یک گروه APT در منطقه خاورمیانه حملاتی با نام Big Bang انجام میدهد.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، طی چند هفته گذشته، تیم امنیتی Check Point یک گروه جاسوسی APT را کشف کردهاست که حملاتی را علیه نهادهایی در سراسر خاورمیانه انجام دادهاست.
حملات با ارسال ایمیلهای فیشینگ به اهداف انجاممیشود که ایمیلها حاوی یک فایل پیوست آرشیو self-extracting است که شامل دو فایل است: یک سند Word و یک فایل اجرایی مخرب. سند Word قربانی را منحرف میکند تا بدافزار در پسزمینه سیستم نصب شود.
این بدافزار حاوی ماژولهای مختلفی از قبیل موارد زیر است:
• از سیستم قربانی، اسکرینشات تهیه میکند و آن را به سرور C&C ارسال میکند.
• نام و شناسههای فرایندهای پردازشی در حال اجرا را در فایلی با نام sat.txt ذخیره و آنرا به سرور ارسال میکند.
• لیستی از فایلهای doc ،odt ،xls ،ppt ،pdf و ... قربانی را ارسال میکند.
• یک فایل با پسوند txt را از یک آدرس اینترنتی دانلود میکند و پس از تغییر پسوند آن به exe، آن را اجرا میکند.
• جزییات سیستم را بهصورت لاگ به سرور ارسال میکند.
• سیستم را Reboot میکند.
• یک فرایند پردازشی را بر اساس نام آن متوقف میکند.
• بدنه را از startup حذف میکند و همچنین فایل اصلی آنرا نیز پاک میکند.
• فایل اجرایی بدافزار را بهصورت خودکار پاک میکند.
• لیستی از پارتیشنهای موجود در سیستم قربانی را به سرور ارسال میکند.
هدف اصلی این حملات که BigBang نام گرفتهاست، هنوز مشخص نیست، اما واضح است که مهاجم پس از جمعآوری اطلاعات، مرحله دوم حملات را آغاز خواهدکرد.
گروه Talos در ماه ژوئن سال ۲۰۱۷، حملات دیگری از این گروه APT را کشف کرد و پس از آن تاکنون حملات وسیعی از این گروه گزارش نشدهاست، اما حمله BigBang دارای قابلیتها و زیرساختهای تهاجمی بهبود یافتهای است.
نمونههای اولیه این حملات در اواسط ماه آوریل سال جاری مشاهده شدهاست، اما به کمک خبرهای استفادهشده در اسناد میتوان دریافت که شروع حملات به مارس ۲۰۱۸ برمیگردد. بدافزار استفادهشده در این حملات، نسخه بهبود یافته از بدافزاری است که در سال گذشته مورد استفاده قرار گرفتهاست. بدافزار با زبان C++ نوشته شدهاست و بهصورت یک فایل اجرایی self-extracting بستهبندی شدهاست.
نام فایل اجرایی DriverInstallerU.exe است، اما metadata آن نشان میدهد که نام اصلی فایل Interenet Assistant.exe است. پس از اجرای این فایل، ماژولهای بدافزار پس برقرای ارتباط با سرور C&C فعال میشوند.
باید اشاره کرد که این حملات بر اساس تجربه قبلی این گروه APT در سال گذشته انجام گرفته است و قابلیتها و کاربران هدف آنها افزایش یافته است. مقاصد اصلی حملات مشخص نیست اما مرحله بعدی حملات در آینده صورت خواهدگرفت.
IOCها:
هش فایلهای مربوط به حمله:
a۲۱۰ac۶ea۰۴۰۶d۸۱fa۵۶۸۲e۸۶۹۹۷be۲۵c۷۳e۹d۱b
۹۹۴ebbe۴۴۴۱۸۳e۰d۶۷b۱۳f۹۱d۷۵b۰f۹bcfb۰۱۱db
۷۴ea۶۰b۴e۲۶۹۸۱۷۱۶۸e۱۰۷bdccc۴۲b۳a۱۱۹۳c۱e۶
۵۱۱bec۷۸۲be۴۱e۸۵a۰۱۳cbea۹۵۷۲۵d۵۸۰۷e۳c۲f۲
۹e۰۹۳a۵b۳۴c۴e۵dea۵۹e۳۷۴b۴۰۹۱۷۳۵۶۵dc۳b۰۵b
دامنههای مربوط به حمله:
lindamullins[.]info
spgbotup[.]club
namyyeatop[.]club
namybotter[.]info
sanjynono[.]website
exvsnomy[.]club
ezofiezo[.]website
hitmesanjjoy[.]pro