هشدارهای افتایی
در یک عملیات سایبری، به منظور استخراج مخفیانه رمزارز TurtleCoin بیش از 50 هزار سرور MS-SQL و PHPMyAdmin مورد نفوذ مهاجمین قرار گرفته است.
به گزارش معاونت بررسی مرکز افتا، به نقل از پایگاه اینترنتی BleepingComputer، در این عملیات سایبری با عنوان  Nansh0u سرورهای مستقر در نقاط مختلف جهان و متعلق به صنایع مختلف هدف قرار گرفته است که بیش از 700 قربانی جدید به طور روزانه به آمار آن افزوده می‌شود.
این عملیات در اوایل ماه آوریل شناسایی شد و آغاز آن به ماه فوریه برمی‌گردد.
پژوهشگران هنگام بررسی حملات، 20 نسخه مختلف  payloadمخرب ، 5 سرور حمله و 6 سرور اتصال مجدد را شناسایی کرده اند.
 به منظور نفوذ به سرورهای Windows MS-SQL و PHPMyAdmin، مهاجمین از مجموعه‌ای از ابزارها از جمله یک اسکنر پورت، یک ابزار جستجوی فراگیر (brute-force) برای MS-SQL و یک ماژول اجرای از راه دور استفاده می‌کنند. ابزار اسکنر پورت، سرورهای MS-SQL را از طریق بررسی پورت‌های باز MS-SQL شناسایی می‌کند و سپس ابزار جستجوی فراگیر با بهره‌گیری از هزاران نام‌کاربری و گذرواژه متداول و پر استفاده، برای وارد شدن به سرور تلاش می‌کند.
پس از نفوذ به سرور، اپراتورهای عملیات Nansh0u آن‌ها را با 20 نسخه مختلف payload مخرب آلوده می‌کنند. این کار با استفاده از یک اسکریپت MS-SQL انجام می‌شود. این اسکریپت payloadها را در سیستم آلوده دانلود و نصب می‌کند. برای نصب payloadها، از یک آسیب‌پذیری افزایش سطح دسترسی با شناسه CVE-2014-4113 استفاده شده است.
بدافزارهای منتقل شده دارای قابلیت‌های زیر هستند:
• اجرای کاوش‌گر رمزارز
• ایجاد پایداری در سیستم از طریق دستکاری کلیدهای رجستیری
• محافظت از فرایند کاوش رمزارز توسط یک روت‌کیت نوع کرنل
• نظارت بر تداوم کاوش‌گر
بیشتر payloadهای منتقل شده یک درایور نوع کرنل مبهم‌سازی شده با یک نام تصادفی نیز منتقل می‌کنند. این درایورها که فرایند جلوگیری توسط موتورهای ضدویروس را دور می‌زنند، به منظور محافظت از فرایند کاوش رمزارز و جلوگیری از توقف آن‌ها طراحی شده‌اند.
نشانه‌های آلودگی (IoC) این عملیات توسط پژوهشگران ارائه شده‌اند که به صورت موارد زیر هستند:
هش‌ها: 
  • 685f1cbd4af30a1d0c25f252d399a666  xfa3BEB.tmp
  • c5c99988728c550282ae76270b649ea1  DesktopLayer.exe
  • 70857e02d60c66e27a173f8f292774f1  apexp.exe
  • 68862438fae4c937107999ff9d8ff709  apexp2012.exe
  • 3ccb047b631ed6cab34ef11ccf43e47f  sisr8Aj.sys
  • 1f9007fbf6a37781f7880c10fc57a277  dllhot.exe
  • 5899fde33dc7cf35477b998c714454eb  dllhot.exe
  • 1ad8d0594f9baffe332ccfefb25475df  apexd.exe
  • 1873944ee02b9e68af2d4997da5e5426  avast.exe
  • e6b9054759e4d2d10fcf42d47d9e9221  avast.exe
  • 1770c9bf4a41c5115425d76df052b6a2  killtrtl.exe
  • 2d740789efd7f16bff42651ae69b0893  kvast.exe
  • 876e504b8ddb231d8eeaefa2b9e38093  kvast.exe
  • e27490ae6debe3be25794b4dcbaa8e24  gold.exe
  • 1f0606c722693c9307ebf524c53f3375  kvast.exe
  • 19594b72fc16539a5122217e6e3bb116  avast.exe
  • 6dd0276e1f66f672e8c426c53b3125a5  rock.exe
  • 82e55177fa37a34dca1375d542c06ac0  rock.exe
  • 7c4b1ebba507bc2d0085278d28a899b2  rocks.exe
  • c06c3a79f70bfd5474bab8a13acdb87e  rocks.exe
  • 8ca92722641c73758e5a762033e09b11  lt.exe
  • 9887d95973ac89c802571c2bbd346cbf  canlang.exe
  • 252d1721335108cdc643d36c40d4eaf6  lolcn.exe
  • b9161d07b4954d071ae0f26c81e56807  lolcn.exe
  • 3425fc4d60a7401c934c73a12a30742b  lcn.exe
  • 93610bed2e15e2167a67c0e18fee7e08  lcn.exe
  • b79f7a7947cb7e9ea1f0d7648e765cee  tl.exe
  • df4bacb064a4668e444fd67585ea1d82 tls.exe
IPها:

 
  • 102.165.51.80
  • 102.165.51.106
  • 111.67.206.87
  • 112.85.42.158
  • 114.115.164.211
  • 119.131.209.186
  • 107.173.21.146
  • 107.173.21.239
منبع:
 

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.