سه شنبه ۲۹ اسفند ۱۴۰۲ , 19 Mar 2024
جالب است ۰
یک گروه APT در منطقه خاورمیانه حملاتی با نام Big Bang انجام می‌دهد.
منبع : مرکز مدیریت راهبردی افتا
 یک گروه APT در منطقه خاورمیانه حملاتی با نام Big Bang انجام می‌دهد.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، طی چند هفته گذشته، تیم امنیتی Check Point یک گروه جاسوسی APT را کشف کرده‌است که حملاتی را علیه نهادهایی در سراسر خاورمیانه انجام داده‌است.

حملات با ارسال ایمیل‌های فیشینگ به اهداف انجام‌می‌شود که ایمیل‌ها حاوی یک فایل پیوست آرشیو self-extracting است که شامل دو فایل است: یک سند Word و یک فایل اجرایی مخرب. سند Word قربانی را منحرف می‌کند تا بدافزار در پس‌زمینه سیستم نصب شود.

این بدافزار حاوی ماژول‌های مختلفی از قبیل موارد زیر است:
• از سیستم قربانی، اسکرین‌شات تهیه می‌کند و آن را به سرور C&C ارسال می‌کند.
• نام و شناسه‌های فرایندهای پردازشی در حال اجرا را در فایلی با نام sat.txt ذخیره و آن‌را به سرور ارسال می‌کند.
• لیستی از فایل‌های doc ،odt ،xls ،ppt ،pdf و ... قربانی را ارسال می‌کند.
• یک فایل با پسوند txt را از یک آدرس اینترنتی دانلود می‌کند و پس از تغییر پسوند آن به exe، آن را اجرا می‌کند.
• جزییات سیستم را به‌صورت لاگ به سرور ارسال می‌کند.
• سیستم را Reboot می‌کند.
• یک فرایند پردازشی را بر اساس نام آن متوقف می‌کند.
• بدنه را از startup حذف می‌کند و همچنین فایل اصلی آنرا نیز پاک می‌کند.
• فایل اجرایی بدافزار را به‌صورت خودکار پاک می‌کند.
• لیستی از پارتیشن‌های موجود در سیستم قربانی را به سرور ارسال می‌کند.

هدف اصلی این حملات که BigBang نام گرفته‌است، هنوز مشخص نیست، اما واضح است که مهاجم پس از جمع‌آوری اطلاعات، مرحله دوم حملات را آغاز خواهدکرد.

گروه Talos در ماه ژوئن سال ۲۰۱۷، حملات دیگری از این گروه APT را کشف کرد و پس از آن تاکنون حملات وسیعی از این گروه گزارش نشده‌است، اما حمله BigBang دارای قابلیت‌ها و زیرساخت‌های تهاجمی بهبود یافته‌ای است.

نمونه‌های اولیه این حملات در اواسط ماه آوریل سال جاری مشاهده شده‌است، اما به کمک خبرهای استفاده‌شده در اسناد می‌توان دریافت که شروع حملات به مارس ۲۰۱۸ برمی‌گردد. بدافزار استفاده‌شده در این حملات، نسخه بهبود یافته از بدافزاری است که در سال گذشته مورد استفاده قرار گرفته‌است. بدافزار با زبان C++ نوشته شده‌است و به‌صورت یک فایل اجرایی self-extracting بسته‌بندی شده‌است.

نام فایل اجرایی DriverInstallerU.exe است، اما metadata آن نشان می‌دهد که نام اصلی فایل Interenet Assistant.exe است. پس از اجرای این فایل، ماژول‌های بدافزار پس برقرای ارتباط با سرور C&C فعال می‌شوند.

باید اشاره کرد که این حملات بر اساس تجربه قبلی این گروه APT در سال گذشته انجام گرفته است و قابلیت‌ها و کاربران هدف آنها افزایش یافته است. مقاصد اصلی حملات مشخص نیست اما مرحله بعدی حملات در آینده صورت خواهدگرفت.

IOCها:
هش فایل‌های مربوط به حمله:
a۲۱۰ac۶ea۰۴۰۶d۸۱fa۵۶۸۲e۸۶۹۹۷be۲۵c۷۳e۹d۱b
۹۹۴ebbe۴۴۴۱۸۳e۰d۶۷b۱۳f۹۱d۷۵b۰f۹bcfb۰۱۱db
۷۴ea۶۰b۴e۲۶۹۸۱۷۱۶۸e۱۰۷bdccc۴۲b۳a۱۱۹۳c۱e۶
۵۱۱bec۷۸۲be۴۱e۸۵a۰۱۳cbea۹۵۷۲۵d۵۸۰۷e۳c۲f۲
۹e۰۹۳a۵b۳۴c۴e۵dea۵۹e۳۷۴b۴۰۹۱۷۳۵۶۵dc۳b۰۵b

دامنه‌های مربوط به حمله:
lindamullins[.]info
spgbotup[.]club
namyyeatop[.]club
namybotter[.]info
sanjynono[.]website
exvsnomy[.]club
ezofiezo[.]website
hitmesanjjoy[.]pro
کد مطلب : 14272
https://aftana.ir/vdcf00dy.w6djeagiiw.html
ارسال نظر
نام شما
آدرس ايميل شما
کد امنيتی