محققان جدیدترین عملیات مخرب توسط بدافزار Ursnif را شناسایی کردهاند.
۰
منبع : مرکز مدیریت راهبردی افتا
محققان جدیدترین عملیات مخرب توسط بدافزار Ursnif را شناسایی کردهاند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، پژوهشگران Yoroi-Cybaze ZLAB ویرایش جدیدی از بدافزار شناختهشده Ursnif را کشف کردند که از طریق ایمیلهای اسپم منتقل شدهاست.
در ایمیلها از پیوستهایی استفاده شدهاست که محتوای آنها یک فایل جاوااسکریپت است. این فایل پس از اجرا مولفههای مخرب دیگری را دریافت و سیستم قربانی را آلوده میکند. فایل جاوااسکریپت در ابتدا شروع به ایجاد ترافیک زیادی میکند تا شناسایی زیرساخت مخرب را دشوار کند. این کار از طریق ایجاد مجموعهای از URLهای تصادفی و اتصال ناموفق به آنها انجام میشود که منجر به تولید حجم ترافیک بالا در محیطهای تحلیل میشود.
بدافزار در مرحله دوم فرایندهای مخرب خود از فایل ppc.cab استفاده میکند که این فایل در مرحله اول در مسیر %APPDATA%\Roaming قرار داده شده است. درون این فایل یک فایل اجرایی با نام puk.exe وجود دارد. این فایل از فرایندهای پردازشی مرورگر اینترنت اکسپلورر استفاده میکند تا فعالیت شبکه خود را مخفی کند.
بدافزار در مرحله سوم فعالیتهایی را انجام میدهد تا پایداری خود را در سیستم حفظ کند و برای مدت بیشتری در سیستم قربانی بماند. این کار با تعیین کلیدهای رجیستری انجام میشود.
نشانههای آلودگی (IoC):
آدرس دریافت ppc.cab:
• hxxp:// groupschina.]com/tss/ppc.cab
سرورهای C&C:
• ۱۴۹,۱۲۹.۱۲۹.۱
• ۴۷,۷۴.۱۳۱.۱۴۶
• ۱۷۶,۹.۱۱۸.۱۴۲
• grwdesign[.com
• rest.relonter[.at
• web۲۰۰۳.uni[.net
• web۲۳۴۱.uni۵[.net
• in.ledalco[.at
• int.nokoguard[.at
• io.ledalco[.at
• rest.relonter[.at
• apt.melotor[.at
• torafy[.cn
هشها:
• ۸۱۷۹۸ea۱۲۵۳۵۹ca۴e۶۱۸a۵۶۱۹cd۸۵۶f۹۵f۳fb۸۰۹f۵f۳۰۲۲a۴۲۵۶۳bd۳b۶۲۷f۲ca - puk.exe
• ۰۷۶a۲fea۰۶c۳۶۰۵۹۲۷bd۰d۳acc۴ed۱۱db۳c۳۶a۸۲۹aced۰۶۰۸۱c۲e۳ac۹۹۷۱f۳۴۷ -۳۵۶۲۳۸۰۲.bat
• f۲cd۵۸۸۶۰b۶۰۸۵b۶۳۶۳۴۹۸۰a۶۴۱ebcd۹b۴۱۴۸۹۸۲d۶۸۱cad۸۸f۰۰b۰۸b۳۴۱c۷bc۱ - ppc.cab
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، پژوهشگران Yoroi-Cybaze ZLAB ویرایش جدیدی از بدافزار شناختهشده Ursnif را کشف کردند که از طریق ایمیلهای اسپم منتقل شدهاست.
در ایمیلها از پیوستهایی استفاده شدهاست که محتوای آنها یک فایل جاوااسکریپت است. این فایل پس از اجرا مولفههای مخرب دیگری را دریافت و سیستم قربانی را آلوده میکند. فایل جاوااسکریپت در ابتدا شروع به ایجاد ترافیک زیادی میکند تا شناسایی زیرساخت مخرب را دشوار کند. این کار از طریق ایجاد مجموعهای از URLهای تصادفی و اتصال ناموفق به آنها انجام میشود که منجر به تولید حجم ترافیک بالا در محیطهای تحلیل میشود.
بدافزار در مرحله دوم فرایندهای مخرب خود از فایل ppc.cab استفاده میکند که این فایل در مرحله اول در مسیر %APPDATA%\Roaming قرار داده شده است. درون این فایل یک فایل اجرایی با نام puk.exe وجود دارد. این فایل از فرایندهای پردازشی مرورگر اینترنت اکسپلورر استفاده میکند تا فعالیت شبکه خود را مخفی کند.
بدافزار در مرحله سوم فعالیتهایی را انجام میدهد تا پایداری خود را در سیستم حفظ کند و برای مدت بیشتری در سیستم قربانی بماند. این کار با تعیین کلیدهای رجیستری انجام میشود.
نشانههای آلودگی (IoC):
آدرس دریافت ppc.cab:
• hxxp:// groupschina.]com/tss/ppc.cab
سرورهای C&C:
• ۱۴۹,۱۲۹.۱۲۹.۱
• ۴۷,۷۴.۱۳۱.۱۴۶
• ۱۷۶,۹.۱۱۸.۱۴۲
• grwdesign[.com
• rest.relonter[.at
• web۲۰۰۳.uni[.net
• web۲۳۴۱.uni۵[.net
• in.ledalco[.at
• int.nokoguard[.at
• io.ledalco[.at
• rest.relonter[.at
• apt.melotor[.at
• torafy[.cn
هشها:
• ۸۱۷۹۸ea۱۲۵۳۵۹ca۴e۶۱۸a۵۶۱۹cd۸۵۶f۹۵f۳fb۸۰۹f۵f۳۰۲۲a۴۲۵۶۳bd۳b۶۲۷f۲ca - puk.exe
• ۰۷۶a۲fea۰۶c۳۶۰۵۹۲۷bd۰d۳acc۴ed۱۱db۳c۳۶a۸۲۹aced۰۶۰۸۱c۲e۳ac۹۹۷۱f۳۴۷ -۳۵۶۲۳۸۰۲.bat
• f۲cd۵۸۸۶۰b۶۰۸۵b۶۳۶۳۴۹۸۰a۶۴۱ebcd۹b۴۱۴۸۹۸۲d۶۸۱cad۸۸f۰۰b۰۸b۳۴۱c۷bc۱ - ppc.cab
کد مطلب : 14871
https://aftana.ir/vdca6an6.49ny015kk4.htmlaftana.ir/vdca6an6.49ny015kk4.html
آخرین عناوین
پربيننده ترين
۱
۲
۳
۴
۵