با ارائه گزارش امنیتی آزمایشگاه فورتی گارد در اختیار شما قصد داریم تا مخاطبین خود را با تهدیدات امنیتی مشاهده شده‌ی اخیر آشنا نماییم. در این گزارش با جزئیات آسیب‌پذیری و بروزرسانی‌های ارائه شده در هفته گذشته آشنا خواهید شد. قسمت اول این گزارش از طریق این پیوند قابل دستیابی است. 

خبر بعدی متعلق به فعالیت‌های مخربانه‌ای تحت عنوان “ServHelper” و “FlawedGrace” می‌باشد. این عملیات از جانب گروه TA505 انجام پذیرفته و تنها یک هفته قبل از ارائه آخرین گزارش امنیتی فورتی نت(۱۸ ژانویه ۲۰۱۹) گزارش جامعی که در آن به تحلیل خوانواده یک درب پشتی، ServHelper و یک RAT با نام FlawedGrace پرداخته بودند، منتشر شد.

ServHelper

TA505 یکی از گروه‌های بسیار فعال در عرصه بدافزار می‌باشد. این گروه بسیاری از ابزارها را ساخته و یا در فعالیت‌های مخربانه خود از آن‌ها استفاده کرده است. ابزارهایی مانند تروجان بانکی Dridex، باج‌افزار Locky و تروجان بانکی TrickBot. این گروه روش‌های مختلفی را برای به دست آوردن پول استفاده کرده و در این راستا نیز موفق بوده است. آخرین فعالیت این گروه ایجاد یک درب پشتی در سیستم قربانیان می‌باشد. آن‌ها قربانیانشان را از طریق کمپین‌های فیشینگ به دام انداخته‌اند. این درب‌های پشتی فایلی با نام “ServHelper.dll” را بر روی سیستم قربانی بارگذاری می‌نمایند. در ماه‌های نوامبر تا دسامبر ۲۰۱۸ سه گونه هرزنامه که این درب‌های پشتی در آن‌ها پیوست شده‌اند گزارش شده است. تمامی این هرزنامه‌ها موسسات مالی را مورد هدف قرار داده‌اند. اما در ارتباط با انواع این درب پشتی بایستی بگوییم تا به امروز تنها دو گونه از آن کشف شده است. گونه اول که مشخصاتش مانند یک بارگذار کلاسیک است و گونه دوم که پیچیده‌تر است و قادر به تونل زدن از طریق SSH و RDP بوده و به مهاجمین امکان کنترل سیستم قربانی از راه دور را می‌دهد.

FlawedGrace:

هدف اصلی ServHelper بارگذاری تروجان FlawedGrace می‌باشد. البته در ارتباط با FlawedGrace بایستی بگوییم این RAT از سال ۲۰۱۷ وجود دارد اما اخیرا شاهد کاهش شدیدی در توزیع این خوانواده بوده‌ایم. اکنون و با این کمپین مخرب اینطور به نظر می‌رسد که توزیع این تروجان از سر گرفته شده است. محققان فورتی نت می‌گویند FlawedGrace یک بدافزار بر مبنای C++ است که از یک پروتکل باینری برای برقراری ارتباط با سرور C2 بهره می‌برد. علاوه بر این، FlawedGrace توانایی بارگذاری بدافزارها و محتویات مخرب دیگر را نیز دارد. سرقت اطلاعات حساس قربانی مانند گذرواژه‌ها و راه اندازی اسکریپت بر روی سیستم قربانی نیز از دیگر توانمندی‌های این بدافزار می‌باشد. حتی ممکن است FlawedGrace اطلاعات قربانی را تغییر داده و یا به آن آسیب‌برساند.

امضاها:

W32/Delf.BHB!tr, W32/Delf.BGZ!tr, VBA/TrojanDownloader.LIZ!tr, VBA/TrojanDownloader.LGD!tr

نشانگرها: hxxp://officemysuppbox[.]com/staterepository hxxps://checksolutions[.]pw/ghuae/huadh[.]php hxxps://rgoianrdfa[.]pw/ghuae/huadh[.]php hxxps://arhidsfderm[.]pw/ghuae/huadh[.]php hxxp://offficebox[.]com/host32 hxxp://office365onlinehome[.]com/host32 hxxps://afgdhjkrm[.]pw/aggdst/Hasrt[.]php 46[.]161[.]27[.]241:443 hxxp://dedsolutions[.]bit/sav/s[.]php hxxp://dedoshop[.]pw/sav/s[.]php hxxp://asgaage[.]pw/sav/s[.]php hxxp://sghee[.]pw/sav/s[.]php hxxps://vesecase[.]com/support/form[.]php

آسیب‌پذیری روز-صفر کشف شده در Adobe Flash Player به شماره مرجع CVE-2018-15982 ماه گذشته اعلام شد. اخیرا این آسیب‌پذیری مورد استفاده یک کمپین مخرب قرار گرفته است. محققان فورتی نت می‌گویند فایل Microsoft word ای را یافته‌اند که حاوی محتوی آلوده Flash بوده و همراه با یک تصور JPG فشرده شده و حاوی Shellcode نیز می‌باشد.

این داکیومنت از طریق آسیب‌پذیری موجود در Flash اجرا شده و بعد از اجرا یک RAT را بر روی سیستم قربانی نصب می‌نماید و از این طریق مهاجمین دسترسی از راه دور به سیستم قربانی می‌یابند. این حمله ماه پیش و از طریق فایلی که از اکراین در VirusTotal بارگذاری شده بود، کشف شد. فایل مخرب به زبان روسی نوشته شده است و به همراه یک تصویر JPG فشرده شده است. همچنین این کمپین از لوگوی یک موسسه پزشکی سواستفاده می‌نماید.

امضاها:

Adobe.Flash.TVSDK.metadata.Use.After.Free, SWF/Generic!exploit

محققان آزمایشگاه فورتی گارد از یک بدافزار LNK که در قالب یک فایل فیلم پنهان می‌شود آگاهی دارند. طبق تحقیقات فورتی نت این فایل آلوده از طریق Pirate Bay torrent بارگذاری می‌شود. این بدافزار به عنوان یک میانبر Windows.LNK پنهان شده است و مجموعه‌ای از دستورات پاورشل را اجرا می‌نماید. پس از اجرای این دستورات یک اسکریپت استخراج می‌گردد. این بدافزار دو هدف اصلی دارد:

هدف اول آن جلوگیری از شناسایی توسط برنامه‌های ضد ویروس و هدایت کردن قربانی از طریق تزریق کد است. محققان معتقدند شاید این بدافزار قصد تزریق محتوی به سایت‌های پربازدیدی مانند ویکی پدیا، گوگل و Yandex را دارند. برای رسیدن به این هدف نیز اقدام به نصب افزونه‌های فایرفاکس با عنوان “Firefox protection” و سرقت افزونه‌های “Chrome Media Router” نموده است. اگر این افزونه‌ها به صورت موفقیت آمیزی نصب گردند داده‌ها را از سرور استخراج کرده و به وب سایت‌هایی که نام بردیم تزریق می‌نمایند.

هدف دوم این بدافزارها کسب درآمد است. این بدافزار ممکن است قصد سرقت ارز دیجیتال از قربانی را داشته باشد. این بدافزار نتایج جست و جوهای قربانی را با نتایج دلخواه خودش جایگزین می‌نماید. همچنین یک بنر تقلبی در ویکی پدیا زده و در آن اعلام می‌نماید اگر قصد کمک مالی برای مقاصد بشردوستانه به صورت ارز دیجیتال بیت کوین و یا اتریوم را دارید بر روی این بنر کلیک نمایید. محققان تیم مسدودسازی فورتی نت تمامی URLهای مرتبط با این حمله را مسدود کرده‌ اند.

نشانگرها

klis[.]icu/1

klis[.]icu/3

klis[.]icu/2

pastebin[.]com/raw/GbDcvb9u

محققان فورتی گارد یک آسیب‌پذیری در Microsoft Windows JET Engine Msrd3x کشف کرده‌اند که یک مهاجم با استفاده از آن می‌تواند کدهای مورد نظرش را از راه دور اجرا نماید. فورتی گارد این آسیب‌پذیری را به مایکروسافت گزارش کرده است.

آرمان داده پویان ارائه دهنده محصولات و راهکارهای مبتنی بر فورتی نت در ایران

برای اطلاعات بیشتر تماس بگیرید