آلودگی توسط FlawdAmmyy در عملیات Pied Piper

آلودگی توسط FlawdAmmyy در عملیات Pied Piper

 

پژوهشگران Morphisec Labs عملیات سایبری گسترده‌ای با نام Pied Piper را مشاهده کردند که چندین تروجان با دسترسی راه دور (RAT) را از طریق فیشینگ منتقل می‌کند.
به گزارش معاونت بررسی مرکز افتا، به نقل از Morphisec، در یکی از حملات از تروجان FlawedAmmyy استفاده شده است که این تروجان دسترسی کامل برای مهاجم فراهم می‌کند تا فایل‌ها و اطلاعات احرازهویت را به سرقت ببرد و به میکروفون و وب‌کم سیستم دسترسی یابد.
بررسی‌های دقیق‌تر پژوهشگران نشان می‌دهد که تروجان دیگری نیز در برخی نمونه‌ها مشاهده شده است. بدنه این تروجان (Remote Manipulator (RMS است. در تمامی حملات از ایمیل‌های فیشینگ برای فریب کاربر استفاده شده است که در ادامه کاربر وادار می‌شود تا اجرای کد ماکرو را فعال کند. در ایمیل‌ها از فایل‌های (pub(Microsoft Publisher. و doc. استفاده شده است.
پس از اجرای کد ماکرو، یک فعالیت زمانبندی شده نصب می‌شود که بلافاصله با مرحله بعدی حمله اجرا می‌شود. فعالیت زمانبندی یک دستور PowerShell را اجرا می‌کند. پس از اجرای بدافزار، اطلاعات جمع‌آوری شده از جمله نام رایانه، دامنه، سطوح دسترسی و غیره به سرور C&C ارسال می‌شوند.
بر اساس بررسی Metadataها، پژوهشگران اعلام کرده‌اند که عملیات Pied Piper احتمالا از طرف گروه TA۵۰۵ انجام شده باشد.
نشانه‌های آلودگی (IoC):

•    ۵۷۴۰a۴۶۵eea۳b۴c۰d۷۵۴bb۲۲۹۴۳b۰d۹۳ce۹۵۸۵۷d - .pub file

•    bb۸۵۵۲۶faa۸de۴۹۴۱d۸d۸۸۴fc۶۸۱۸c۸۹۸c۱۰۰۴ff - .pub file

•    d۲a۲۵۵۷f۳۵a۳۴a۲۱d۸d۷adf۴۳eec۸da۲۳۹۲۵۹۵ec - .doc file

•    ۲۱۳۴۷afa۷af۳b۶c۹cd۰۶۴۶ba۴۶۴۴c۵b۶۵ecaeb۶c - .doc file

•    ۴a۰۲۶۶۵۱e۰۴۸۱۷۴۲۰۲۵۰۱bc۳۳cdb۷d۰۱۳۵۱۷۳۴۸d - .doc file

•    ۱۲e۹۴fdb۶۱f۸۶۶e۰f۴۰۲c۴۸f۷۱a۲۴d۱۹bf۲e۸c۳۲ - .doc file

•    ۰۷۸E۴FAC۰DADE۶F۷C۸FBA۱۱C۵BE۲۷CBF۰۱۵E۴E۳۱ - WpnUserService

•    ۰۸BF۶E۰۶۸۱۱C۷B۴۳AF۲۸۱C۶C۴۸E۰A۸۱۹۷A۲۴A۲۵۲ – WpnUserService

•    B۷۹D۳D۲۴۱۰D۷۵DFB۰E۵۸DE۷C۸EF۹C۳۸FCE۳۳DDF۳ - MSI

•    ۷BBDF۷۲CFED۰۶۳F۳AB۵D۹EF۳۴۸۰FE۳E۵۴۶۵A۷۰۰۶ - Downloader (MYEXE)

•    AA۶۹۹F۰۸DCD۳۸A۴۵C۷۵۰۹۳۸۳B۰۷A۲۹۸B۲D۲F۶C۷۴ - Downloader (MYEXE)

•    ۸B۱۰CEBD۳C۲۴E۸۰D۶۲DBB۰۶F۹۸۹AF۴۳CF۷۳۲۴۴۸C - Downloader (MYEXE)

•    ۴C۴F۲BBE۳F۴۹B۱۷B۰۴۴۴۰C۶۰F۳۱۲۹۳CB۱۴۳۱A۸۶۷ - Ammy RAT (Wsus)

•    ۹B۵۴BBB۰۷۳۰FD۵۰۷۸۹E۱۳F۱۹۶۸۰۴۳۰۷۴EF۳۰۸۳۶C - Ammy RAT (Wsus)

•    ۶۵۱B۸D۱۳۷۷۹۱۰E۴۷۲۸E۸۵DCD۲۳۱E۲۶۹۳۱۳AB۹E۱D - RAT

دامنه‌ها:

•    hxxp://office۳۶۵homedep[.]com/localdata

•    hxxp://office۳۶۵id[.]com/WpnUserService

•    hxxp://۲۱۳,۱۸۳.۶۳[.]۱۲۲/date۱.dat

•    hxxp://۱۸۵,۶۸.۹۳[.]۱۱۷/date۱.dat

•    hxxp://idoffice۳۶۵[.]com/camsvc

آی‌پی:

•    ۱۸۵,۹۹.۱۳۳[.]۸۳

•    ۸۹,۱۴۴.۲۵[.]۱۶

منبع خبر

منبع عکس

 

افزودن دیدگاه جدید

طراحی شده توسط 3DQuest.ir