آخرین اخبار
پژوهشگران Morphisec Labs عملیات سایبری گسترده‌ای با نام Pied Piper را مشاهده کردند که چندین تروجان با دسترسی راه دور (RAT) را از طریق فیشینگ منتقل می‌کند.
به گزارش معاونت بررسی مرکز افتا، به نقل از Morphisec، در یکی از حملات از تروجان FlawedAmmyy استفاده شده است که این تروجان دسترسی کامل برای مهاجم فراهم می‌کند تا فایل‌ها و اطلاعات احرازهویت را به سرقت ببرد و به میکروفون و وب‌کم سیستم دسترسی یابد.
بررسی‌های دقیق‌تر پژوهشگران نشان می‌دهد که تروجان دیگری نیز در برخی نمونه‌ها مشاهده شده است. بدنه این تروجان (Remote Manipulator (RMS است. در تمامی حملات از ایمیل‌های فیشینگ برای فریب کاربر استفاده شده است که در ادامه کاربر وادار می‌شود تا اجرای کد ماکرو را فعال کند. در ایمیل‌ها از فایل‌های (pub(Microsoft Publisher. و doc. استفاده شده است.
پس از اجرای کد ماکرو، یک فعالیت زمانبندی شده نصب می‌شود که بلافاصله با مرحله بعدی حمله اجرا می‌شود. فعالیت زمانبندی یک دستور PowerShell را اجرا می‌کند. پس از اجرای بدافزار، اطلاعات جمع‌آوری شده از جمله نام رایانه، دامنه، سطوح دسترسی و غیره به سرور C&C ارسال می‌شوند.
بر اساس بررسی Metadataها، پژوهشگران اعلام کرده‌اند که عملیات Pied Piper احتمالا از طرف گروه TA505 انجام شده باشد.
نشانه‌های آلودگی (IoC):
•    5740a465eea3b4c0d754bb22943b0d93ce95857d - .pub file
•    bb85526faa8de4941d8d884fc6818c898c1004ff - .pub file
•    d2a2557f35a34a21d8d7adf43eec8da2392595ec - .doc file
•    21347afa7af3b6c9cd0646ba4644c5b65ecaeb6c - .doc file
•    4a026651e048174202501bc33cdb7d013517348d - .doc file
•    12e94fdb61f866e0f402c48f71a24d19bf2e8c32 - .doc file
•    078E4FAC0DADE6F7C8FBA11C5BE27CBF015E4E31 - WpnUserService
•    08BF6E06811C7B43AF281C6C48E0A8197A24A252 – WpnUserService
•    B79D3D2410D75DFB0E58DE7C8EF9C38FCE33DDF3 - MSI
•    7BBDF72CFED063F3AB5D9EF3480FE3E5465A7006 - Downloader (MYEXE)
•    AA699F08DCD38A45C7509383B07A298B2D2F6C74 - Downloader (MYEXE)
•    8B10CEBD3C24E80D62DBB06F989AF43CF732448C - Downloader (MYEXE)
•    4C4F2BBE3F49B17B04440C60F31293CB1431A867 - Ammy RAT (Wsus)
•    9B54BBB0730FD50789E13F1968043074EF30836C - Ammy RAT (Wsus)
•    651B8D1377910E4728E85DCD231E269313AB9E1D - RAT
دامنه‌ها:
•    hxxp://office365homedep[.]com/localdata
•    hxxp://office365id[.]com/WpnUserService
•    hxxp://213.183.63[.]122/date1.dat
•    hxxp://185.68.93[.]117/date1.dat
•    hxxp://idoffice365[.]com/camsvc
آی‌پی:
•    185.99.133[.]83
•    89.144.25[.]16
منبع:

 
امتیاز دهی
 
 

نسخه قابل چاپ
  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.