پنجشنبه ۹ فروردين ۱۴۰۳ , 28 Mar 2024
جالب است ۰
یافته‌های فعلی نشان می‌دهد که توسعه‌دهندگان Necurs به‌طور فعال در حال استفاده از ابزارهای جدیدی هستند تا از اقدامات امنیتی جلوگیری کنند.
منبع : مرکز مدیریت راهبردی افتا
یافته‌های فعلی نشان می‌دهد که توسعه‌دهندگان Necurs به‌طور فعال در حال استفاده از ابزارهای جدیدی هستند تا از اقدامات امنیتی جلوگیری کنند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، آخرین گزارش‌ها نشان می‌دهد که بات‌نت Necurs برای جلوگیری از شناسایی از میانبرهای اینترنتی یا URL استفاده می‌کند، اما به‌نظر می‌رسد که نویسندگان آن مجددا به‌روزرسانی‌هایی را انجام داده‌اند.

یافته‌های فعلی نشان می‌دهد که توسعه‌دهندگان Necurs به‌طور فعال در حال استفاده از ابزارهای جدیدی هستند تا از اقدامات امنیتی جلوگیری کنند. این‌بار در موج جدیدی از حملات ایمیل‌های اسپم از این بات‌نت از فایل‌های IQY برای جلوگیری از تشخیص استفاده شده‌است.

بات‌نت Necurs در حملات سایبری مختلفی طی سال‌ها شرکت داشته‌است. در سال ۲۰۱۷ از این بات‌نت برای توزیع باج‌افزار Locky استفاده شده‌است. در استفاده فعلی از این بات‌نت از فایل‌های IQY به عنوان بردار آلوده‌سازی استفاده شده‌است. فایل‌های IQY فایل‌های متنی هستند که دارای فرمت خاصی هستند. استفاده معمول از این فایل‌ها وارد کردن اطلاعات منابع خارجی به فایل‌های اکسل است. به صورت پیش‌فرض ویندوز فایل‌های IQY را با نرم‌افزار اکسل باز می‌کند.

در موج جدید ایمیل‌های اسپم، فایل‌های IQY در پیوست مشاهده می‌شود. موضوع و فایل پیوست درباره تخفیفات فروشگاهی و تبلیغات است. زمانی که کاربر فایل IQY را اجرا کند، فایل با URL موجود در آن ارتباط برقرا می‌کند و داده‌هایی را دریافت می‌کند. بررسی بیشتر این داده‌ها نشان می‌دهد که اطلاعات دریافتی از ویژگی DDE اکسل سوء‌استفاده می‌کند و باعث می‌شود که یک فرایند PowerShell آغاز شود.

اسکریپت PowerShell ، یک تروجان با دسترسی از راه دور (RAT) و پیلود نهایی یعنی یک در پشتی با نام FlawedAMMYY را دانلود می‌کند. در موج جدید، اسکریپت قبل از دانلود پیلود نهایی یک image را نیز دانلود می‌کند که دانلودکننده یک فایل مولفه رمزگذاری شده‌است.

در پشتی دانلود شده دستورات زیر را از سرور مخرب بصورت از راه دور اجرا می‌کند:
• مدیریت فایل
• مشاهده تصویر صفحه
• کنترل از راه دور
• گفت‌وگوی صوتی
• نصب/شروع/توقف/حذف/غیرفعال سازی پس زمینه دسکتاپ
• غیرفعال‌سازی desktop composition
• غیرفعال‌سازی افکت‌های بصری
• نمایش tooltip نشانگر

کاربران باید نسبت به دانلود پیوست‌های مشکوک با احتیاط عمل کنند. مایکروسافت درباره سوءاستفاده DDE آگاه است و به همین دلیل دو پیغام تایید قبل از اجرای فایل IQY برای کاربر باز می‌شود.

IOCها:
۳۰e۲f۸e۹۰۵e۴۵۹۶۹۴۶e۶۵۱۶۲۷c۴۵۰e۳cc۵۷۴fdf۵۸ea۶e۴۱cdad۱f۰۶۱۹۰a۰۵۲۱۶
۰bd۵f۱۵۷۳a۶۰d۵۵c۸۵۷da۷۸affa۸۵f۸af۳۸d۶۲e۱۳e۷۵ebdd۱۵a۴۰۲۹۹۲da۱۴b۰b
۶۰۲a۷a۳c۶a۴۹۷۰۸a۳۳۶d۴c۹bf۶۳c۱bd۳f۹۴e۸۸۵ef۷۷۸۴be۶۲e۸۶۶۴۶۲fe۳۶b۹۴۲
۷c۶۴۱ae۹bfacad۱e۴d۱d۰feef۳ec۹e۹۷c۵۵c۶bd۶۶۸۱۲f۵d۹cf۲a۴۷ba۴۰a۱۶dd۴
۷f۹cedd۱b۶۷cd۶۱ba۶۸d۳۵۳۶ee۶۷efc۱۱۴۰bdf۷۹۰b۰۲da۷aab۴e۵۶۵۷bf۴۸bb۶f
a۵۶۰c۵۳۹۸۲dd۷f۲۷b۲۹۵۴۶۸۸۲۵۶۷۳۴ae۶ca۳۰۵cc۹۲c۳d۶e۸۲ac۳۴ee۵۳e۸۸e۴d۳
ba۸ed۴۰۶۰۰۵۰۶۴fdffc۳e۰۰a۲۳۳ae۱e۱fb۳۱۵ffdc۷۰۹۹۶f۶f۹۸۳۱۲۷a۷f۴۸۴e۹۹
ca۰da۲۲۰f۷۶۹۱۰۵۹b۳۱۷۴b۲de۱۴bd۴۱ddb۹۶bf۳f۰۲a۲۸۲۴b۲b۸c۱۰۳۲۱۵c۷۴۰۳c
کد مطلب : 14232
https://aftana.ir/vdcb55b8.rhbafpiuur.html
ارسال نظر
نام شما
آدرس ايميل شما
کد امنيتی