هشدارهای افتایی
پژوهشگران Sophos اخیرا روش حمله جدیدی را مشاهده کرده‌اند که در آن یک وب سرور اجراکننده Apache Tomcat هدف قرار گرفته است. تلاش مهاجمین در این حمله انتقال بدافزار کاوش‌گر رمز ارز به سرور قربانی بوده است.
به گزارش معاونت بررسی مرکز افتا، به نقل از Sophos، دلیل اصلی وقوع این حمله استفاده از گذرواژه‌هایی که به راحتی قابل حدس زدن هستند یا گذرواژه‌های ضعیف در صفحه مدیریت Tomcat است. مرحله اول حمله با بهره‌برداری از روش جستجوی فراگیر (brute-force) در پنل ادمین Tomcat انجام شده است.
پس از حدس گذرواژه سرور، مهاجمین یک درخواست HTTP POST به سرور ارسال می‌کنند. درخواست POST به صفحه ادمین Tomcat انجام می‌شود که این صفحه دارای قابلیت بارگذاری برنامه‌های وب به سرور است. این برنامه‌ها در قالب فایل‌هایی با پسوند war هستند. سپس، مهاجم یک فایل war دلخواه با نام admin-manager.war به سرور ارسال می‌کند که حاوی یک فایل JSP مخرب با نام admin.jsp است. این فایل دارای سه قابلیت ایجاد اطلاعات پروفایل سیستمی، ساخت فایل جدید روی سرور Apache یا اجرای دستور در سرور است.
در حمله مشاهده شده توسط Sophos، مهاجمین دستوراتی را به منظور راه‌اندازی کاوش‌گر رمز ارز در سیستم، اجرا کردند. این دستورات در ابتدا فرایندهای پردازشی WMIC.exe، RegSvr32.exe و PowerShell.exe را متوقف می‌کند و سپس وجود PowerShell 1.0 در مسیر %systemroot%\System32\WindowsPowerShell\v1.0\PowerShell.exe را بررسی می‌کند که مهاجم از آن برای اجرای اسکریپت استفاده می‌کند. در صورت عدم وجود این فایل، از فایل RegSvr32.exe استفاده می‌شود.
اسکریپت‌های مخرب مهاجم که بصورت زنجیره‌ای اجرا می‌شوند، در نهایت منجر به انتقال یک payload به نام Neutrino می‌شوند. این payload با دستکاری مسیر system32 و فایل HOSTS، رکوردهای DNS استخرهای کاوش رمز ارز را بررسی و در صورت نیاز این فایل را ویرایش می‌کند. همچنین، لیستی از فرایندهای پردازشی نیز توسط این payload بررسی می‌شوند که در صورت وجود متوقف شوند. Payload اصلی کاوش‌گر در مرحله آخر منتقل می‌شود و با استفاده از منابع سرور، به استخراج رمز ارز می‌پردازد.
با توجه به روش نفوذ اولیه مهاجمین، با استفاده از گذرواژه‌های قوی و مناسب، می‌توان از این نوع حمله جلوگیری کرد.
نشانه‌های آلودگی (IoC):
دامنه‌ها و آدرس IP:
•    134.175.33.71
•    xmr.usa-138.com
•    wk.ctosus.ru
•    down.ctosus.ru
•    blog.ctoscn.ru
•    down.9ni.top
•    down.sxly518.xyz
•    gowel.top
•    m4.rui2.net
URLها:
•    hxxp://134.175.33.71/Update/PSN/_DL.ps1
•    hxxp://134.175.33.71/Update/test/x64.bin
•    hxxp://134.175.33.71/Update/test/x64_VMP.bin
•    hxxp://134.175.33.71/Update/test/x86.bin
•    hxxp://134.175.33.71/Update/test/x86_VMP.bin
•    hxxp://134.175.33.71/Update/test/_WMI.ps1
هش فایل DL.php:
•    2F908ECDC20923D703F05DA6EEDE76EB14DCA296
منبع:

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.