افتانا 16 تير 1398 ساعت 16:54 http://www.aftana.ir/fa/doc/news/15528/عملیات-اسپمی-مخرب-بدافزار-های-gelup-flowerpippi -------------------------------------------------- ردپای هکرهای گروه TA505 عنوان : عملیات اسپمی مخرب با بدافزار‌های Gelup و FlowerPippi -------------------------------------------------- عملیات‌های اسپم مخربی شناسایی شده‌اند که در آنها از دانلودکننده Gelup یا AndroMut و درِ پشتی FlowerPippi استفاده شده‌است. متن : عملیات های اسپم مخربی شناسایی شده اند که در آنها از دانلودکننده Gelup یا AndroMut و درِ پشتی FlowerPippi استفاده شده است. به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، پژوهشگران Trend Micro به تازگی عملیات های اسپم مخربی را مشاهده کرده اند که در حال توزیع بدافزارهای جدیدی هستند. در این حملات از دانلودکننده Gelup یا AndroMut و در پشتی FlowerPippi استفاده شده است. این حملات که به گروه TA505 نسبت داده شده است از طریق ایمیل های اسپم حاوی اسناد DOC و XLS انجام می شوند. بدافزار پس از باز شدن اسناد مخرب، توسط ماکروهای VBA منتقل می شود. در برخی از نمونه ها از URLهای مخرب که به تروجان FlawedAmmyy RAT منتهی می شوند، استفاده شده است. ویژگی قابل توجه بدافزار Gelup استفاده از مبهم سازی و یک تکنیک دور زدن UAC (کنترل حساب کاربری) است. توسعه دهندگان Gelup چندین تکنیک مختلف را به منظور جلوگیری از تحلیل و شناسایی فرایند آلودگی طراحی کرده اند تا بدافزار تا حد امکان مخفی بماند. برای کسب پایداری در سیستم هدف، بدافزار Gelup یک فرایند را زمان بندی می کند که این فرایند یک فایل LNK را در سطل بازیافت (Recycle Bin) سیستم قرار می دهد. روش دیگر کسب پایداری اضافه کردن یک ورودی رجیستری است. پژوهشگران Proofpoint بدافزار دانلودکننده را AndroMut نام گذاری کرده اند و چندین هم پوشانی بین این بدافزار و بدافزارهای Andromeda و QtLoader کشف کرده اند. بدافزار دوم در این حملات در پشتی FlowerPippi است که دارای قابلیت انتقال payloadهای مخرب دیگر در سیستم هدف است. Payloadها در قالب فایل های اجرایی یا DLL هستند. این درپشتی می تواند اطلاعات رایانه قربانی را استخراج کند و دستورهای دلخواه دریافت شده از سرور فرمان و کنترل را اجرا کند. حملات دیگری نیز توسط گروه TA505 در هفته های گذشته مشاهده شد که تروجان FlawedAmmyy از طریق فایل های اکسل مخرب در آنها انتشار یافته است. این حملات توسط پژوهشگران مایکروسافت شناسایی شدند و در آنها از آسیب پذیری CVE-۲۰۱۷-۱۱۸۸۲ سوء استفاده شده است.