هکرها در عملیات سایبری گستردهای به نام Pied Piper با استفاده از چند تروجان ازجمله FlawdAmmyy به میکروفون و وبکم قربانیان دسترسی یافتند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، پژوهشگران Morphisec Labs عملیات سایبری گستردهای را با نام Pied Piper مشاهده کردند که چندین تروجان با دسترسی راه دور (RAT) را از طریق فیشینگ منتقل میکند.
در یکی از حملات از تروجان FlawedAmmyy استفاده شدهاست که این تروجان دسترسی کامل برای مهاجم فراهم میکند تا فایلها و اطلاعات احراز هویت را به سرقت ببرد و به میکروفون و وبکم سیستم دسترسی یابد.
بررسیهای دقیقتر پژوهشگران نشان میدهد که تروجان دیگری نیز در برخی نمونهها مشاهده شدهاست. بدنه این تروجان (Remote Manipulator (RMS است. در تمامی حملات از ایمیلهای فیشینگ برای فریب کاربر استفاده شدهاست که در ادامه کاربر وادار میشود تا اجرای کد ماکرو را فعال کند. در ایمیلها از فایلهای pub. و doc. استفاده شدهاست.
پس از اجرای کد ماکرو، یک فعالیت زمانبندی شده نصب میشود که بلافاصله با مرحله بعدی حمله اجرا میشود. فعالیت زمانبندی یک دستور PowerShell را اجرا میکند. پس از اجرای بدافزار، اطلاعات جمعآوری شده ازجمله نام رایانه، دامنه، سطوح دسترسی و غیره به سرور C&C ارسال میشوند.
بر اساس بررسی Metadataها، پژوهشگران اعلام کردهاند که عملیات Pied Piper احتمالا از طرف گروه TA505 انجام شدهباشد.
نشانههای آلودگی (IoC):
• ۵۷۴۰a۴۶۵eea۳b۴c۰d۷۵۴bb۲۲۹۴۳b۰d۹۳ce۹۵۸۵۷d - .pub file
• bb۸۵۵۲۶faa۸de۴۹۴۱d۸d۸۸۴fc۶۸۱۸c۸۹۸c۱۰۰۴ff - .pub file
• d۲a۲۵۵۷f۳۵a۳۴a۲۱d۸d۷adf۴۳eec۸da۲۳۹۲۵۹۵ec - .doc file
• ۲۱۳۴۷afa۷af۳b۶c۹cd۰۶۴۶ba۴۶۴۴c۵b۶۵ecaeb۶c - .doc file
• ۴a۰۲۶۶۵۱e۰۴۸۱۷۴۲۰۲۵۰۱bc۳۳cdb۷d۰۱۳۵۱۷۳۴۸d - .doc file
• ۱۲e۹۴fdb۶۱f۸۶۶e۰f۴۰۲c۴۸f۷۱a۲۴d۱۹bf۲e۸c۳۲ - .doc file
• ۰۷۸E۴FAC۰DADE۶F۷C۸FBA۱۱C۵BE۲۷CBF۰۱۵E۴E۳۱ - WpnUserService
• ۰۸BF۶E۰۶۸۱۱C۷B۴۳AF۲۸۱C۶C۴۸E۰A۸۱۹۷A۲۴A۲۵۲ – WpnUserService
• B۷۹D۳D۲۴۱۰D۷۵DFB۰E۵۸DE۷C۸EF۹C۳۸FCE۳۳DDF۳ - MSI
• ۷BBDF۷۲CFED۰۶۳F۳AB۵D۹EF۳۴۸۰FE۳E۵۴۶۵A۷۰۰۶ - Downloader (MYEXE)
• AA۶۹۹F۰۸DCD۳۸A۴۵C۷۵۰۹۳۸۳B۰۷A۲۹۸B۲D۲F۶C۷۴ - Downloader (MYEXE)
• ۸B۱۰CEBD۳C۲۴E۸۰D۶۲DBB۰۶F۹۸۹AF۴۳CF۷۳۲۴۴۸C - Downloader (MYEXE)
• ۴C۴F۲BBE۳F۴۹B۱۷B۰۴۴۴۰C۶۰F۳۱۲۹۳CB۱۴۳۱A۸۶۷ - Ammy RAT (Wsus)
• ۹B۵۴BBB۰۷۳۰FD۵۰۷۸۹E۱۳F۱۹۶۸۰۴۳۰۷۴EF۳۰۸۳۶C - Ammy RAT (Wsus)
• ۶۵۱B۸D۱۳۷۷۹۱۰E۴۷۲۸E۸۵DCD۲۳۱E۲۶۹۳۱۳AB۹E۱D - RAT
دامنهها:
• hxxp://office۳۶۵homedep[.]com/localdata
• hxxp://office۳۶۵id[.]com/WpnUserService
• hxxp://۲۱۳,۱۸۳.۶۳[.]۱۲۲/date۱.dat
• hxxp://۱۸۵,۶۸.۹۳[.]۱۱۷/date۱.dat
• hxxp://idoffice۳۶۵[.]com/camsvc
آیپی:
• ۱۸۵,۹۹.۱۳۳[.]۸۳
• ۸۹,۱۴۴.۲۵[.]۱۶