هشدارهای افتایی
پژوهشگران امنیتی یک درپشتی چند پلتفرمی جدید را کشف کرده‌اند که سیستم‌های ویندوز و لینوکس را آلوده می‌کند و به مهاجمین اجازه می‌دهد تا کدهای مخرب را روی دستگاه هدف اجرا کنند.
به گزارش معاونت بررسی مرکز افتا، به نقل از پایگاه اینترنتی BleepingComputer، این بدافزار ACBackdoor نام دارد که توسط یک گروه تهدید با تجربه در زمینه توسعه ابزارهای مخرب برای پلتفرم لینوکس ساخته شده است. بدافزار ACBackdoor دارای قابلیت اجرای دستور shell دلخواه، اجرای باینری دلخواه، کسب پایداری در سیستم و بروزرسانی است.
هر دو نمونه کشف شده از این بدافزار (نسخه لینوکس و ویندوز) یک سرور فرمان و کنترل (C&C) یکسان دارند اما بردارهای آلودگی که برای آلوده کردن قربانیان استفاده می‌شوند متفاوت هستند. نسخه ویندوزی ACBackdoor با کمک اکسپلویت کیتFallout  به سیستم هدف نفوذ می‌کند، در حالی که نمونه لینوکسی بدافزار از طریق یک سیستم انتقال ناشناخته منتقل می‌شود. آخرین نسخه اکسپلویت کیت Fallout آسیب‌پذیری‌های CVE-2018-15982 (مربوط به Flash Player) و CVE-2018-8174 (مربوط به مرورگر Internet Explorer) را هدف قرار می‌دهد.
خوشبختانه نمونه ویندوز این بدافزار تهدید پیچیده‌ای بشمار نمی‌رود. به نظر می‌رسد که نسخه ویندوز ACBackdoor پورتی از نسخه لینوکس آن باشد و چندین رشته خاص لینوکس مانند مسیرهای متعلق به یک سیستم فایل لینوکس یا نام فرآیند پردازشی کرنل لینوکس در آن مشاهده شده است.
اما نسخه لینوکس بدافزار علاوه بر آلوده کردن قربانیان از طریق یک بردار ناشناخته، تنها در یکی از موتورهای اسکن ضدبدافزار در VirusTotal شناسایی شد، در حالی که نمونه ویندوزی آن توسط 37 از 70 موتور شناسایی می‌شود. همچنین فایل اجرایی نمونه لینوکس پیچیده‌تر و از قابلیت‌های مخرب اضافی‌تری برخوردار است.
پس از آلوده کردن رایانه قربانی، این بدافزار با استفاده از ابزارهای خاص شروع به جمع آوری اطلاعات سیستم از جمله نوع معماری و آدرس MAC می‌کند. پس از اتمام کار جمع‌آوری اطلاعات، ACBackdoor یک کلید رجیستری را در ویندوز اضافه و چندین لینک نمادین و همچنین یک اسکریپت را در لینوکس ایجاد می‌کند تا در سیستم پایداری داشته باشد و به طور خودکار در هنگام راه‌اندازی سیستم اجرا شود.
درپشتی ACBackdoor خود را به عنوان فرآیند MsMpEng.exe در ویندوز مخفی و در لینوکس خود را به عنوان ابزار Ubuntu UpdateNotifier پنهان می‌کند و فرایند پردازشی خود را به [kworker / u8: 7-ev] (فرایندی مرتبط با کرنل لینوکس) تغییر نام می‌دهد.
در هر دو نسخه ویندوز و لینوکس، بدافزار از طریق کانال ارتباطی HTTPS با سرور کنترل و فرمان خود ارتباط برقرار و تمامی اطلاعات جمع‌آوری شده را به صورت رمزشده BASE64 ارسال می‌کند.
نشانه‌های آلودگی (IoC):
هش:
•    5d51dbf649d34cd6927efdb6ef082f27a6ccb25a92e892800c583a881bbf9415
•    907e1dfde652b17338d307b6a13a5af7a8f6ced93a7a71f7f65d40123b93f2b8
IP:
•    193[.]29[.]15[.]147
•    185[.]198[.]56[.]53

منبع:

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.