هشدارهای افتایی
بازیگران تهدید با هدف نفوذ به شبکه سازمان‌ها، در حال انتقال بدافزار از طریق پروتکل دسترسی از راه دور به دسکتاپ (RDP)، بدون باقی گذاشتن ردپا در سیستم هدف هستند. در این روش کاوشگرهای رمزارزها، بدافزارهای سارق اطلاعات و باج‌افزارها، از طریق یک اتصال از راه دور در حافظه موقت (RAM) اجرا می‌شوند.
به گزارش معاونت بررسی مرکز افتا، به نقل از پایگاه اینترنتی BleepingComputer، مهاجم در این رویکرد از یک ویژگی خاص در سرویس دسترسی از راه دور به دسکتاپ بهره می‌برد. این ویژگی به کلاینت اجازه می‌دهد تا درایوهای ذخیره‌سازی محلی را به همراه دسترسی‌های خواندن و نوشتن با یک سرور ترمینال به اشتراک بگذارد.
دسترسی به منابعی که با این شیوه به اشتراک گذاشته می‌شوند از طریق RDP امکان‌پذیر است و بدلیل اینکه برنامه‌ها در حافظه اجرا می‌شوند هیچ اثری در دیسک سیستم کلاینت باقی نمی‌ماند. زمانی که نشست RDP متوقف شود، فرآیندهای پردازشی مرتبط و حافظه نیز آزاد می‌شوند. 
تحلیل‌گرهای بدافزار Bitdefender گروهی از مجرمین سایبری را شناسایی کرده‌اند که در حال سوء استفاده از این روش هستند. آن‌ها چندین بدافزار با گونه‌های متنوع را به همراه مولفه‌ای با نام worker.exe که دستورالعمل خود را از مهاجم دریافت می‌کند، منتقل می‌کنند. مولفه worker.exe ابزاری است که بدلیل قابلیت‌های جاسوسی خود، توسط چندین بازیگر تهدید استفاده می‌شود.
از جمله اطلاعاتی که این مؤلفه می‌تواند از یک سیستم جمع‌آوری کند موارد زیر است:
•    اطلاعات سیستم: معماری ، مدل پردازنده، تعداد هسته، اندازه حافظه داخلی، نسخه ویندوز
•    نام دامنه، سطح دسترسی کاربر وارد شده، لیست کاربران موجود در دستگاه
•    آدرس IP محلی، بارگذاری و سرعت دانلود و آپلود، اطلاعات IP عمومی
•    مرورگر پیش فرض، وضعیت پورت‌های خاص روی میزبان، بررسی سرورهای در حال اجرا و وضعیت گوش دادن به پورت آن‌ها، ورودی‌های خاص در کش DNS (عمدتاً در صورت اتصال به یک دامنه خاص)
•    بررسی وضعیت اجرای برخی از فرایندهای پردازشی، وجود کلیدها و مقادیر خاص در رجیستری
علاوه بر این، مشاهده شده است که worker.exe به سه ابزار سارق اطلاعات کلیپ‌بورد (MicroClip، DelphiStealer و IntelRapid)، دو خانواده باج‌افزاری (Rapid و Rapid 2.0، و Nemty)، چندین کاوش‌گر رمزارز Monero (همگی مبتنی بر XMRig) و از جولای 2018 به بدافزار سارق اطلاعات AZORult مجهز شده است.
تمام اطلاعات جمع‌آوری شده از میزبان در یک فایل NFO. قرار داده می‌شوند که در همان مکان فایل پیکربندی ذخیره می‌شود. این کار یک روش مناسب برای دور نگه داشتن داده‌ها از رایانه مورد هدف و دشوارتر کردن فرایند جرم‌شناسی است.
هدف هر سه سارق کلیپ‌بورد شناسایی آدرس کیف پول رمزارز کاربر و جاگزینی آن با کیف پول متعلق به مهاجم است. به این ترتیب، مقصد اصلی تراکنش‌های خروجی به کیف پول مهاجم تغییر می‌کند.
از بین سه بدافزار سارق کلیپ‌بورد، IntelRapid پیشرفته‌تر از موارد دیگر است. این بدافزار تعداد بیشتری از کیف پول‌های رمزارز (بیت‌کوینLitecoin ،Ethereum ، Monero ،Bitcoin Cash ،Dash ،Ripple ،Dogecoin ،Neo و ZCash) را می‌تواند شناسایی کند و آنها را با گزینه‌های مهاجم جایگزین کند.
نقطه نفوذ مهاجمین بطور واضح برای پژوهشگران امنیتی مشخص نشده است اما استفاده از روش جستجوی فراگیر (brute-force) یکی از گزینه‌های امکان‌پذیر است.
کشورهای زیادی در جهان قربانی این حملات بوده‌اند که بیشتر قربانیان در کشورهای برزیل، امریکا و رومانی هستند. همانطور که از گسترش قربانیان در سراسر جهان مشاهده می‌شود، مهاجم این حملات قربانی خاصی را مورد هدف ندارد و تنها به تعداد زیاد آن‌ها اهمیت می‌دهد.
به گفته پژوهشگران  Bitdefenderجلوگیری از این نوع حمله به سادگی انجام‌پذیر است. کاربران می‌توانند با غیرفعال کردن drive redirection از رخ دادن این حملات پیش‌گیری کنند.
نشانه‌های آلودگی (IoC):
هش:
•    05e2f51dddd77c5db48a72a3bf78cbdf865f02105f852fbfd8db35db80dd51fa
•    08517d1fd0a164526683a8708376abeba63d077705dba54fa6f306163471c9c4
•    20c942864b74b482b8c7fe07bdb4745388ca6f4e7a90362d271effaa2c21fd19
•    3cf63caf7f2a3b37699e2e7f254bb5c33a093bda354510ab72daf662e71e66c0
•    5449db2fc3bbb57a05aff4cb26480ee54f2d7bc9118b1c26b0550680a41fd515
•    990cfaa8660c8c9118f1e4eebd49ec75844aec93c2385f6cfadac0e94e34799f
•    b257c4b962c3de4b9d34afbf23d7b09f9f0741bdd66dbc6733225ae2cca909fb
•    05e2f51dddd77c5db48a72a3bf78cbdf865f02105f852fbfd8db35db80dd51fa
•    20c942864b74b482b8c7fe07bdb4745388ca6f4e7a90362d271effaa2c21fd19
•    3cf63caf7f2a3b37699e2e7f254bb5c33a093bda354510ab72daf662e71e66c0
•    5449db2fc3bbb57a05aff4cb26480ee54f2d7bc9118b1c26b0550680a41fd515
•    990cfaa8660c8c9118f1e4eebd49ec75844aec93c2385f6cfadac0e94e34799f
•    b257c4b962c3de4b9d34afbf23d7b09f9f0741bdd66dbc6733225ae2cca909fb
•    14873eba6c4513ed5b9fdef6b86b5912cfa7df16422efef7ec490b1445b842cc
•    30dba80a875553ef8908947bcd37003c328dac366e14c76368361d4f60624cb4
•    3861e4627f5c1fd769935d6dca6557e6e26a01d130780cd00675ee98c355259b
•    502ba411b7400f3f3ba531584a71da5140b82bb281d33fc0c4d202d584cf7686
•    5bc17497a238a15c1a3e31874b418a705c40c13f3c20541cb2504c804c590ab5
•    5e13c2986360268b54e95e7133ac07e48c72bfcf1be5778c1f1a62b112942925
•    936729e66021fd42f88c2d4f34520810b2b7d5b4b6b5e2b7b1752433aa0ab937
•    b53cbaa58d719eadc0bbd127c574f548c016230d31348c9af5f67187b4953398
•    efeea68805d393bae0fcc8ccdad5dd6fb36136f71d8f3cf9adf1b788fd7eac49
•    f76b7254ccb8731a6f32979a7f82e40b4c7d88e1f186a3d4477da24ea0a205f6
•    0d1f106eca46b5b4fe9a7e4d5c67405fb12cfe8fd2927f3d40037c03e0fe034e
•    10c9a324fb345d710fe45b044fd1304b4ad386f761a356a39af3dd12aff7bfc3
•    2083c01b207b5b7c930ab556490683689cfc9a8118087ae5849fd6416ef1490d
•    401c5f405220b4911aa695e37918593078cbe130ee1e00f83e820b981e65ce2d
•    68585f9830f174f4ccd53df5d2396e62c88c3ba07645be50f482a980f8ab03cb
•    dccc057db24b9178b7851a301885e33c8e7be593deae7bd403446149b5a5e048
•    fe328a7074d01f2c9080028ee2962fd2f6b6a80de97bb3efe34b04e6aec4bc3c
•    21808615025f902b62e3f6336ba878451ee9ab63c6588b60537407ded9076424
•    3e57cf8e94fdd1c2fc41d49aebe87a292add4fd378cb377bbd69b2723343945f
•    4d020d354ebcb892bce5cf83a4257edd23f1ceaacd8210f1214054d691094c1f
•    63c8d6ab0e57487a02f63501e1f1b98adc18ef4d7dbf61c2bc977cc5f0a2287b
•    807a275957f9a0728e6a537d50c97dfd90ae42efa3075e0f531b6a6f353fb007
•    a36b8cbfe3067f212a3d971d2cb82084d3dac521c58aeb391057ae4d625b9313
•    d6d1a78c6df058e68a17ecac6ca839d0c40be4b487fb53ba0bd180992eed9c9b
•    e7aec13a3220183ae0be8266a5c79a957d3fbd6bdae3ef1a698d1b3d85d0d1a6
•    ecbd14d38dfd754ea68bfc20b61329d11e39c820af370598824c20e8bfebe4c8
•    f15d91582408c43b39560ab46e290c63fdd7eafa6b21de2a7313968eb8257ccc
•    05c0f6cee99f2e438c123ba5902fd64c9e064a9ee1b126b3b1b7fb098ef6ccb7
•    23a102263fa7b2be5bdeb9d7efcb29be73fb90b2bddce6f086b8d1d36b21b39f
•    35ca6031688f5af36e896cc8f4a345a0069e7d6581cf8eaa8dfe30a2f5bcd376
•    4db6da27bde99ba28cb9e5cc185ede30ec355e5e8c881c99717765449b045483
•    509314c535ccee477b2d88dd0cd8e35e78246962f93a9599a9e33f5d3257fff1
•    936da874fd0428fffe0636ce35a218ce93f11a75d13e4118c44e75eb708c9df0
•    d04500d89f97daf71b90766e149c315bee2861c61488d870d1a4eccb755ff370
•    f0ec3e15c4b6aba9a3290199f6ed14eaa86422675f64c50680e65ccd9c04bb84
•    167faab88b40c13e481677c76f6541ce5081e7c248d2f2e4f0c9a467df3e42c1
•    2d199b069ca58b05185b5286bd0bd3deca688fc30f5e1b21a50f496b7f790a7c
•    4bea0913904e449def5a94d8e428ec85736fbe42f9086b7a08d085e37e44dd94
•    86072e0e7f9bc61e22dbc69b70df0b2c95a0badfdf352b7fc6d9eb6182118b05
•    9e1ce9cee6bb35de538afa1ddee8743680d6662d508167ceaeba828d6b74010d
•    a647c0a8298da14f1402cd16958b31318892b898cadc829dd21436c5b2dd1cb8
•    cd2f7f392f02d711b0260dfc080095ea1d2121244b9db9706553bea7c9d29b28
•    ce9c39ea38114e0bc32161f8ea4b69b4de78991e3a5742763dd20f911ea79855
•    43fee0d62ef0f1991a62cf6a195a5f9c2d7176fdd25fdf585d40ec85e8180a52
•    4bea0913904e449def5a94d8e428ec85736fbe42f9086b7a08d085e37e44dd94
•    5aea07985114053368601c9e3aa6c6564349cefcba3ef69c986ce8749c9fa99d
•    5e15b1c7d8b5564d960010331d753d01e9286a45573a749d7836482abe72dc5f
•    6273a8c3f1d748388ca350d24bd8fda86151253b67c26b03ccb5cee5d3499270
•    9b934875d44383cdab400506927804809ba665ae80f7d2347db87d583115afbd
•    a915c72774d31f71143fead1b6fc38e11b283985ae5faefd6c1a90d0de01b3e4
•    b84f7256caf521d037d869e6994292248372f2d6fbaf9e8fe1d7d76de9d20265
•    1de9348612df332f39c07ecfb6680d16d8a8978e790183a28878328766e5d843
•    383d115201f7ccd9647f4f018c1a40a6625bf0c442558dc00ab83c7dd27621f1
•    6adfdb690e2932397a1a5e4edff6f4ad6a3a380400707a71b35c36abb52e8553
•    6b1cce3fbac60e735586002b2768059798fefd315010f8d756f40b7c9110a7b5
•    88341ac8d35390d70c49f99fd93cd1b139d156fc8bb591c6a1808cc4f83f6218
•    b27e3d051882f5554de01603a7ababed0ba587f2854e375853becad1527d811f
•    ed089448d76df8133fcabfe21e6f6687d71edb6329cc8fea63da42db23487abd
•    35fc256c67aa816e2820779dc1a7cb605cf5b7a6a2464280853533d95826a93a
•    bbdf3076132fd5ff62c897e658e65025851d1ddd00e56f71402f14ed10dd271d
•    029b286197dc8842a6126004d0111aad3f947770fe269c7ee8d47fa4d8b750ef
•    39a4cca7be143daba488b864e23ba16d9492b70e9e49cc2e574e8e896c717239
•    76aa2d373ef3cb101c41808a49054e78747ebc40cf1a5f0993f788609670d07c
•    d33eb6000b793805d6071c89cea96d224408e39d79b6931dea41f53887b058cc
•    e89dd5d78b75ddc8ba66e30ae51a2df7c4afe186249b9c58b3938b7b394fb6f0
•    ec5a057f0171aff28630880bee8a5378e0090d27662f949f28dffa3af99658ba
•    fa049f7bf36b1287bafc72de17ef11be6f852b6f6f1deebe590d0910aacf563e
•    fbbcd4665b581d30d52942aa0dbb469ed35d07a3318bb6abb4d3ba7271b6bc3e
•    041ae2e080b8e03a3b29ea60a688a2235956d9caac188f16c3463b923a199597
•    3e975f3d9316f3555750f06facb9aea5eee4d87f269099138c20f283fd2f93c6
•    7acb4b6472a3a265bd7752cd2691250b39f49e21cf4c83eea2ad1ecb9dbf55b7
•    bea170429c42ad7902e198612f589a686f45da81324ee87cfff4ed5bb52783dd
•    d0ad4503386affa3e7de701047ab5a36360483a5161d8498521b5e5432d0113e
•    e6c5380cc85eefa4725f50b66fcf13732f1052f809f82bf2a54d125e049a8b2f
•    399503962b14b9b08824e15c59a33efcd95e7980fa02fd93908697c67632df20
•    455d509757dcad64cb1652d2b83ea5fb3e7b7f3459eb4d7e730a3b8f151bdb51
•    481b450a77918de85f17dccf1bba92f366969c6a103bad6053f2a36324f6d8de
•    dffec313da406f87b9caa9553838e8d94d25d00d6921dc8f986ff624d6851662
•    dffec313da406f87b9caa9553838e8d94d25d00d6921dc8f986ff624d6851662
آدرس اینترنتی و IP:
•    workpc[.]biz
•    mytele[.]ga
•    megabitcoin[.]life
•    mandevelopm[.]org
•    petrofig.beget[.]tech
•    46[.]21[.]147[.]75
•    http[:]//mytele[.]ga/indexvphp
•    http[:]//mytele[.]ga
•    http[:]//megabitcoin[.]life/index[.]php
•    http[:]//mandevelopm[.]org/index[.]php
•    http[:]//petrofig.beget[.]tech/xxx[.]exe
•    http[:]//petrofig.beget[.]tech/minexmr[.]php

منابع:

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.