هشدارهای افتایی
اکسپلویت کیت جدیدی با نام Capesand کشف شده است که از آسیب‌پذیری‌های موجود در Adobe Flash و مرورگر Internet Explorer بهره‌برداری می‌کند. توسعه‌دهندگان این اکسپلویت کیت در حال توسعه مستمر آن هستند.
به گزارش معاونت بررسی مرکز افتا، به نقل از TrendMicro، این اکسپلویت کیت در ماه اکتبر در یک عملیات انتشار بدافزار کشف شده است. در این عملیات ابتدا از اکسپلویت کیت معروف Rig برای انتقال بدافزارهای DarkRAT و njRAT استفاده شده بود. اما در ادامه مجرمین سایبری ابزارهای مورد استفاده خود را تغییر دادند و از اکسپلویت کیت جدید Capesand استفاده کردند.
اکسپلویت کیت Capesand در مقایسه با سایر کیت‌ها بسیار ساده‌تر است. تقریباً تمام عملکردهای Capesand از کدهای منبع باز استفاده می‌کنند، از جمله عملکردهای اکسپلویت، مبهم‌سازی و تکنیک‌های بسته‌بندی و فشرده‌سازی. بررسی‌های بیشتر نشان داد که علی رغم وضعیت ناتمام آن، کاربران در حال استفاده از آن هستند. کدمنبع ظاهر Capesand نیز از یک اکسپلویت کیت قدیمی به نام Demon Hunter کپی‌برداری شده است. مجرمین سایبری با ایجاد یک صفحه بلاگ جعلی در موضوع بلاکچین و قرار دادن یک کد iframe مخفی در آن، این اکسپلویت کیت را بارگذاری کردند.
آسیب‌پذیری‌هایی که در این اکسپلویت کیت جدید مورد هدف مهاجمین سایبری هستند شامل CVE-2018-4878 (آسیب‌پذیری در Adobe Flash) و CVE-2018-8174 و CVE-2019-0752 (آسیب‌پذیری‌های مرورگر Internet Explorer) هستند. در برخی از نمونه‌های مشاهده شده، آسیب‌پذیری قدیمی CVE-2015-2419 در مرورگر Internet Explorer و آسیب‌پذیری CVE-2018-15982 در Adobe Flash نیز مورد هدف بوده است.
اکسپلویت کیت Capesand هنگام انتقال یک اکسپلویت، یک در خواست به سرور API خود ارسال می‌کند و اطلاعاتی از جمله نام اکسپلویت درخواست شده، آدرس IP قربانی، نوع مرورگر قربانی و غیره را به آن ارسال می‌کند. این اطلاعات توسط الگوریتم AES رمزگذاری می‌شوند و سپس payload مورد درخواست، در پاسخ سرور به سیستم قربانی منتقل می‌شود. فایل‌های اولیه انتقال یافته به سیستم قربانی mess.exe و njcrypt.exe هستند.

نشانه‌های آلودگی (IoC):
URL و IPها:
•    blockchainblog[.]club
•    blockchainblogger[.]club
•    shophandbag[.]store
•    http[:]//138[.]68[.]15[.]227/njcrypt.exe
•    http[:]//198[.]199[.]104[.]8/njcrypt.exe
•    http[:]//www[.]blockchainblogger[.]club/njcrypt.exe
•    138[.]68[.]15[.]227
•    107[.]167[.]244[.]67
هش‌ها:
•    6288de662d6dd1a57e99cf8b9259eef467c461e378d431fc53243ecede155b38
•    a8391b08478ba333bfc7f377d5ee7b0a697b638e9987a6db614c7f192b22a384
•    79f2250d10ebf83352b7715c30b60cecea14c7edd94fb164afb9353f4f91b038
•    1f1bb98b7e4e23913ff25b50d1ffd44e6ef447053188eca255d9bd0378602625
•    eb1be3f00e93a7dfcca563e564ab7d7319676161b56039f4968ceddf791d110a
•    8e4d24eeb56d50d11338a65aef1e6a88d7ccf6ca347419963dd201f38ae6bcea
•    559f23832f5b115fc6169ed7f9ac75518ec58b7f5d7206e9be4afc2ecfd7152f
•    b00cc9a4292fc5cc4ae5371ea1615ec6e49ebaf061dc4eccde84a6f96d95747c

منبع:

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.