آخرین اخبار
به‌تازگی بدافزار جدیدی با نام BlackSquid شناسایی شده است که به منظور انتقال کاوش‌گر رمزارز، از اکسپلویت‌های مختلفی بهره می‌برد. هدف اصلی این بدافزار نصب اسکریپت کاوش رمزارز XMRig روی وب سرورها، درایوهای شبکه و دستگاه‌های ذخیره‌سازی قابل حمل است.
به گزارش معاونت بررسی مرکز افتا، به نقل از پایگاه اینترنتی ZDNet، بدافزار BlackSquid از اکسپلویت‌های خطرناکی از جمله EternalBlue، DoublePulsar، CVE-2014-6287 (اکسپلویت مربوط به باگ Rejetto HTTP File Server) و  CVE-2017-12615 (نقص امنیتی در Apache Tomcat) و CVE-2017-8464 (یک نقص Shell در Microsoft Server) و سه اکسپلویت مرتبط با ThinkPHP بهره می‌برد.
علاوه بر این اکسپلویت‌ها، BlackSquid دارای قابلیت‌های انجام حمله جستجو فراگیر (Brute-force)، ضد مجازی‌سازی، جلوگیری از دیباگ، تکنیک‌های ضد سندباکس و همچنین انتشار بصورت کرم است. فرایند آلودگی توسط این بدافزار از یکی از این سه نقطه آغاز می‌شود، یک صفحه وب آلوده، اکسپلویت‌ها یا درایوهای شبکه قابل حمل. به منظور جلوگیری از شناسایی و تحلیل، بدافزار بررسی‌های مختلفی مانند وجود نام‌کاربری، درایور یا DLLهایی که بیانگر سندباکس یا مجازی‌سازی هستند را انجام می‌دهد.
بدافزار پس از نفوذ به یک وب سرور، با استفاده از یک نقص اجرای کد از راه دور سطح دسترسی یک کاربر سیستمی محلی را بدست می‌آورد و سپس payloadهای نهایی را اجرا و در ادامه بدافزار خود را در شبکه منتشر می‌کند. payloadهای بدافزار BlackSquid دو مولفه کاوش رمزارز XMRig هستند که یکی از آن‌ها منبع آن است و دیگری در سرور آلوده دانلود می‌شود. در صورتی که یک کارت گرافیکی Nvidia و AMD در سیستم هدف یافت شود، مولفه دیگری منتقل می‌شود تا رمزارز بیشتری توسط پردازنده گرافیکی استخراج شود.
نشانه‌های آلودگی (IoC):
هش‌ها:
•    14f8dc79113b6a2d3f378d2046dbc4a9a7c605ce24cfa5ef9f4e8f5406cfd84d     
•    3596e8fa5e19e860a2029fa4ab7a4f95fadf073feb88e4f82b19a093e1e2737c     
•    4bc1a84ddbbb360e3026e8ec1d0e1eff02a100cf01888e7e2a2ac6a105c71450     
•    aa259b168ec448349e91a9d560569bdb6fabd811d78888c6080065a549f60cb0     
•    4abb241a957061d150d757955aa0e7159253b17a1248eaac13490a811cdabf90     
•    515caf6b7ff41322099f4c3e3d4846a65768b7f4b3166274afc47cb301eeda98     
•    8dbd331784e620bb0ca33b8515ca9df9a7a049057b39a2da5242323943d730b4
•    8974da4d200f3ca11aa0bc800f23d7a2be9a3e4e6311221888740c812d489116
URLها:
•    hxxp://m9f[.]oss-cn-beijing[.]aliyuncs[.]com/A[.]exe
•    hxxp[:]//m9f[.]oss-cn-beijing[.]aliyuncs[.]com/Black[.]hta


منبع:
 

 
امتیاز دهی
 
 

نسخه قابل چاپ
  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.