۰
مایکروسافت هشدار داد:

بدافزار FlawedAmmyy از طریق فایل‌های اکسل آلوده در حال گسترش است

تاریخ انتشار
چهارشنبه ۵ تير ۱۳۹۸ ساعت ۱۲:۴۳
بدافزار FlawedAmmyy از طریق فایل‌های اکسل آلوده در حال گسترش است

آی‌تی‌من- به گزارش مرکز افتا، به نقل از وب‌سایت GBHackers، حملات قبلی که بدافزار FlawedAmmyy را منتقل می‌کردند توسط عوامل تهدید TA۵۰۵ انجام شده بودند. در این حملات با اجرای موفق درپشتی، مهاجم سیستم هدف را تحت کنترل خود در می‌آورد و می‌تواند فایل‌های قربانی را مدیریت کند و از صفحه اسکرین‌شات بگیرد.

اما در حملات اخیر، از فایل‌های XLS مخرب در ایمیل‌ها استفاده شده است. این فایل‌ها پس از اجرا به طور خودکار یک ماکرو را اجرا می‌کنند و سپس این ماکرو فایل msiexec.exe را اجرا می‌کند. فایل msiexec.exe برای دانلود و نصب بسته‌های MSI و MSP در ویندوز به کار می‌رود. این فایل سپس یک فایل اجرایی دیگر با نام wsus.exe را رمزگشایی و در حافظه اجرا می‌کند. این زنجیره در نهایت منجر به رمزگشایی و اجرای payload نهایی در حافظه می‌شود.

به گفته تیم امنیتی مایکروسافت، payload نهایی که مستقیما به حافظه منتقل می‌شود همان بدافزار FlawedAmmyy است. از قابلیت‌های FlawedAmmyy می‌توان به موارد زیر اشاره کرد:
•    کنترل از راه دور دسکتاپ،
•    مدیریت فایل‌های سیستم،
•    پشتیبانی از پراکسی،
•    گفتگوی صوتی.

در اوایل سال جاری نیز گروه TA۵۰۵ تروجان FlawedAmmyy را از طریق اسناد اکسل مخرب و حاوی کد ماکرو منتشر کرده بود که به سختی با کنترل‌های امنیتی استاندارد قابل شناسایی بود.

نشانه‌های آلودگی (IoC):

هش‌ها:
 
  ♦۰e۹۱e۶e۱۷f۸c۸e۲f۱ae۲۹e۱۳f۱۱۶c۸۶۱۱cb۷۶۷۹۶۰۷۶۹۵eed۳۵۵۰۲۵۲۹۵fb۱۹۹۹a
    ♦۱۹d۸۹۹۳c۷۴۲fc۱a۷c۶۵۱ab۳dba۴d۸c۷f۵e۱۴۲a۸۴۲۱e۲۲dd۰c۲۰c۲db۲d۵dccffd
    ♦cb۱۱۴۱۲۳ca۱c۳۳۰۷۱cf۶۲۴۱c۳e۵۰۵۴a۳۹b۶f۷۳۵d۳۷۴۴۹۱da۰b۳۳dfdaa۱f۷ea۲۲
    ♦ c۲c۶f۵۴۸fe۶۸۳۲c۸۴c۸ab۴۵۲۸۸۳۶۳b۷۸۹۵۹d۶dda۲dd۹۲۶۱۰۰c۵۸۸۵de۱۴c۴۷۰۸b
    ♦ ۶۸۶۰de۴۶fdea۳۹۳bd۴۸ca۰۰۰ecff۴۰۴۷۹۲۰a۵۶۷۲۸b۷۹۴۵f۹۵a۶ca۰۸۰۱c۲۷۸۰۹۷
 
 
کد مطلب : ۲۷۲۳۳۳
ارسال نظر
نام شما

آدرس ايميل شما