ترندمیکرو گزارش داد
شناسایی نمونه جدیدی از بدافزار MyKings
کد مطلب: 15702
تاریخ انتشار : يکشنبه ۳ شهريور ۱۳۹۸ ساعت ۰۸:۵۸
 
دانشمندان امنیت سایبری در موسسه ترندمیکرو از فعالیت بات‌نت MyKings در آسیا و اقیانوسیه خبر داده‌اند که با اکسپویت شناخته‌شده EternalBlue در ارتباط است.
شناسایی نمونه جدیدی از بدافزار MyKings
 
 
Share/Save/Bookmark
دانشمندان امنیت سایبری در موسسه ترندمیکرو از فعالیت بات‌نت MyKings در آسیا و اقیانوسیه خبر داده‌اند که با اکسپویت شناخته‌شده EternalBlue در ارتباط است.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، پژوهشگران Trend Micro اخیرا فعالیت‌های مخربی را کشف کرده‌اند که در حال گسترش بات‌نت است. حملات با اکسپویت شناخته‌شده EternalBlue در ارتباط هستند و در منطقه آسیا و اقیانوسیه گزارش شده‌اند.

بات‌نت MyKings برای نخستین‌بار در سال ۲۰۱۷ شناسایی شد و تا اوایل سال ۲۰۱۸ بیش از ۵۰۰ هزار سیستم را آلوده کرد و معادل ۲,۳ میلیون دلار از طریق کاوش رمزارز به‌دست آورد.

شناسایی فعالیت‌های جدید بدافزار MyKings از آنجایی آغاز شد که در سیستم‌های مورد بررسی Trend Micro، ارتباطاتی با آدرس‌های زیر مشاهده شد:

• hxxp://js[.]mykings.top:۲۸۰/v[.]sct
• hxxp://js[.]mykings.top:۲۸۰/helloworld[.]msi

وجود عبارت mykings در URLها نشان‌گر ارتباط آن‌ها با سرورهای فرمان و کنترل (C&C) بدافزار MyKings است.

بدافزار جدید نسبت به نمونه مشاهده شده در سال ۲۰۱۷ در چندین بخش تکامل یافته‌است. نمونه جدید کشف‌شده برخلاف نمونه قدیمی، علاوه‌بر استفاده از WMI برای کسب پایداری در سیستم از رجیستری، task scheduler و یک بوت‌کیت نیز استفاده می‌کند. بوت‌کیت از نام فایل lsmosee.exe یا s.rar بهره می‌برد.

بدافزار یک فرایند پردازشی را در سیستم قربانی تزریق کرده که این فرایند یک shellcode را از سرور C&C دریافت می‌کند. فایل shellcode در نهایت آدرسی را به بدافزار معرفی می‌کند که منجر به بارگیری فایل upsupx.exe می‌شود. این فایل با نام conhost.exe ذخیره و اجرا می‌شود. فایل upsupx یا conhost دانلودکننده اصلی بدافزار است که لیست دیگری از سرورهای C&C و فایل kill.txt را دریافت و حاوی فرایندهای پردازشی است که بدافزار آن‌ها را متوقف می‌کند.

بدافزار درنهایت از قدرت پردازشی سیستم قربانی به منظور کاوش رمزارز سوء‌استفاده می‌کند. طبق گزارش Trend Micro، نفوذ اولیه و گسترش بدافزار از طریق اکسپلویت EternalBlue و WMI در ویندوز است.
مرجع : مرکز مدیریت راهبردی افتا