هشدارهای افتایی
حملات جدیدی در سطح جهان در دو ماه گذشته گزارش شده که روی کاربران حوزه کسب و کار تمرکز دارد و با استفاده از بد‌افزار ثبت‌کننده صفحه کلید (keylogger) HawkEye انجام شده است. 
به گزارش معاونت بررسی مرکز افتا، به نقل از پایگاه اینترنتی BleepingComputer، در این عملیات از ایمیل‌های اسپم استفاده شده است که سازمان‌های بخش‌های مختلف از جمله حمل و نقل و لجستیک، سلامت، واردات و صادرات، بازاریابی، کشاورزی و غیره مورد هدف قرار گرفته‌اند.
به گفته پژوهشگران، بدافزار HawkEye به منظور سرقت اطلاعات از دستگاه‌های آلوده طراحی شده است، اما از این بدافزار می‌توان به عنوان بارگذاری‌کننده سایر بدافزارها از بات‌نت‌ها نیز بهره‌برداری کرد. هدف از انتشار این بدافزار ثبت‌کننده صفحه کلید، سرقت اطلاعات احرازهویت و داده‌های حساس کاربران است. به طور دقیق‌تر، در این عملیات از HawkEye Reborn v8.0 و HawkEye Reborn v9.0 استفاده شده که در پیوست ایمیل‌های اسپم برای کاربران ارسال شده است. پیوست ایمیل‌ها یک فایل صورت‌حساب جعلی است که زمانی که کاربر اقدام به بازکردن آن کند، فایل mshta.exe منتقل می‌شود. برای اتصال به سرور کنترل و فرمان (C&C)، این فایل از PowerShell استفاده و بدافزار در ادامه payloadهای دیگری را نیز منتقل می‌کند.
کسب پایداری در سیستم قربانی با کمک اسکریپت AutoIt انجام می‌شود. این اسکریپت در قالب یک فایل اجرایی با نام gvg.exe به ورودی‌های AutoRun در رجیستری ویندوز اضافه می‌شود. در نتیجه در هر بار راه‌اندازی مجدد سیستم، بدافزار به طور خودکار اجرا می‌شود. همچنین پژوهشگران متوجه فایلی با نام AAHEP.txt شدند که تمامی دستورالعمل‌های مرتبط با بدافزار ثبت‌کننده صفحه کلید Hawkeye در آن قرار دارد.
ثبت‌کننده صفحه کلید و سارق اطلاعات Hawkeye از سال 2013 درحال توسعه بوده و در این سال‌ها به منظور افزایش قابلیت‌های سرقت اطلاعات و نظارت بر قربانی، ویژگی‌ها و ماژول‌های جدیدی به آن افزوده شده است. فروش این بدافزار در بازار وب تاریک و فروم‌های هک انجام می‌شود. آخرین نسخه این بدافزار، HawkEye Reborn v9 است که می‌تواند اطلاعات را از برنامه‌های مختلف دریافت کند و سپس از طریق پروتکل‌هایی مانند FTP، HTTP و SMTP آن‌ها را برای اپراتورهای خود ارسال کند.

نشانه‌های آلودگی (IoC):
IP Hawkeye v8:
•    37.49.224.222
IP Hawkeye Reborn v9:
•    178.32.87.241
•    178.32.87.243
•    103.235.105.111
سرورهای C&C:
•    https://s3.eu-central-1.amazonaws.com/1qwwq/out-221289876.hta
هش فایل MT103_Swift Copy_TT20180226 pdf.png.zip:
•    b9d347c13f30cedf836bf8345a6090685b842a60bf05c39ca2c0cfec943ad80f
هش فایل اجرایی C:\Users\Public\gob.exe:
•    286d9ed9b439a87740da9736b90fb4d9a7bcc47f725a478928945c4ee2452b1e
هش فایل اجرایی C:\Users\admin\AppData\Local\Temp\08857658\gvg.exe:
•    237d1bca6e056df5bb16a1216a434634109478f882d3b1d58344c801d184f95d
هش‌های HawkEye Reborn:
•    73C8D4A2AA867523A0F68F376C572E9BDAEFBCCA452D8B2983DA696DCAD3A1D5
•    0860A60B72675E49EC83B2148D4072AF8F01AC60C86F5CF9F799EF27367E5CC2
•    A9F6F7CDCB783A835AB608C100BF06F439C8723F3EE7B80D6601F166D37DFA55
•    5F75C079B6774B56F88A6940261296E8D3239C77E2C434B4A3CFD3B062B36DC8
•    C383B9822845D907E36AFAC43C783709D77EEB5296BEE55E4FB4EA4AFC382E89

منابع:

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.