هشدارهای افتایی
پژوهشگران Trend Micro اخیرا فعالیت‌های مخربی را کشف کرده‌اند که در حال گسترش بات‌نت MyKings است. حملات با اکسپویت شناخته شده EternalBlue در ارتباط هستند و در منطقه آسیا و اقیانوسیه گزارش شده‌اند.
به گزارش معاونت بررسی مرکز افتا، به نقل از Trend Micro، بات‌نت MyKings برای اولین بار در سال 2017 شناسایی شد، تا اوایل سال 2018 بیش از 500 هزار سیستم را آلوده کرد و معادل 2.3 میلیون دلار از طریق کاوش رمزارز بدست آورد.
شناسایی فعالیت‌های جدید بدافزار MyKings از آنجایی آغاز شد که در سیستم‌های مورد بررسی Trend Micro، ارتباطاتی با آدرس‌های زیر مشاهده شد:
•    hxxp://js[.]mykings.top:280/v[.]sct
•    hxxp://js[.]mykings.top:280/helloworld[.]msi
وجود عبارت mykings در URLها نشان‌گر ارتباط آن‌ها با سرورهای فرمان و کنترل (C&C) بدافزار MyKings است.
بدافزار جدید نسبت به نمونه مشاهده شده در سال 2017 در چندین بخش تکامل یافته است. نمونه جدید کشف شده، بر خلاف نمونه قدیمی، علاوه‌بر استفاده از WMI برای کسب پایداری در سیستم، از رجیستری، task scheduler و یک بوت‌کیت نیز استفاده می‌کند. بوت‌کیت از نام فایل lsmosee.exe یا s.rar بهره می‌برد.
بدافزار یک فرایند پردازشی را در سیستم قربانی تزریق کرده که این فرایند یک shellcode را از سرور C&C دریافت می‌کند. فایل shellcode در نهایت آدرسی را به بدافزار معرفی می‌کند که منجر به بارگیری فایل upsupx.exe می‌شود. این فایل با نام conhost.exe ذخیره و اجرا می‌شود. فایل upsupx یا conhost دانلودکننده اصلی بدافزار است که لیست دیگری از سرورهای C&C و فایل kill.txt را دریافت و حاوی فرایندهای پردازشی است که بدافزار آن‌ها را متوقف می‌کند.
بدافزار در نهایت از قدرت پردازشی سیستم قربانی به منظور کاوش رمزارز سوء استفاده می‌کند. طبق گزارش Trend Micro، نفوذ اولیه و گسترش بدافزار از طریق اکسپلویت EternalBlue و WMI در ویندوز است.
نشانه‌های آلودگی (IoC):
هش‌ها:
•    b2.exe/msief.exe - e8ddefd237646a47debc01df9aa02fbcae40686f96b7860511c73798c7546201    
•    s / p - 7a4f2f2702fababb0619556e67a41d0a09e01fbfdb84d47b4463decdbb360980    
•    ps - d5f907f9d2001ee5013c4c1af965467714bbc0928112e54ba35d142c8eab68bf    
•    upsupx.exe - 790c213e1227adefd2d564217de86ac9fe660946e1240b5415c55770a951abfd    
•    item.rar/item.dat - 80f8ba7992a5dbaa4a2f76263258d5d7bf3bb8994f9e8a4a5294f70ab8e38ea4    
•    ps - ab26a859633d1ec68e021226fab47870ed78fc2e6a58c70a7a7060be51247c1d    
•    s.rar - a3bb132ab1ba3e706b90d6fb514504105f174c4e444e87be7bce1995f798044d    
•    item.dat - 79bcb0b7ba00c4c65bf9b41cfe193fd917d92ab1d41456ac775836cec5cadc9a
URLها:
•    ok[.]xmr6b[.]ru
•    74[.]222[.]14[.]61
•    45[.]58[.]135[.]106
•    103[.]95[.]28[.]54
•    103[.]213[.]246[.]23
•    139[.]5[.]177[.]10

منبع:

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.