هشدارهای افتایی
پژوهشگران Trend Micro به تازگی عملیات‌های اسپم مخربی را مشاهده کرده‌اند که در حال توزیع بدافزارهای جدیدی هستند. در این حملات از دانلودکننده Gelup یا AndroMut و درپشتی FlowerPippi استفاده شده است.
به گزارش معاونت بررسی مرکز افتا، به نقل از پایگاه اینترنتی Bleeping Computer، این حملات که به گروه TA505 نسبت داده شده است، از طریق ایمیل‌های اسپم حاوی اسناد DOC و XLS انجام می‌شوند. بدافزار پس از باز شدن اسناد مخرب، توسط ماکروهای VBA منتقل می‌شود. در برخی از نمونه‌ها از URLهای مخرب که به تروجان FlawedAmmyy RAT منتهی می‌شوند، استفاده شده است.
ویژگی قابل توجه بدافزار Gelup استفاده از مبهم‌سازی و یک تکنیک دور زدن UAC (کنترل حساب کاربری) است. توسعه‌دهندگان Gelup چندین تکنیک مختلف را به منظور جلوگیری از تحلیل و شناسایی فرایند آلودگی طراحی کرده‌اند تا بدافزار تا حد امکان مخفی بماند. برای کسب پایداری در سیستم هدف، بدافزار Gelup یک فرایند را زمانبندی می‌کند که این فرایند یک فایل LNK را در سطل بازیافت (Recycle Bin) سیستم قرار می‌دهد. روش دیگر کسب پایداری اضافه کردن یک ورودی رجیستری است. پژوهشگران Proofpoint بدافزار دانلودکننده را AndroMut نامگذاری کرده‌اند و چندین همپوشانی بین این بدافزار و بدافزارهای Andromeda و QtLoader کشف کرده‌اند.
بدافزار دوم در این حملات درپشتی FlowerPippi است که دارای قابلیت انتقال payloadهای مخرب دیگر در سیستم هدف است. Payloadها در قالب فایل‌های اجرایی یا DLL هستند. این درپشتی می‌‎تواند اطلاعات رایانه قربانی را استخراج کند و دستورات دلخواه دریافت شده از سرور فرمان و کنترل را اجرا کند.
حملات دیگری نیز توسط گروه TA505 در هفته‌های گذشته مشاهده شده که تروجان FlawedAmmyy از طریق فایل‌های اکسل مخرب در آن‌ها انتشار یافته است. این حملات توسط پژوهشگران مایکروسافت شناسایی شدند و در آن‌ها از آسیب‌پذیری CVE-2017-11882 سوء استفاده شده است.
نشانه‌های آلودگی (IoC): دانلود فایل


منابع:

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.