ردپای هکرهای گروه TA505
عملیات اسپمی مخرب با بدافزار‌های Gelup و FlowerPippi
کد مطلب: 15528
تاریخ انتشار : يکشنبه ۱۶ تير ۱۳۹۸ ساعت ۱۶:۵۴
 
عملیات‌های اسپم مخربی شناسایی شده‌اند که در آنها از دانلودکننده Gelup یا AndroMut و درِ پشتی FlowerPippi استفاده شده‌است.
عملیات اسپمی مخرب با بدافزار‌های Gelup و FlowerPippi
 
 
Share/Save/Bookmark
عملیات‌های اسپم مخربی شناسایی شده‌اند که در آنها از دانلودکننده Gelup یا AndroMut و درِ پشتی FlowerPippi استفاده شده‌است.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، پژوهشگران Trend Micro به تازگی عملیات‌های اسپم مخربی را مشاهده کرده‌اند که در حال توزیع بدافزارهای جدیدی هستند. در این حملات از دانلودکننده Gelup یا AndroMut و در پشتی FlowerPippi استفاده شده‌است.

این حملات که به گروه TA505 نسبت داده شده‌است از طریق ایمیل‌های اسپم حاوی اسناد DOC و XLS انجام می‌شوند. بدافزار پس از باز شدن اسناد مخرب، توسط ماکروهای VBA منتقل می‌شود. در برخی از نمونه‌ها از URLهای مخرب که به تروجان FlawedAmmyy RAT منتهی می‌شوند، استفاده شده‌است.

ویژگی قابل توجه بدافزار Gelup استفاده از مبهم‌سازی و یک تکنیک دور زدن UAC (کنترل حساب کاربری) است. توسعه‌دهندگان Gelup چندین تکنیک مختلف را به منظور جلوگیری از تحلیل و شناسایی فرایند آلودگی طراحی کرده‌اند تا بدافزار تا حد امکان مخفی بماند. برای کسب پایداری در سیستم هدف، بدافزار Gelup یک فرایند را زمان‌بندی می‌کند که این فرایند یک فایل LNK را در سطل بازیافت (Recycle Bin) سیستم قرار می‌دهد.

روش دیگر کسب پایداری اضافه کردن یک ورودی رجیستری است. پژوهشگران Proofpoint بدافزار دانلودکننده را AndroMut نام‌گذاری کرده‌اند و چندین هم‌پوشانی بین این بدافزار و بدافزارهای Andromeda و QtLoader کشف کرده‌اند.

بدافزار دوم در این حملات در پشتی FlowerPippi است که دارای قابلیت انتقال payloadهای مخرب دیگر در سیستم هدف است. Payloadها در قالب فایل‌های اجرایی یا DLL هستند. این درپشتی می‌‎تواند اطلاعات رایانه قربانی را استخراج کند و دستورهای دلخواه دریافت‌شده از سرور فرمان و کنترل را اجرا کند.

حملات دیگری نیز توسط گروه TA505 در هفته‌های گذشته مشاهده شد که تروجان FlawedAmmyy از طریق فایل‌های اکسل مخرب در آنها انتشار یافته‌است. این حملات توسط پژوهشگران مایکروسافت شناسایی شدند و در آنها از آسیب‌پذیری CVE-۲۰۱۷-۱۱۸۸۲ سوء‌استفاده شده‌است.
مرجع : مرکز مدیریت راهبردی افتا