آخرین اخبار
تیم Palo Alto Networks Unit 42، اخیرا نمونه‌های جدیدی از یک بدافزار لینوکسی کاوشگر ارز دیجیتال را دریافت و بررسی کرده است که توسط گروه Rocke استفاده شده‌اند.
به گزارش معاونت بررسی مرکز افتا، به نقل از Palo Alto Networks، نمونه‌های تحلیل شده دارای کدی هستند که 5 ابزار راه‌حل امنیتی ابری و محصول نظارتی را در سیستم‌های لینوکسی آلوده حذف می‌کند. در واقع در حملات دسترسی سطح مدیریت حاصل و سپس این ابزارها حذف شده‌اند.
هدف اصلی این بدافزار استخراج ارز دیجیتالی مونرو توسط سیستم‌های لینوکسی است. برای انتقال بدافزار به سیستم قربانی، گروه Rocke از آسیب‌پذیری‌های Apache Struts 2، Oracle WebLogic و Adobe ColdFusion بهره‌برداری می‌کند. برای مثال، سوء استفاده آسیب‌پذیری Oracle WebLogic با شناسه CVE-2017-10271، منجر به دانلود در پشتی 0720.bin و باز کردن یک shell شده است.
بدافزار پس از برقراری ارتباط با سرور C&C، یک اسکریپت shell با نام a7 به سیستم قربانی منتقل می‌کند که برخی رفتارهای آن بصورت موارد زیر هستند:
•    بدست آوردن پایداری در سیستم از طریق cronjobها
•    حذف سایر فرایندهای پردازشی کاوش ارز دیجیتال
•    افزودن قوانین iptables برای جلوگیری از سایر بدافزارهای کاوش ارز دیجیتال
•    حذف محصولات امنیتی ابری مبتنی بر عامل
•    دانلود و اجرای کاوشگر UPX از blog[.]sydwzl[.]cn
•    مخفی کردن فرایند پردازشی کاوشگر از دستور ps لینوکس
•    تنظیم زمان و تاریخ فایل مخرب
مورد هدف قرار دادن زیرساخت‌های ابری عمومی، یکی از اهداف اصلی گروه‌های مجرم سایبری است. آنها در حال توسعه روش‌های جدید برای دور زدن رویکردهای امنیتی محصولات امنیتی ابری هستند. بدافزار گروه Rocke یکی از نمونه‌های ابزارهای مخرب است که راه‌حل‌های امنیتی ابری مبتنی بر عامل، برای جلوگیری از فعالیت آنها کافی نیستند.

نشانه‌های آلودگی (IoC):
هش‌ها:
•    2e3e8f980fde5757248e1c72ab8857eb2aea9ef4a37517261a1b013e3dc9e3c4
•    2f603054dda69c2ac1e49c916ea4a4b1ae6961ec3c01d65f16929d445a564355
•    28ea5d2e44538cd7fec11a28cce7c86fe208b2e8f53d57bf8a18957adb90c5ab
•    232c771f38da79d5b8f7c6c57ddb4f7a8d6d44f8bca41be4407ed4923096c700
•    893bdc6b7d2d7134b1ceb5445dbb97ad9c731a427490d59f6858a835525d8417
•    9300f1aa56a73887d05672bfb9862bd786230142c949732c208e5e019d14f83a
•    27611b92d31289d023d962d3eb7c6abd194dbdbbe4e6977c42d94883553841e8
•    d341e3a9133e534ca35d5ccc54b8a79f93ff0c917790e7d5f73fedaa480a6b93
•    ed038e9ea922af9f0bf5e8be42b394650fa808982d5d555e6c50c715ff2cca0c
•    4b74c4d66387c70658238ac5ab392e2fe5557f98fe09eadda9259ada0d87c0f1
•    e391963f496ba056e9a9f750cbd28ca7a08ac4cfc434bee4fc57a292b11941e6
•    017dee32e287f37a82cf6e249f8a85b5c9d4f090e5452118ccacaf147e88dc66
دامنه‌های سرورهای C&C:
•    dwn[.]rundll32[.]ml
•    www[.]aybc[.]so
•    a[.]ssvs[.]space
•    sydwzl[.]cn
IPهای سرورهای C&C:
•    118.24.150[.]172
•    120.55.54[.]65
آدرس‌های بروزرسانی کد:
•    hxxps://pastebin[.]com/raw/CnPtQ2tM
•    hxxps://pastebin[.]com/raw/rjPGgXQE
•    hxxps://pastebin[.]com/raw/1NtRkBc3
•    hxxps://pastebin[.]com/raw/tRxfvbYN
•    hxxps://pastebin[.]com/raw/SSCy7mY7
•    hxxps://pastebin[.]com/raw/VVt27LeH
•    hxxps://pastebin[.]com/raw/Fj2YdETv
•    hxxps://pastebin[.]com/raw/JNPewK6r
•    hxxps://pastebin[.]com/raw/TzBeq3AM
•    hxxps://pastebin[.]com/raw/eRkrSQfE
•    hxxps://pastebin[.]com/raw/5bjpjvLP
•    hxxps://pastebin[.]com/raw/Gw7mywhC

آدرس کیف پول XMR:
•    42im1KxfTw2Sxa716eKkQAcJpS6cwqkGaHHGnnUAcdDhG2NJhqEF1nNRwjkBsYDJQtDkLCTPehfDC4zjMy5hefT81Xk2h7V

منبع:

 
امتیاز دهی
 
 

نسخه قابل چاپ
  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.