (IoC):
هاست‌های مخرب:
•    114.43.155[.]227
•    220.136.47[.]169
•    220.136.49[.]137
•    220.136.39[.]1
•    118.168.130[.]236
•    171.244.33[.]114
•    171.244.33[.]116
•    61.230.153[.]211
•    154.223.62[.]130
•    ffakecg[.]com
•    sagawa-mwm[.]com
•    sagawa-mqd[.]com
•    sagawa-bz[.]com
•    nttdocomo-qae[.]com
•    nttdocomo-qat[.]com
هش sagawa.apk و ماژول‌های آن:
•    417a6af1172042986f602cc0e2e681dc
•    651b6888b3f419fc1aac535921535324
•    0a4e8d3fe5ee383ba3a22d0f00670ce3
•    870697ddb36a8f205478c2338d7e6bc7
•    7e247800b95c643a3c9d4a320b12726b
•    7cfb9ed812e0250bfcb4022c567771ec
•    8358d2a39d412edbd1cf662e0d8a9f19
•    7cfb9ed812e0250bfcb4022c567771ec
•    af2890a472b85d473faee501337564a9
•    c8d7475a27fb7d669ec3787fe3e9c031
•    d0848d71a14e0f07c6e64bf84c30ee39
•    e2b557721902bc97382d268f1785e085

منابع:
https://securityaffairs.co/wordpress/83504/cyber-crime/roaming-mantis-rrecent-campaign.html
https://securelist.com/roaming-mantis-part-iv/90332/
 

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.