از نگاه آمریکا کره شمالی سازنده Volgmer است
انتشار تروجان خطرناک Volgmer
کد مطلب: 13492
تاریخ انتشار : سه شنبه ۱۴ آذر ۱۳۹۶ ساعت ۱۵:۰۰
 
مهاجمان در قالب گروهی به نام «کبرای پنهان (HIDDEN COBRA)» تروجان مخرب Volgmer را منتشر کرده‌اند.
انتشار تروجان خطرناک Volgmer
 
 
Share/Save/Bookmark
مهاجمان در قالب گروهی به نام «کبرای پنهان (HIDDEN COBRA)» تروجان مخرب Volgmer را منتشر کرده‌اند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، پس از ارائه هشدارهای مشترک وزارت امنیت داخلی و پلیس فدرال آمریکا در رابطه با فعالیت باج‌افزارها مشخص شد که باج‌افزار «Volgmer» فعالیت مخرب خود را روی زیرساخت‌هایی مانند آدرس‌های اینترنتی (IP) و سایر شاخص‌های ارتباطی اجرا کرده‌است. دولت آمریکا، مجدداً کره شمالی را مقصر اصلی و سازنده این تروجان اعلام کرده‌است. در این میان سیستم‌های شبکه از مهم‌ترین تجهیزات و زیرساخت‌های تحت حمله توسط این تروجان شناخته ‌شده‌اند.

مهاجمان در قالب گروهی به نام «کبرای پنهان (HIDDEN COBRA)»، این تروجان را منتشر کرده‌اند.

تروجان نام‌برده به‌عنوان یکی از درِ پشتی‌های مورداستفاده در زیرساخت‌ها به شمار می‌رود که برای دسترسی پنهان به سیستم‌های آسیب‌دیده طراحی ‌شده‌است. این در حالی است که سازندگان این بدافزار از قابلیت‌های تروجان ساخته‌شده، زیرساخت‌های صنایع دولتی، مالی، خودرویی و رسانه‌ای را تحت حملات خود قرار داده‌اند. بررسی‌های انجام‌شده حاکی از آن است که بدافزار نام‌برده فعالیت خود را در وهله اول با استفاده از حملات فیشینگ اجرا می‌کند.

پس از شناسایی IP آدرس‌های استاتیک موجود در زیرساخت‌های سیستم شبکه مشخص شد که بدافزار نام‌برده با استفاده از نفوذ به حداقل ۹۴ آدرس مختلف و آدرس‌های پویا، فعالیت خود را در کشورهای مختلف اجرا کرده‌است که در زیر بیشترین درصد استفاده از این آدرس‌ها را نشان داده‌ شده‌است.

• هند، ۷۷۲ آدرس ۲۵.۴ درصد
• ایران، ۳۷۳ آدرس ۱۲.۳ درصد
• پاکستان، ۳۴۳ آدرس، ۱۱.۳ درصد
• عربستان سعودی، ۱۸۲ آدرس، ۶ درصد
• تایوان، ۱۶۹ آدرس، ۵.۶ درصد
• تایلند، ۱۴۰ آدرس ۴.۶ درصد
• سریلانکا، ۱۲۱ آدرس، ۴ درصد
• چین، ۸۲ آدرس که سهم هنگ‌کنگ ۱۲ آدرس با ۲.۷ درصد
• ویتنام، ۸۰ آدرس،۲.۶ درصد
• اندونزی، ۶۸ آدرس، ۲.۲ درصد
• روسیه، ۶۸ آدرس، ۲.۲ درصد

ازجمله توانایی‌های این بدافزار می‌توان به جمع‌آوری اطلاعات سیستم، به‌روزرسانی کلیدهای رجیستری سرویس، بارگیری و آپلود فایل‌ها، اجرای دستورات اشاره کرد و همچنین در آخرین بررسی‌ها، کنترل بوت را نیز می‌توان به قابلیت‌های این بدافزار اضافه کرد.

محتویات «Volgmer» در فرم ۳۲ بیتی به‌عنوان فایل‌های قابل اجرا یا کتابخانه پویا (dll.) مشاهده شده‌است. این بدافزار با استفاده از یک پروتکل باینری سفارشی برای بازگشت به سرور کنترل و فرمان (C2) استفاده می‌کند که اغلب از طریق پورت TCP ۸۰۸۰ یا ۸۰۸۸ است. همچنین تروجان فوق برای ایجاد اختلال در ارتباطات از رمزگذاری SSL استفاده می‌کند.
مرجع : سایبربان