مایکروسافت حملات سایبری جدیدی را شناسایی کرده است که برای انتقال تروجان با دسترسی از راه دور FlawedAmmyy RAT به عنوان payload نهایی، از یک زنجیره آلودهسازی پیشرفته بهره میبرد. حملات با ارسال یک ایمیل حاوی پیوست اکسل (XLS) آغاز میشوند.
آیتیمن- به گزارش مرکز افتا،
به نقل از وبسایت GBHackers، حملات قبلی که بدافزار FlawedAmmyy را منتقل میکردند توسط عوامل تهدید TA۵۰۵ انجام شده بودند. در این حملات با اجرای موفق درپشتی، مهاجم سیستم هدف را تحت کنترل خود در میآورد و میتواند فایلهای قربانی را مدیریت کند و از صفحه اسکرینشات بگیرد.
اما در حملات اخیر، از فایلهای XLS مخرب در ایمیلها استفاده شده است. این فایلها پس از اجرا به طور خودکار یک ماکرو را اجرا میکنند و سپس این ماکرو فایل msiexec.exe را اجرا میکند. فایل msiexec.exe برای دانلود و نصب بستههای MSI و MSP در ویندوز به کار میرود. این فایل سپس یک فایل اجرایی دیگر با نام wsus.exe را رمزگشایی و در حافظه اجرا میکند. این زنجیره در نهایت منجر به رمزگشایی و اجرای payload نهایی در حافظه میشود.
به گفته تیم امنیتی مایکروسافت، payload نهایی که مستقیما به حافظه منتقل میشود همان بدافزار FlawedAmmyy است. از قابلیتهای FlawedAmmyy میتوان به موارد زیر اشاره کرد:
• کنترل از راه دور دسکتاپ،
• مدیریت فایلهای سیستم،
• پشتیبانی از پراکسی،
• گفتگوی صوتی.
در اوایل سال جاری نیز گروه TA۵۰۵ تروجان FlawedAmmyy را از طریق اسناد اکسل مخرب و حاوی کد ماکرو منتشر کرده بود که به سختی با کنترلهای امنیتی استاندارد قابل شناسایی بود.
نشانههای آلودگی (IoC):
هشها:
♦۰e۹۱e۶e۱۷f۸c۸e۲f۱ae۲۹e۱۳f۱۱۶c۸۶۱۱cb۷۶۷۹۶۰۷۶۹۵eed۳۵۵۰۲۵۲۹۵fb۱۹۹۹a
♦۱۹d۸۹۹۳c۷۴۲fc۱a۷c۶۵۱ab۳dba۴d۸c۷f۵e۱۴۲a۸۴۲۱e۲۲dd۰c۲۰c۲db۲d۵dccffd
♦cb۱۱۴۱۲۳ca۱c۳۳۰۷۱cf۶۲۴۱c۳e۵۰۵۴a۳۹b۶f۷۳۵d۳۷۴۴۹۱da۰b۳۳dfdaa۱f۷ea۲۲
♦ c۲c۶f۵۴۸fe۶۸۳۲c۸۴c۸ab۴۵۲۸۸۳۶۳b۷۸۹۵۹d۶dda۲dd۹۲۶۱۰۰c۵۸۸۵de۱۴c۴۷۰۸b
♦ ۶۸۶۰de۴۶fdea۳۹۳bd۴۸ca۰۰۰ecff۴۰۴۷۹۲۰a۵۶۷۲۸b۷۹۴۵f۹۵a۶ca۰۸۰۱c۲۷۸۰۹۷