هشدارهای افتایی
پژوهشگران امنیتی یک دانلودکننده بدافزار را ثبت کرده‌اند که از دستورهای Microsoft SQL برای انتقال payloadهای مخرب استفاده می‌کند.
به گزارش معاونت بررسی مرکز افتا، به نقل از پایگاه اینترنتی ZDNet، بدافزار دانلودکننده جدید WhiteShadow نام دارد که برای انتقال انواع بدافزارها به سیستم‌های آسیب‌پذیر استفاده می‌شود. به گفته پژوهشگران، با توجه به استفاده این بدافزار در عملیات‌های توزیع تروجان‌های با دسترسی راه دور (RAT) مانند Crimson RAT، Agent Tesla، AZORult و از جمله ثبت‌کننده‌های صفحه کلید (keylogger)، بنظر می‌رسد که WhiteShadow یک سرویس انتقال بدافزار است.
توزیع WhiteShadow از طریق ایمیل‌های فیشینگ انجام شده که در پیوست ایمیل‌ها و درون فایل‌های مخرب Word و Excel جاسازی شده است و توسط کدهای ماکرو Visual Basic به سیستم‌های آلوده منتقل می‌شود. در صورتی که قربانی کدهای ماکرو را فعال کند، بدافزار با فراخوانی و اجرای دستورهای SQL دریافتی از سرورهای Microsoft SQL تحت کنترل عوامل تهدید، شروع به کار می‌کند. برای برقراری ارتباط با پایگاه‌داده بصورت دسترسی از راه دور و اجرای دستورها، WhiteShadow از SQLOLEDB استفاده می‌کند. بدافزار هدف به صورت رشته‌های رمز شده ASCII، در پایگاه‌داده ذخیره شده است. زمانی که دستور بارگیری بدافزار توسط WhiteShadow فراخوانی شود، payload مخرب به عنوان یک فایل فشرده PKZip منتقل می‌شود. نصب payload مخرب در سیستم قربانی براساس پیکربندی‌های ذخیره شده در فایل پیوست درون ایمیل انجام می‌شود.
یکی از بدافزارهایی که توسط WhiteShadow منتقل می‌شود Crimson است که دارای قابلیت‌های سرقت اطلاعات، دریافت اسکرین‌شات از صفحه نمایش، مشاهده لیست فرایندهای پردازشی و استخراج ایمیل از Outlook است. علاوه بر Crimson، گزارش شده است که بدافزارهای Nanocore، njRAT، AgentTesla و Formbook نیز توسط WhiteShadow منتقل شده‌اند.
باز نکردن ایمیل‌های مشکوک که از منابع نامعتبر دریافت می‌شوند و نظارت بر ترافیک خروجی پورت TCP 1433 یا مسدودسازی آن از راهکارهای جلوگیری از نفوذ این بدافزار است.
نشانه‌های آلودگی (IoC):
URLها:
•    antinio.mssql.somee[.]com
•    BytesData.mssql.somee[.]com
•    fabancho.mssql.somee[.]com
•    hxxp[://]rebrand[.]ly/813ed538169eeeethczfz2346577777777788kfvmdkf
•    hxxp[://]rebrand[.]ly/purchaseorder54326
•    jasoncarlosscot.dynu[.]net
•    www.allixanes[.]com/ez3/
•    tslserv.duckdns[.]org
•    bargainhoundblog[.]com
•    globedigitalmedia[.]com
•    mundial2018.duckdns[.]org
•    halwachi50.mymediapc[.]net
•    robinmmadi.servehumour[.]com
•    naddyto.warzonedns[.]com
•    www.scaker[.]com
IPها:
•    193.111.155[.]137
•    51.254.228[.]144
•    176.107.177[.]54
•    139.28.36[.]212
•    139.28.36[.]212
•    45.92.156[.]76
•    192.3.157[.]104
•    176.107.177[.]77
•    193.228.53[.]0
•    185.157.79[.]115
•    87.247.155[.]111
•    185.161.209[.]183
•    185.161.210[.]111
هش‌ها:
•    2cf21ddd9d369a2c88238606c5f84661cf0f62054e5cc44d65679834b166a931
•    ed8f4a7f09e428ceff8ede26102bb153b477b20775a0183be4ca2185999d20c8
•    539087ebb1d42c81c3be48705d153d75df550c047cf1056721f68724b78b73b7
•    dc90b12b71c4f8c08a789a5ec86ef9b05189d499c887f558f35eeb5e472551a0
•    fc068dda0efdaaa003c87bccd1880bc8953f18c2a8f1f0527a9a44e637e1fcce
•    a710a685bb4fbace08e26e32a8bb8a58665973cd802a3df2cb28581c287446e5
•    9cd62748e7be536f9bfb46493fc9704a93e4e4bcb38ef193b5d66e4a875756bc
•    95dbabe512ba4fc45e32786e87c292fb665e18bc0e2fea1cadb43ba1fe93f13b
•    a6a6b8c7cb72dd2670b6171576bc20c2f28198df12907b4d3ce010dcd97358e4
•    67d0347b8db05a7115d89507394760f41419e5e91ab88be50e27eded28ce503e
•    7b672eb80041a04f49198b1b51bcf0198321a1bdc1f7c56434c2320edb53fc43
•    acf9c1dda4a2076f0d503450db348ae2913345ebd134a3701baa2ff5ebaccd6e
•    fe88d40c56274a38ecd3a7178ac96970dd473c7ef3d0f54b5c8819f0b1fa41c3
•    35e81258c4365fb97ae57f3989164ed4e8b8e62668af9d281a57c5e7a70c288c
•    c5193ba871414448c78cb516dfea622f2dbafa6bacb64e9d42c1769ebd4ffea3
•    b2c0b1535518321fbcde2c9d80f222e9477053e6ee505f2dd3b680277f80de1d
•    9a284b1ca8ac7fee1f8823d2457c935134ec61368ef42c8b2cbdfb338ad61ad7
•    29fe2bdf25d1739bb920c0776b1826661e8a459af44d1051faf08f3643d84d29
•    fcc8802b49bfb86d0cffb1cbc4f1b283887015b7da2263f9165a28f1b0f63f47
•    c966830092abeb5ecb6747122b5c5d63dff064828b84e10a682770763e348713
•    0df01a9e8ad097d6c2b48515497f12bfe9aaa29a3b1c509a0ae1e2a12a162f04
•    a7832e35fe571abed0a70b49c043e0fedb7fba28e6c212b6bbaa8fd4075c5f43
•    0e54bf9380d40d34e6a3029b6e2357f4af1738968646fdaa0c369a6700e158f4
•    17742a3ca746f7f13aff1342068b2b78df413f0c9cd6cdd02d6df7699874a13a
•    ab962b7b932cb3478770c55a656baa657f9c58ea2409c89b68b5a7728ea721f8
•    d89772cfd63f7d5ce7c6740c6709ece4db624c85989e8d508c09f1baeef0a556
•    64c5d3f729d9a1ec26d5686002ccb0111ee9ba6a6a8e7da6ad31251f5d5dde6a
•    76e0104aa6c3a0cfc25c6f844edbbeed4e934e2ad21a56e8243f604f510cf723
•    6a2acd6b97ce811ebf3d154c47b53cd16c500e075c3218e8628bf49f8d7cafe5
•    96e274f1cb5f6918e6a24b714f7cbf2d3d007680050a16ba5232c67582ad0f3b
•    2ea787dfd65b0488b76b0a0a69ff2a632bb3bea3735ad007336b8dd1473f5768
•    a9898d6d9054f301d0da9373b8cc38641d11c8409a1037112970aa47122561ff
•    5ff5817e325c78a1a706035811bfb976421222c208a7fce694a25bb609a9a2fb
•    0c1623662a7ad222ed753b9ffc0d85912e3a075c348b752b671a0b1c755fd1e7
•    4c487ba8dfded5d050d01ab656ef3916c5269551e51ed60f9cfa5995f55e3264
•    d2158cfd1bb9116a04dcb919fa35402d64b9e9b39a9c6cd57460ca113cde488e
•    0943a968cc9e00f83c0bb44685c67890c59ad7785db7fc12e9a0de8df309cbfa
•    a40987639b464c2d7864faa0cc84da7f996feecc7a7f0225a474e282d2d81c37
•    542c6ed8e77987ca01152784a38ab4d288a959d7e2144989ae7f1eb89866d65b
•    a8e0c6387dd77500a0593c0c26ba3b1e72b9bce200c232d7dcc1f2e75a449512
•    98d5fc49a5153cd8035ca0e83cf46a81dd573c175884821473aa4d07f719031f
•    fea73a64bcb2aeab104dd3d78b83c859c4319be08a8da4edf77cc631bbdd623
•    07aa897c146f9443876930f1b69807ec7034a73a93dec0dc36157f17dedd3069
•    f6ffbd8762b893aa9d7907917ee0b11457fbdbf37f4aacdf8d1d4a4f7f3badca
•    a2b5168fb4b6a18d66571c6debc54f9f462f5b05a82313123feecc96dab0e595
•    bde269bf69582312c1ec76090991e7369e11dbee47a153af53e49528c8bd1b27
•    bd7abfaa0d3b1d315c2565c83c1003c229c700176c894752df11e6ecae7ad7e6
•    4738c2849f2c81dec71427adaed489a84299563da31b62ce5489b84c95426ada
•    ee0f3eb8a4d7c87a4c33a1f8b08e78bb95fa7ee41ddf0b07d9b6eabe87a33b2e
•    4b554367f8069f64201418cddcec82d7857dcc2573be7f0fb387c1b4802040b6



منبع:

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.