يکشنبه, 13 آذر 1401
  • ساعت : ۱۴:۳۲
  • تاريخ :
     ۱۴۰۱/۰۶/۲۰ 
  • کد خبر : ۲۲۱۴
شناسایی APT در زیرساخت‌های صنعتی
شرکت کسپرسکی در گزارش اخیر خود با افشای حملات هدفمند سایبری در حوزه زیرساخت‌های صنعتی، یادآور شده است که این حملات از ژانویه 2022 در جهان شناسایی‌شده و تاکنون ده‌ها شرکت هدف مهاجمان قرار گرفته است.

به گزارش مرکز مدیریت راهبردی افتا، روش اصلی نفوذ این حملات، ایمیل‌های فیشینگ هدفمند بیان‌شده است. در برخی از موارد، این ایمیل‌ها که با دقت و حساسیت بالایی ایجاد شده‌اند، حاوی اطلاعات و داده‌هایی هستند که مختص همان سازمان و حوزه کاری است و این اطلاعات در دسترس عموم نیست؛ که این امر، بیانگر این مسئله است مهاجمان، مراحل قبل از حمله و به دست آوردن اطلاعات را به‌خوبی انجام داده‌اند. 
ممکن است این اطلاعات در حملات قبلی به همان سازمان یا کارکنان آن یا سایر سازمان‌ها یا افراد مرتبط با سازمان قربانی به‌دست‌آمده باشد. در این ایمیل‌ها، فایل مایکروسافت مخربی وجود دارد که کد مخرب موجود در آن، با سوءاستفاده از آسیب‌پذیری  CVE-2017-11882 مهاجم را قادر می‌سازد تا کد دلخواه خود را بدون هیچ‌گونه فعالیت اضافی کاربر اجرا کند.
 در حملات سری اول از بدافزار PortDoor استفاده‌شده است و در سری جدید حملات، مهاجمان از شش در پشتی متفاوت به‌طور همزمان استفاده کرده‌اند (حفظ افزونگی و ارتباط پایدار در صورت شناسایی یکی از آن‌ها توسط آنتی‌ویروس‌ها). این بدافزارها عملیات مرتبط با کنترل سیستم‌های آلوده و جمع‌آوری داده‌های محرمانه و ارسال آن به سرورهای C&C را انجام می‌دهند.

سناریوی آلوده‌سازی
مهاجم پس از آلوده‌سازی سیستم اولیه، فرآیند آلوده‌سازی سایر سیستم‌ها را دنبال می‌کند. برای این هدف، مهاجم از اطلاعات مرتبط با اسکن شبکه (که در مرحله قبل استخراج‌شده است)، جستجو و اکسپلویت آسیب‌پذیری‌ها، حملات پسورد استفاده می‌کند. در مرحله نهایی، مهاجم کنترل DC و کل ایستگاه‌های کاری و سرورها را به دست می‌آورد. در طول این عملیات، مهاجم از تکنیک‌های گوناگونی برای جلوگیری شناسایی ابزارهای خود توسط آنتی‌ویروس‌ها استفاده می‌کند.
یکی از مهم‌ترین کارهایی که مهاجمان در سیستم‌های آلوده انجام می‌دهند، سرقت مستندات و فایل‌های مهم سازمانی است. برای این منظور، فایل‌های مهم به‌صورت فشرده و دارای پسورد ذخیره و برای سرورهای میانی (سرورهای مرحله یک) خود ارسال می‌کنند. سرورهای میانی، این فایل‌ها را برای یک سرور دیگر (سرور مرحله دوم) ارسال می‌کنند.

00115.jpg

سناریوی ارتباط با C&C و سرقت اطلاعات

اهداف
بر اساس گزارش کسپر، تاکنون ده‌ها قربانی برای این حمله شناسایی‌شده است که نوع قربانیان هدفمند بودن این حملات را نشان می‌دهد. صنایع دفاعی از جمله اهداف اصلی این حملات محسوب می‌شوند. این حمله کارخانه‌های صنعتی، مؤسسات تحقیقاتی، سازمان‌های دولتی، وزارتخانه‌ها و ادارات را در چندین کشور بلاروس، روسیه و اوکراین و همچنین افغانستان هدف قرار داده است.

00116.jpg

گستره جغرافیایی قربانیان

شناسایی و مقابله
شواهد شبکه‌ای و سیستمی برای شناسایی فعالیت این بدافزار به شرح زیر است، با توجه به اینکه این بدافزار از اوایل سال میلادی فعالیت داشته، برای شناسایی آن باید در داده‌های آرشیو (ترافیکی و رویدادها) جستجو انجام شود.

File MD5:
0A2E7C01B847D3B1C6EEBE6AF63DC140
0A945587E0E11A89D72B4C0B45A4F77E
10818F47AA4DC2B39A7B5EEF652F3C68
1157132504BE3BF556A80DB8A2FF9395
11955356232DCF6834515BF111BB5138
11BA5665EC1DBA660401AFDE64C2B125
17FA7898D040FA647AFA4467921A66CF
180EE3E469BFCFC079E1A46D16440467
1EA58FF469F5EE0FDCF5B30FC19E4CB8
216D9F82BA2B9289E68F9778E1E40AC9
29B62694DC9F720BD09438F37B7B358A
3953EB8F7825E756515BE79EF45655B0
3A13B99B2567190AB87E8AB745761017
40EB08F151859C1FE4DC8E6BC466B06F
413FA4AD3AFE00B34102C520A91F031C
4866622D249F3EA114495A4A249F3064
4AD1AD14044BD2C5A5C5E7E7DD954B23
4D42C314FF4341F2D1315D7810BD4E15
51367DC409A7A7E5521C2F700C56A452
51BEFD74AC3B8943DA58C841017A57A8
56AF3279253E4A60BD080DD6A5CA7BA8
5EA338D71D2A49E7B3259BC52F424303
5EB42E1BA99FACE02CE50EA1AAF72AB5
6038583B155F73FAF1B5EF8135154278
64EF950D1F31A41FE60C0FD10CA46109
6652923CE80A073FD985E20B8580E703
6BDF1C294B6A34A5769E872D49AFD9E7
6DFC3BDD2B70670BF29506E5828F627E
70DA6872B6B2DA9DDC94D14B02302917
7101FE9E82E9B0E727B64608C9FD5DF1
7C383C9CA29F78FCC815EAEA9373B4BB
7FE40325F0CEF8A32E69A6087EBC7157
84DF335EBC10633DA1524C7DBB836994
87AA0BEDF293E9B16A93E4411353F367
94AF1B400FDBDEBD8EDA337474C07479
AA7231904A125273F5E5EE55A1441BA4
AB26F4C877A7357CABF95FB5033A5BEF
AB55A08ED77736CE6D26874187169BC9
AE11F7218E919DF5B8A9A2C0DC247F56
B2C9F5CAE72AF5A50940D55BB5B92E98
C6D6CFFD56638A68A0DE11035B9C9097
CBECDFA1D0708D60500864A2A9DE4992
CCC9482A7BEE777BBB08172DCCDAB8AA
D394F005416A20505C597ECF7882450F
D44A276529343F7AC291AD7AD0B99378
D669B03807102B4AF87B20EC3731909A
DA765E4E6B0D2544FE3F71E384812C40
E005F5DA3BA5D6726DA4E6671605B814
E2A3CD2B3C2E43CA08D2B9EE78D4919B
E8800D59C411A948EE966FF745FBD5C9
E8A16193BCD477D8231E6FC1A484DC8A
EBCFFECE1B1AF517743D3DFFDE72CB43
F01A9A2D1E31332ED36C1A4D2839F412
FB2B4C9CA6A7871A98C6E2405E27A21F
FF6D8578BE65A31F3624B62E07BEF795
6860189B79FF35199F99171548F5CD65
9EC56A18333D4D4E4D3C361D487C05BD
E5B6571E1512D3896F8C2367DDC5A02D
7CB0D8CFFE48DF7B531B6BEDE8137199
86BB8FA0D00FD94F15AE1BD001037C6C
9F5BBA1ACEF3CCBBDC789F8813B99067
4EA2B943A1D9539E42C5BDBA3D3CA7A0
5934B7E24D03E92B3DBACBE49F6E677C
C8F13C9890CEB695538FDC44AD817278
BABDF6FA73E48345F00462C3EF556B86
CBB7E0B8DDE2241480B71B9C648C1501

 

File path:
C:\1\mcinsupd.cfg
C:\1\mcinsupd.exe
C:\1\mytilus3.dll
C:\1C\ace.exe
C:\2\LiveUpdate.exe
C:\2\safestore64.dll
C:\3\mcinsupd.cfg
C:\3\mcinsupd.exe
C:\3\mytilus3.dll
C:\4\LiveUpdate.exe
C:\4\safestore64.dll
C:\Microsoft\MF\Instsrv.exe
C:\Microsoft\MF\wus.dll
C:\ProgramData\1C\ace.exe
C:\ProgramData\2GIS\!research\Remediation.exe\winhelp.tmp
C:\ProgramData\2GIS\conhost.exe
C:\ProgramData\2GIS\conhost.exe.cab
C:\ProgramData\2GIS\ps.cab
C:\ProgramData\2GIS\Remediation.exe
C:\ProgramData\2GIS\Remediation.exe.cab
C:\ProgramData\2GIS\research\conhost.exe
C:\ProgramData\2GIS\research\Ps.exe
C:\ProgramData\2GIS\research\Remediation.exe
C:\ProgramData\AADConnect\1.bat
C:\ProgramData\AADConnect\bdtkexec.cfg
C:\ProgramData\AADConnect\PtWatchDog.exe
C:\ProgramData\AADConnect\TmDbgLog.dll
C:\ProgramData\Adobe\ARM\mcsync.exe
C:\ProgramData\Adobe\ARM\mcsync.log
C:\ProgramData\Adobe\ARM\McUtil.dll
C:\ProgramData\Apple\asOELnch.exe
C:\ProgramData\Apple\ccLib.dll
C:\ProgramData\Apple\NordLnch.cfg
C:\ProgramData\ASUS\ALL\mcsync.exe
C:\ProgramData\ASUS\ALL\mcsync.log
C:\ProgramData\ASUS\ALL\McUtil.dll
C:\ProgramData\Intel\hccutils.dll
C:\ProgramData\Intel\hkcmd.exe
C:\ProgramData\Intel\hkSetting.cfg
C:\ProgramData\Microsoft\AppV\hccutils.dll
C:\ProgramData\Microsoft\AppV\hkcmd.exe
C:\ProgramData\Microsoft\AppV\hkSetting.cfg
C:\ProgramData\Microsoft\Crypto\RSA\asOELnch.exe
C:\ProgramData\Microsoft\Crypto\RSA\ccLib.dll
C:\ProgramData\Microsoft\Crypto\RSA\mcsync.exe
C:\ProgramData\Microsoft\Crypto\RSA\mcsync.log
C:\ProgramData\Microsoft\Crypto\RSA\McUtil.dll
C:\ProgramData\Microsoft\Crypto\RSA\NordLnch.cfg
C:\ProgramData\Microsoft\DRM\LiveUpdate.exe
C:\ProgramData\Microsoft\DRM\mcinsupd.cfg
C:\ProgramData\Microsoft\DRM\mcinsupd.exe
C:\ProgramData\Microsoft\DRM\mytilus3.dll
C:\ProgramData\Microsoft\DRM\safestore64.dll
C:\ProgramData\Microsoft\MF\Active.GRL
C:\ProgramData\Microsoft\MF\Instsrv.exe
C:\ProgramData\Microsoft\MF\Pending.GRL
C:\ProgramData\Microsoft\MF\wus.dll
C:\ProgramData\Microsoft\uconhost.exe
C:\ProgramData\Oracle\ace.exe
C:\ProgramData\sh.exe
C:\Users\Default\AppData\Roaming\winset\LiveUpdate.exe
C:\Users\Default\AppData\Roaming\winset\safestore64.dll
C:\Windows\System32\Tasks\GUP
C:\Windows\System32\Tasks\hkcmd
C:\Windows\System32\wam.dll
C:\Windows\System32\wus.dll
C:\Windows\SysWOW64\wus.dll
C:\Windows\Temp\conhost.dll
C:\Windows\Temp\conhost.exe
C:\Windows\Temp\mcoemcpy.exe
C:\Windows\Temp\McoemcpyRun.log
C:\Windows\Temp\McUtil.dll
C:\Windows\Temp\McUtil.dll.cab
C:\Windows\Temp\net.log
C:\Windows\Temp\smcw.dll
C:\Windows\Web\1.bat
C:\Windows\Web\1\hccutils.dll
C:\Windows\Web\1\hkcmd.exe
C:\Windows\Web\1\hkSetting.cfg
C:\Windows\Web\ace.exe
C:\Windows\Web\Ladon.exe
C:\Windows\Web\wmic.vbs
C:\ProgramData\Microsoft\Network\Downloader\Client.cfg
C:\ProgramData\Microsoft\Network\Downloader\Update.exe
C:\ProgramData\mc.cab
C:\ProgramData\my_capture.exe
%AppData%\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\MpClient.dll
%AppData%\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\MsMpEng.exe
%AppData%\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\MSCAL.OCX
%AppData%\Roaming\Microsoft\MsMpEng.exe
C:\ProgramData\temp\wcrypt32.dll
C:\ProgramData\temp\wmic.dll
C:\ProgramData\ABBYY\FineReader\Client.cfg
C:\ProgramData\ABBYY\FineReader\debug.log
C:\ProgramData\ABBYY\FineReader\OEMPRINT.CAT
C:\ProgramData\ABBYY\FineReader\Update.exe
C:\ProgramData\ABBYY\FineReader\WINWORD.EXE_
C:\Windows\Temp\Client.cfg
C:\ProgramData\Adobe\Setup\mcinsupd.exe
C:\ProgramData\Adobe\Setup\mcinsupd.cfg
Security solution verdicts:
Backdoor.Win32.Agent.myuhpj
Backdoor.Win32.Agentb.ca
Backdoor.Win32.Agentb.cc
Backdoor.Win32.CotSam.a
Backdoor.Win64.Agent.iwv
Backdoor.Win64.Agent.iwy
Backdoor.Win64.Agent.iwz
Backdoor.Win64.Agent.ixl
Backdoor.Win64.Agent.ixm
HackTool.Win64.Agent.hk
HEUR:Trojan.Win32.APosT.gen
not-a-virus:NetTool.Win32.NbtScan.a
Trojan.Win32.Agentb.kpkq
Trojan.Win32.APosT.mim
Trojan.Win32.APosT.min
Trojan.Win32.APosT.mxw
Trojan.Win64.Agent.qwhymc
Trojan.Win64.Agent.qwhypj
Trojan.Win64.Agentb.bdq
Trojan.Win64.Agentb.bse
Trojan.Win64.Agentb.bsf
Trojan.Win64.Dllhijacker.km
Trojan.Win64.Dllhijacker.ks
Trojan.Win64.DllHijacker.qq
HEUR:Backdoor.Win32.CotSam.gen
Backdoor.Win64.CotSam.a
Domain names and IP addresses:
www1.nppnavigator[.]net
www3.vpkimplus[.]com
45.151.180[.]178
custom.songuulcomiss[.]com
tech.songuulcomiss[.]com
video.nicblainfo[.]net
160.202.162[.]122
doc.redstrpela[.]net
fax.internnetionfax[.]com
www2.defensysminck[.]net
info.ntcprotek[.]com
www1.dotomater[.]club
192.248.182[.]121
www2.sdelanasnou[.]com
54.36.189[.]105
5.180.174[.]10
45.63.27[.]162
server.dotomater[.]club

منبع:

 

امتیاز :  ۰ |  مجموع :  ۰

برچسب ها

    تهران، خیابان قائم مقام فراهانی ،کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا
    ایمیل: info@afta.gov.ir
    6.0.15.0
    V6.0.15.0