هشدارهای افتایی
پژوهشگران TrendMicro اخیرا یک عملیات سایبری را شناسایی کرده‌اند که در آن از آسیب‌پذیری CVE-2019-2725 در Oracle WebLogic Server سوء استفاده شده است تا بدافزار استخراج‌کننده رمزارز منتقل شود.
به گزارش معاونت بررسی مرکز افتا، به نقل از پایگاه اینترنتی GBHackers، آسیب‌پذیری CVE-2019-2725 نقصی است که به راحتی قابل بهره‌برداری است و هر مهاجم احرازهویت نشده با دسترسی HTTP به سرور آسیب‌پذیر می‌تواند از آن سوء استفاه کند.
در حملاتی که اخیرا گزارش شده است، بدافزار از آسیب‌پذیری CVE-2019-2725 سوء استفاده می‌کند تا یک دستور PowerShell را اجرا کند و کد مخرب را در یک فایل .cer مبهم‌سازی شده دریافت کند. فایل گواهی از سرور مهاجم دانلود می‌شود و برای رمزگشایی آن از ابزار CertUtil استفاده شده است. CertUtil یک برنامه خط فرمان (command-line) است که به همراه سرویس‌های گواهی‌ها نصب می‌شود.
در ادامه مراحل آلوده‌سازی، یک فایل PowerShell با نام update.ps1 دانلود می‌شود و فایل گواهی دانلود شده حذف می‌شود. فایل گواهی در ابتدا مشابه فرمت عادی گواهی PEM به نظر می‌رسد، اما پس از رمزگشایی آن، مشاهده می‌شود که به جای استفاده از فرمت X.509 TLS، دستور PowerShell در آن قرار داده شده است. فایل update.ps1 چندین فایل دیگر را دانلود می‌کند که فرایند کاوش رمزارز را انجام می‌دهند.

نشانه‌های آلودگی (IoC):
هش‌ها:
•    e4bc026aec8a76b887a8fc48726b9c48540fc2aa76eb8e61893da2ee6df6ab3a
•    4b9842b6be35665174c78c3e4063c645bd6e10eb333f68e4c7840fe823647bdf
•    c30f42e6f638f3e8218caf73c2190d2a521304431994fd6efeef523cfbaa5e81
•    3a567b7985b2da76db5e5a1d5554f7c13f375d88a27d6e6d108ad79e797adc9
URLها و IPها:
•    hxxp://139[.]180[.]199[.]167:1012/clean[.]bat
•    hxxp://139[.]180[.]199[.]167:1012/config[.]json
•    hxxp://139[.]180[.]199[.]167:1012/networkservice[.]exe
•    hxxp://139[.]180[.]199[.]167:1012/sysguard[.]exe
•    hxxp://139[.]180[.]199[.]167:1012/sysupdate[.]exe
•    hxxp://139[.]180[.]199[.]167:1012/update[.]ps1
•    hxxp://45.32.28.187:1012
•    hxxp://45.32.28.187:1012/cert.cer
•    hxxps://pixeldrain[.]com/api/file/bg2Fh-d_
•    hxxps://pixeldrain[.]com/api/file/cGsOoTyb
•    hxxps://pixeldrain[.]com/api/file/cGsOoTyb/wujnEh-n1
•    hxxps://pixeldrain[.]com/api/file/DF1zsieq1
•    hxxps://pixeldrain[.]com/api/file/TyodGuTm

منابع:
 

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.