باجافزاری جدید با نام MegaCortex پس از نفوذ به شبکههای سازمانی با استفاده از کنترلکنندههای دامنه ویندوز در کل شبکه توزیع میشود.
۰
منبع : مرکز مدیریت راهبردی افتا
باجافزاری جدید با نام MegaCortex پس از نفوذ به شبکههای سازمانی با استفاده از کنترلکنندههای دامنه ویندوز در کل شبکه توزیع میشود.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، باجافزار MegaCortex که به تازگی شناسایی شدهاست، شبکههای سازمانی را هدف گرفتهاست. این باجافزار پس از نفوذ به یک شبکه با استفاده از کنترلکنندههای دامنه ویندوز در کل شبکه توزیع میشود.
در شبکههایی که با باجافزار MegaCortex آلوده شدهاند تروجانهای Emotet یا Qakbot مشاهده شدهاست. این موضوع نشان میدهد که مشابه روند حملات باجافزار Ryuk، مهاجمان از تروجانها برای دسترسی به سیستمهای آلوده بهره میبرند.
قربانیان اعلام کردهاند که حملات از کنترلکننده دامنه دستکاریشده آغاز و بر روی کنترلکننده دامنه، Cobalt Strike منتقل و اجرا شدهاست تا یک shell معکوس به سمت هاست مهاجم ایجاد شود. مهاجم با استفاده از این shell دسترسی راه دور به کنترلکننده دامنه بهدست میآورد و آن را برای توزیع یک کپی از PsExec و یک فایل batch به رایانههای شبکه پیکربندی میکند. PsExec فایل اجرایی اصلی بدافزار است. در ادامه مهاجم از طریق فایل PsExec فایل batch را بصورت کنترل از راه دور اجرا میکند.
فایل batch تعداد ۴۴ فرایند پردازشی مختلف، ۱۹۹ سرویس ویندوز و ۱۹۴ سرویس دیگر را متوقف میکند. پس از متوقف شدن سرویسهایی که مانع اجرای بدافزار یا مانع رمزگذاری روی فایلها میشوند، فایلی با نام winnit.exe اجرا میشود. این فایل یک فایل DLL تصادفی را استخراج و آن را توسط rundll۳۲.exe اجرا میکند. فایل DLL مولفه اصلی باجافزار است که رایانه قربانی را رمزگذاری میکند. پس از رمزگذاری، پسوند aes۱۲۸ctr به فایلها اضافه میشود. مانند تمامی باجافزارها، یک فایل txt با محتوای نحوه پرداخت باج نیز ایجاد میشود.
نشانههای آلودگی (IoC):
IP سرور C&C:
• ۸۹,۱۰۵.۱۹۸.۲۸
هش فایلها:
• Batch file - ۳۷b۴۴۹۶e۶۵۰b۳۹۹۴۳۱۲c۸۳۸۴۳۵۰۱۳۵۶۰b۳ca۸۵۷۱
• PE EXE - ۴۷۸dc۵a۵f۹۳۴c۶۲a۹۲۴۶f۷d۱fc۲۷۵۸۶۸f۵۶۸bc۰۷
• DLL - ۲f۴۰abbb۴f۷۸e۷۷۷۴۵f۰e۶۵۷a۱۹۹۰۳fc۹۵۳cc۶۶۴
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، باجافزار MegaCortex که به تازگی شناسایی شدهاست، شبکههای سازمانی را هدف گرفتهاست. این باجافزار پس از نفوذ به یک شبکه با استفاده از کنترلکنندههای دامنه ویندوز در کل شبکه توزیع میشود.
در شبکههایی که با باجافزار MegaCortex آلوده شدهاند تروجانهای Emotet یا Qakbot مشاهده شدهاست. این موضوع نشان میدهد که مشابه روند حملات باجافزار Ryuk، مهاجمان از تروجانها برای دسترسی به سیستمهای آلوده بهره میبرند.
قربانیان اعلام کردهاند که حملات از کنترلکننده دامنه دستکاریشده آغاز و بر روی کنترلکننده دامنه، Cobalt Strike منتقل و اجرا شدهاست تا یک shell معکوس به سمت هاست مهاجم ایجاد شود. مهاجم با استفاده از این shell دسترسی راه دور به کنترلکننده دامنه بهدست میآورد و آن را برای توزیع یک کپی از PsExec و یک فایل batch به رایانههای شبکه پیکربندی میکند. PsExec فایل اجرایی اصلی بدافزار است. در ادامه مهاجم از طریق فایل PsExec فایل batch را بصورت کنترل از راه دور اجرا میکند.
فایل batch تعداد ۴۴ فرایند پردازشی مختلف، ۱۹۹ سرویس ویندوز و ۱۹۴ سرویس دیگر را متوقف میکند. پس از متوقف شدن سرویسهایی که مانع اجرای بدافزار یا مانع رمزگذاری روی فایلها میشوند، فایلی با نام winnit.exe اجرا میشود. این فایل یک فایل DLL تصادفی را استخراج و آن را توسط rundll۳۲.exe اجرا میکند. فایل DLL مولفه اصلی باجافزار است که رایانه قربانی را رمزگذاری میکند. پس از رمزگذاری، پسوند aes۱۲۸ctr به فایلها اضافه میشود. مانند تمامی باجافزارها، یک فایل txt با محتوای نحوه پرداخت باج نیز ایجاد میشود.
نشانههای آلودگی (IoC):
IP سرور C&C:
• ۸۹,۱۰۵.۱۹۸.۲۸
هش فایلها:
• Batch file - ۳۷b۴۴۹۶e۶۵۰b۳۹۹۴۳۱۲c۸۳۸۴۳۵۰۱۳۵۶۰b۳ca۸۵۷۱
• PE EXE - ۴۷۸dc۵a۵f۹۳۴c۶۲a۹۲۴۶f۷d۱fc۲۷۵۸۶۸f۵۶۸bc۰۷
• DLL - ۲f۴۰abbb۴f۷۸e۷۷۷۴۵f۰e۶۵۷a۱۹۹۰۳fc۹۵۳cc۶۶۴
کد مطلب : 15326
https://aftana.ir/vdcg3w9q.ak9nx4prra.htmlaftana.ir/vdcg3w9q.ak9nx4prra.html
آخرین عناوین
پربيننده ترين
۱
۲
۳
۴
۵