هشدارهای افتایی
مایکروسافت عملیات سایبری جدیدی را شناسایی کرده است که برای انتقال تروجان با دسترسی از راه دور FlawedAmmyy RAT به عنوان payload نهایی، از یک زنجیره آلوده‌سازی پیشرفته بهره می‌برد. حملات با ارسال یک ایمیل حاوی پیوست اکسل (XLS) آغاز می‌شوند.
به گزارش معاونت بررسی مرکز افتا، به نقل از پایگاه اینترنتی GBHackers، حملات پیشین که بدافزار FlawedAmmyy را منتقل می‌کردند توسط عوامل تهدید TA505 انجام شده بودند. در این حملات با اجرای موفق درپشتی، مهاجم سیستم هدف را تحت کنترل خود در می‌آورد و می‌تواند فایل‌های قربانی را مدیریت کند و از صفحه اسکرین‌شات بگیرد.
در حملاتی که اخیرا شناسایی شده، از فایل‌های XLS مخرب در ایمیل‌ها استفاده شده است. این فایل‌ها پس از اجرا به طور خودکار یک ماکرو را اجرا می‌کنند که این ماکرو فایل msiexec.exe را اجرا می‌کند. فایل msiexec.exe برای دانلود و نصب بسته‌های MSI و MSP در ویندوز به کار می‌رود. این فایل سپس یک فایل اجرایی دیگر با نام wsus.exe را رمزگشایی و در حافظه اجرا می‌کند. این زنجیره در نهایت منجر به رمزگشایی و اجرای payload نهایی در حافظه می‌شود.
به گفته تیم امنیتی مایکروسافت، payload نهایی که مستقیما به حافظه منتقل می‌شود همان بدافزار FlawedAmmyy است. از قابلیت‌های FlawedAmmyy می‌توان به موارد زیر اشاره کرد:
•    کنترل از راه دور دسکتاپ،
•    مدیریت فایل‌های سیستم،
•    پشتیبانی از پراکسی،
•    گفتگوی صوتی.
در اوایل سال جاری نیز گروه TA505 تروجان FlawedAmmyy را از طریق اسناد اکسل مخرب و حاوی کد ماکرو منتشر کرده بود که به سختی با کنترل‌های امنیتی استاندارد قابل شناسایی بود.
نشانه‌های آلودگی (IoC):
هش‌ها:
•    0e91e6e17f8c8e2f1ae29e13f116c8611cb7679607695eed355025295fb1999a
•    19d8993c742fc1a7c651ab3dba4d8c7f5e142a8421e22dd0c20c2db2d5dccffd
•    cb114123ca1c33071cf6241c3e5054a39b6f735d374491da0b33dfdaa1f7ea22
•    c2c6f548fe6832c84c8ab45288363b78959d6dda2dd926100c5885de14c4708b
•    6860de46fdea393bd48ca000ecff4047920a56728b7945f95a6ca0801c278097


منبع:

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.