هشدارهای افتایی
اکسپلویت کیت RIG در حال آلوده کردن رایانه قربانیان توسط یک باج‌افزار جدید با نام Buran است. باج‌افزار Buran نوعی از باج‌افزار Vega است که قبلا در یک عملیات انتشار آگهی مخرب توزیع شده بود.
به گزارش معاونت بررسی مرکز افتا، به نقل از پایگاه اینترنتی BleepingComputer، اخیرا در یک عملیات مخرب قربانیان به صفحه آلوده به اکسپلویت کیت RIG منتقل شده‌اند که باج‌افزار Buran را به عنوان payload نهایی در سیستم قربانی نصب می‌کند.
صفحه آلوده به اکسپلویت کیت RIG تلاش می‌کند تا از آسیب‌پذیری‌های مرورگر اینترنت اکسپلورر بهره‌برداری کند. در تصویر زیر نمونه‌ای از این فرایند قابل مشاهده است:
 
در صورت موفقیت‌آمیز بودن اکسپلویت، مجموعه‌ای از دستورات اجرا می‌شوند که باج‌افزار را در نهایت به رایانه هدف انتقال می‌دهد و آن را اجرا می‌کند. این باج‌افزار نوع دیگری از باج‌افزار Vega است که پیش‌تر توسط پژوهشگران ESET مشاهده شده است. فرایند رمزگذاری توسط باج‌افزار Buran در اکثر مراحل مشابه باج‌افزار Vega است.
اکسپلویت کیت RIG فایل اجرایی باج‌افزار را در سیستم قربانی منتقل و اجرا می‌کند. سپس باج‌افزار خود را در آدرس %APPDATA%\microsoft\windows\ctfmon.exe کپی می‌کند و از این آدرس اجرا می‌شود. پس از اجرای فایل باج‌افزار، فرایند رمزگذاری فایل‌های قربانی آغاز می‌شود. در حین فرایند رمزگذاری، باج‌افزار کلیدهای رمزگذاری خصوصی و عمومی را در کلید رجیستری HKEY_CURRENT_USER\Software\Buran ذخیره می‌کند. در صورت کشف راهکاری برای رمزگشایی فایل‌ها توسط پژوهشگران، نگهداری این کلید رجیستری می‌تواند مفید باشد.
نشانه‌های آلودگی (IoC) باج‌افزار Buran و Vega (Buhtrap):
هش‌ها:
•    0BED6711E6DB24563A66EE99928864E8CF3F8CFF0636C1EFCA1B14EF15941603
•    79B6EC126818A396BFF8AD438DB46EBF8D1715A1
•    11434828915749E591254BA9F52669ADE580E5A6
•    BC3EE8C27E72CCE9DB4E2F3901B96E32C8FC5088
•    CAF8ED9101D822B593F5AF8EDCC452DD9183EB1D
•    B2A1A7B3D4A9AED983B39B28305DD19C8B0B2C20
•    1783F715F41A32DAC0BAFBBDF70363EC24AC2E37
•    291773D831E7DEE5D2E64B2D985DBD24371D2774
•    4ADD8DCF883B1DFC50F9257302D19442F6639AE3
•    790ADB5AA4221D60590655050D0FBEB6AC634A20
•    E72FAC43FF80BC0B7D39EEB545E6732DCBADBE22
•    B45A6F02891AA4D7F80520C0A2777E1A5F527C4D
•    0C1665183FF1E4496F84E616EF377A5B88C0AB56
•    81A89F5597693CA85D21CD440E5EEAF6DE3A22E6
•    FAF3F379EB7EB969880AB044003537C3FB92464C
•    81C7A225F4CF9FE117B02B13A0A1112C8FB3F87E
•    ED2BED87186B9E117576D861B5386447B83691F2
•    6C2676301A6630DA2A3A56ACC12D66E0D65BCF85
•    4B8A445C9F4A8EA24F42B9F80EA9A5E7E82725EF
•    A390D13AFBEFD352D2351172301F672FCA2A73E1
•    1282711DED9DB140EBCED7B2872121EE18595C9B
•    372B4458D274A6085D3D52BA9BE4E0F3E84F9623
•    9DE1F602195F6109464B1A7DEAA2913D2C803362
دامنه‌ها:
•    sositehuypidarasi[.]com
•    ktosdelaetskrintotpidor[.]com    
•    stat-counter-7-1[.]bit
•    stat-counter-7-2[.]bit
•    blanki-shabloni24[.]ru    
•    Superjob[.]icu    
•    Medialeaks[.]icu
•    icq.chatovod[.]info
IPها:
•    212.227.20[.]93, 87.106.18[.]146
•    87.106.18[.]146
•    94.100.18[.]67
•    176.223.165[.]112
•    95.211.214[.]14
•    37.1.221[.]248, 5.45.71[.]239
•    185.248.103[.]74
•    185.248.103[.]74
•    185.142.236[.]220
•    185.142.236[.]242

:منابع
 

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.