انتشار باج‌افزار Buran توسط اکسپلویت کیت RIG
کد مطلب: 15448
تاریخ انتشار : سه شنبه ۲۱ خرداد ۱۳۹۸ ساعت ۱۶:۵۶
 
اخیرا در یک عملیات مخرب قربانیان به صفحه آلوده به اکسپلویت کیت RIG منتقل شده‌اند که باج‌افزار Buran را به‌عنوان payload نهایی در سیستم قربانی نصب می‌کند.
انتشار باج‌افزار Buran توسط اکسپلویت کیت RIG
 
 
Share/Save/Bookmark
اخیرا در یک عملیات مخرب، قربانیان به صفحه آلوده به اکسپلویت کیت RIG منتقل شده‌اند که باج‌افزار Buran را به‌عنوان payload نهایی در سیستم قربانی نصب می‌کند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، اکسپلویت کیت RIG در حال آلوده‌کردن رایانه قربانیان توسط یک باج‌افزار جدید با نام Buran است. باج‌افزار Buran نوعی از باج‌افزار Vega است که قبلا در یک عملیات انتشار آگهی مخرب توزیع شده‌بود.

صفحه آلوده به اکسپلویت کیت RIG تلاش می‌کند تا از آسیب‌پذیری‌های مرورگر اینترنت اکسپلورر بهره‌برداری کند. در صورت موفقیت‌آمیز بودن اکسپلویت، مجموعه‌ای از دستورات اجرا می‌شوند که باج‌افزار را در نهایت به رایانه هدف انتقال می‌دهد و آن را اجرا می‌کند.

این باج‌افزار نوع دیگری از باج‌افزار Vega است که پیش‌تر توسط پژوهشگران ESET مشاهده شده است. فرایند رمزگذاری توسط باج‌افزار Buran در اکثر مراحل مشابه باج‌افزار Vega است.

اکسپلویت کیت RIG فایل اجرایی باج‌افزار را در سیستم قربانی منتقل و اجرا می‌کند. سپس باج‌افزار خود را در آدرس %APPDATA%\microsoft\windows\ctfmon.exe کپی می‌کند و از این آدرس اجرا می‌شود. پس از اجرای فایل باج‌افزار، فرایند رمزگذاری فایل‌های قربانی آغاز می‌شود. در حین فرایند رمزگذاری، باج‌افزار کلیدهای رمزگذاری خصوصی و عمومی را در کلید رجیستری HKEY_CURRENT_USER\Software\Buran ذخیره‌می‌کند.

در صورت کشف راهکاری برای رمزگشایی فایل‌ها توسط پژوهشگران، نگهداری این کلید رجیستری می‌تواند مفید باشد.
مرجع : مرکز مدیریت راهبردی افتا