هشدارهای افتایی
شرکت مایکروسافت جزییات حملاتی را منتشر کرده که در جریان آن‌ها شرکت‌های فعال در حوزه مخابرات مورد هدف قرار می‌گرفته‌اند. اجرای این حملات به گروه Gallium نسبت داده شده است.
به گزارش معاونت بررسی مرکز افتا، Gallium که از سال 2018 تا اواسط سال میلادی جاری کاملاً فعال بوده، عمدتاً از ابزارهای ارزان و متداول در حملات خود بهره می‌گیرد. ضمن اینکه تلاش چندانی برای مخفی کردن ردپای خود در شبکه‌های هک شده به‌عمل نمی‌آورد. اگر چه مایکروسافت تهدیدات Gallium را پیشرفته و مستمر (APT) ندانسته اما تکنیک‌های مورد استفاده این گروه را سریع و مخرب توصیف کرده است.
در حملات اخیر، این مهاجمان با پویش سرورهای وب قابل دسترس در بستر اینترنت، از جمله سرورهای WildFly/JBoss، با بهره‌جویی (Exploit) از ضعف‌های امنیتی شناخته شده اقدام به رخنه به سرورهای آسیب‌پذیر می‌کرده‌اند.
بر خلاف تکنیک‌های نفوذ وابسته به کاربر همچون فیشینگ، سوءاستفاده از نقاط ضعف امنیتی معمولاً بدون نیاز به هر گونه دخالت قربانی و به‌صورت از راه دور انجام می‌شود.
در صورت موفقیت در رخنه به سرور، مهاجمان Gallium اقدام به نصب اسکریپت‌های Web Shell و در ادامه ابزارهایی می‌کنند که امکان رصد شبکه را برای آن‌ها فراهم می‌سازند.
این گروه تغییراتی نیز در برخی از ابزارهای عمومی و بدافزارهای شناخته شده اعمال کرده است. مایکروسافت دلیل این کار را نه سفارشی کردن حمله که صرفاً تلاشی برای تسهیل عبور از سد محصولات ضدبدافزار می‌داند.
از جمله این ابزارهای تا حدودی تغییر داده شده می‌توان به HTRAN، Mimikatz، NBTScan، Netcat، PsExec، Windows Credential Editor و WinRAR اشاره کرد که برخی از آن‌ها با استفاده از گواهینامه‌های سرقت شده توسط Gallium امضا شده‌اند.
برای مثال، Gallium از Mimikatz به‌منظور سرقت اطلاعات احرازهویت سیستم‌ها پس از نفوذ به شبکه استفاده می‌کند.
به همین ترتیب این گروه نسخه‌ای سفارشی شده از ابزار دسترسی از راه دور Poison Ivy، نسخه‌ای از Gh0st RAT با نام QuarkBandit، یک اسکریپت Web Shell معروف و یک Web Shell بومی مبتنی بر IIS با نام BlackMould را به کار گرفته است. SoftEther VPN نیز دیگر ابزار مورد استفاده Gallium اعلام شده است.
گر چه فعالیت این گروه در ماه‌های اخیر روندی نزولی داشته اما مایکروسافت اظهار امیدواری کرده که با به‌اشتراک‌گذاری روش‌ها، ابزارها و نشانه‌های آلودگی Gallium موجب آگاه‌سازی جامعه امنیت فناوری اطلاعات در پیاده‌سازی راهکارهای دفاعی مناسب شود.

نشانه‌های آلودگی (IOC):
هش:
•    9ae7c4a4e1cfe9b505c3a47e66551eb1357affee65bfefb0109d02f4e97c06dd
•    7772d624e1aed327abcd24ce2068063da0e31bb1d5d3bf2841fc977e198c6c5b
•    657fc7e6447e0065d488a7db2caab13071e44741875044f9024ca843fe4e86b5
•    2ef157a97e28574356e1d871abf75deca7d7a1ea662f38b577a06dd039dbae29
•    52fd7b90d7144ac448af4008be639d4d45c252e51823f4311011af3207a5fc77
•    a370e47cb97b35f1ae6590d14ada7561d22b4a73be0cb6df7e851d85054b1ac3
•    5bf80b871278a29f356bd42af1e35428aead20cd90b0c7642247afcaaa95b022
•    6f690ccfd54c2b02f0c3cb89c938162c10cbeee693286e809579c540b07ed883
•    3c884f776fbd16597c072afd81029e8764dd57ee79d798829ca111f5e170bd8e
•    1922a419f57afb351b58330ed456143cc8de8b3ebcbd236d26a219b03b3464d7
•    fe0e4ef832b62d49b43433e10c47dc51072959af93963c790892efc20ec422f1
•    7ce9e1c5562c8a5c93878629a47fe6071a35d604ed57a8f918f3eadf82c11a9c
•    178d5ee8c04401d332af331087a80fb4e5e2937edfba7266f9be34a5029b6945
•    51f70956fa8c487784fd21ab795f6ba2199b5c2d346acdeef1de0318a4c729d9
•    889bca95f1a69e94aaade1e959ed0d3620531dc0fc563be9a8decf41899b4d79
•    332ddaa00e2eb862742cb8d7e24ce52a5d38ffb22f6c8bd51162bd35e84d7ddf
•    44bcf82fa536318622798504e8369e9dcdb32686b95fcb44579f0b4efa79df08
•    63552772fdd8c947712a2cff00dfe25c7a34133716784b6d486227384f8cf3ef
•    056744a3c371b5938d63c396fe094afce8fb153796a65afa5103e1bffd7ca070
دامنه:
•    asyspy256[.]ddns[.]net
•    hotkillmail9sddcc[.]ddns[.]net
•    rosaf112[.]ddns[.]net
•    cvdfhjh1231[.]myftp[.]biz
•    sz2016rose[.]ddns[.]net
•    dffwescwer4325[.]myftp[.]biz
•    cvdfhjh1231[.]ddns[.]net
منابع:
(با سپاس از شرکت مهندسی شبکه گستر در تهیه این گزارش )

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.