هشدارهای افتایی
باج‌افزار جدیدی با نام MegaCortex کشف شده که در حال هدف قرار دادن شبکه‌های سازمانی است. این باج‌افزار پس از نفوذ به یک شبکه، با استفاده از کنترل‌کننده‌های دامنه ویندوز در کل شبکه توزیع می‌شود.
به گزارش معاونت بررسی مرکز افتا، به نقل از پایگاه اینترنتی BleepingComputer، در شبکه‌هایی که با باج‌افزار MegaCortex آلوده شده‌اند تروجان‌های Emotet یا Qakbot مشاهده شده است. این موضوع نشان می‌دهد که مشابه روند حملات باج‌افزار Ryuk، مهاجمین از تروجان‌ها برای دسترسی به سیستم‌های آلوده بهره می‌برند.
قربانیان اعلام کرده‌اند که حملات از کنترل‌کننده دامنه دستکاری شده آغاز و بر روی کنترل‌کننده دامنه، Cobalt Strike منتقل و اجرا شده است تا یک shell معکوس به سمت هاست مهاجم ایجاد شود. مهاجم با استفاده از این shell دسترسی راه دور به کنترل‌کننده دامنه بدست می‌آورد و آن را برای توزیع یک کپی از PsExec و یک فایل batch به رایانه‌های شبکه پیکربندی می‌کند. PsExec فایل اجرایی اصلی بدافزار است. در ادامه مهاجم از طریق فایل PsExec فایل batch را بصورت کنترل از راه دور اجرا می‌کند.
فایل batch تعداد 44 فرایند پردازشی مختلف، 199 سرویس ویندوز و 194 سرویس دیگر را متوقف می‌کند. پس از متوقف شدن سرویس‌هایی که مانع اجرای بدافزار یا مانع رمزگذاری روی فایل‌ها می‌شوند، فایلی با نام winnit.exe اجرا می‌شود. این فایل یک فایل DLL تصادفی را استخراج و آن را توسط rundll32.exe اجرا می‌کند. فایل DLL مولفه اصلی باج‌افزار است که رایانه قربانی را رمزگذاری می‌کند. پس از رمزگذاری، پسوند aes128ctr به فایل‌ها اضافه می‌شود. مانند تمامی باج‌افزارها، یک فایل txt با محتوای نحوه پرداخت باج نیز ایجاد می‌شود.

نشانه‌های آلودگی (IoC):
IP سرور C&C:
•    89.105.198.28
هش فایل‌ها:
•    Batch file - 37b4496e650b3994312c838435013560b3ca8571
•    PE EXE - 478dc5a5f934c62a9246f7d1fc275868f568bc07
•    DLL - 2f40abbb4f78e77745f0e657a19903fc953cc664


منبع:

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.