گزارش تروجان Spy.Lydia

تاریخ ایجاد

تروجان‌های Android.Spy.Lydia توانایی انجام فعالیت‌های جاسوسی مختلف را در دستگاه‌های اندرویدی آلوده دارند و به حمله‌کنندگان قابلیت کنترل از راه دور برای دزدیدن اطلاعات شخصی و مالی فراهم می‌کنند. همچنین این تروجان‌ها دارای یک مکانیزم دفاعی هستند که بررسی می‌کنند آیا در یک شبیه‌ساز اجرا می‌شوند یا روی یک دستگاه آزمایشی. در مواردی که در شبیه‌ساز یا دستگاه آزمایشی اجرا می‌شوند، تروجان‌ها از کار می‌افتند.
توزیع تروجان‌ها از طریق وب‌سایت‌های مخرب صورت می‌گیرد که به عنوان سازمان‌های مالی نمایان می‌شوند، مانند صرافی‌های آنلاین. یکی از مثال‌های این وب‌سایت‌ها به صورت زیر است:

hxxp[:]//biuy.are-eg[.]com/dashbord/

trojan


در این صفحه، از قربانی خواسته می‌شود که اطلاعات شخصی خود را وارد کند: نام و نام خانوادگی، شماره تلفن همراه و شماره ملی. پس از وارد کردن این اطلاعات، کاربر به صفحه  hxxp[:]//biuy.are-eg[.]com/dashbord/dl.php  هدایت می‌شود، جایی که به او اطلاع داده می‌شود برای دسترسی به جلسه معاملاتی نیاز به دانلود و نصب نرم‌افزار ویژه دارند. اما پس از کلیک بر روی دکمه دانلود، به جای برنامه معتبر مورد انتظار، قربانی به یکی از نسخه‌های تروجان Android.Spy.Lydia.1 هدایت می‌شود.
 

trojan


وقتی تروجان اجرا می‌شود، درخواستی برای یک لینک به یک صفحه تقلبی از hxxp[:]//teuoi[.]com ارسال و سپس از طریق مؤلفه WebView بدون اینکه مرورگر باز شود، روی صفحه نمایش داده می‌شود. نسخه‌ی مخربی که ما دریافت کرده‌ایم، لینک زیر را باز کرده است:

hxxps[:]//my-edalatsaham[.]sbs/fa/app.php

صفحه تقلبی که توسط WebView بارگذاری می‌شود، در تصویر زیر نمایش داده شده است:

trojan


این صفحه شامل یک فرم برای وارد کردن شماره ملی است که به آن وعده "پرداخت سود" در آینده داده شده است. در این مرحله، تروجان شناسه منحصر به فرد خود و اطلاعاتی را که دستگاه با موفقیت آلوده شده است به سرور C&C خود ارسال می‌کند.
هنگامی که یک دستگاه آلوده شود، تروجان به میزبان از راه دور در ws[:]//httpiamaloneqs[.]xyz:80 از طریق WebSocket متصل می‌شود و منتظر دستوراتی برای ارسال به تمام دستگاه‌های آلوده به صورت همزمان می‌ماند. هر دستورحاوی شناسه دستگاهی است که به آن ارسال شده است. تصویر زیر دستوراتی را که از سرور C&C به شبکه بات‌نت ارسال شده است نشان می‌دهد:
 

trojan


تروجان‌های Android.Spy.Lydia می‌توانند عملیات زیر را انجام دهند:

  1. جمع‌آوری اطلاعات در مورد برنامه‌های نصب شده در دستگاه.
  2. پنهان کردن یا نمایش آیکون خود در لیست برنامه‌های صفحه اصلی.
  3. ساکت کردن صدا در دستگاه.
  4. ارسال محتوای پیام‌های ورودی از پیامک به سرور یا به یک شماره تلفن مشخص شده توسط مهاجمان.
  5. ارسال محتوای کلیپ‌بورد به سرور.
  6. ارسال پیام‌کوتاه با متن دلخواه به شماره‌های مشخص شده.
  7. بارگیری مخاطبین از دفترچه تلفن به سرور.
  8. افزودن مخاطبین جدید به دفترچه تلفن.
  9. دانلود صفحات وب مشخص با استفاده از مؤلفه WebView

قابلیت‌های ذکر ده، به افراد مخرب اجازه می‌دهد از این تروجان‌ها برای رهگیری پیامک‌ها، تشخیص برنامه‌های بانکی مورد استفاده یک قربانی و انجام اقدامات تقلبی با حساب‌های بانکی آنها استفاده نمایند. به عنوان مثال، مهاجمان می‌توانند پیامک ارسالی از بانک‌ها را بخوانند تا جزئیاتی در مورد موجودی حساب و خریدهای انجام شده بیابند. به علاوه، با استفاده از تکنولوژی A2P که اجازه ارسال پیامک از برنامه‌ها را می‌دهد و ضعف‌های موجود در پروتکل پیامکی، جلوی ارسال پیامک‌های جعلی به عنوان بانک‌ها توسط کلاه‌برداران را می‌گیرند و از کاربران می‌خواهند اقداماتی را انجام دهند که امنیت حساب‌های بانکی خود را به خطر بیاندازند. پس از خواندن مکاتبات یک قربانی، کلاه‌برداران می‌توانند تظاهر به یکی از آشناها کنند و از آنها درخواست وام پول، کمک به پرداخت یک قبض و غیره کنند. در نهایت، این تروجان می‌تواند برای انجام دو مرحله‌ای احراز هویت و کمک به هکرها برای دسترسی کامل به یک حساب بانکی استفاده شود، با فرض اینکه اطلاعات ورود به سیستم یا جزئیات کارت اعتباری را قبلاً دزدیده باشند.

توصیه‌های امنیتی:
به شدت توصیه می‌شود یک برنامه آنتی‌ویروس بر روی دستگاه خود نصب کنید

منبع:

https://news.drweb.com/show/?i=14748&lng=en&c=5

گزارش باج‌افزار 3Am

تاریخ ایجاد

یک خانواده جدید از بدافزار‌های رمزگذاری‌کننده به نام 3AM به تازگی ظاهر شده است. نرم‌افزار آسیب‌پذیرکننده 3AM به زبان برنامه‌نویسی Rust نوشته شده است و به نظر می‌رسد یک خانواده کاملاً جدید از نرم‌افزارهای مخرب باشد. این نرم‌افزار آسیب‌پذیرکننده قبل از اقدام به رمزگذاری فایل‌ها، سعی می‌کند خدمات متعددی را در کامپیوتر مورد نفوذ خود متوقف کند. پس از انجام عملیات رمزگذاری، سعی می‌کند نسخه‌های Volume Shadow (VSS) را پاک کند.

نحوه امادگی برای حمله:
فعالیت مشکوک اولیه از سوی افراد تهدیدی شامل استفاده از دستور gpresult برای جمع‌آوری تنظیمات سیاست‌های اعمال شده بر روی کامپیوتر برای یک کاربر مشخص بود. حمله‌کننده همچنین اجرای اجزای مختلف Cobalt Strike را انجام داد و تلاش کرد تا امتیازات کاربری را در کامپیوتر با استفاده از ابزار PsExec ارتقا دهد.
سپس حمله‌کنندگان دستورات تجسسی مانندwhoami، netstat، quser  و net share را اجرا و تلاش می‌کنند تا سرورهای دیگری را برای حرکت جانبی با استفاده از دستورات quser و net view بررسی کنند. آنها همچنین یک کاربر جدید برای پایداری اضافه کردند و از ابزار Wput برای انتقال فایل‌های قربانیان به سرور FTP  خود استفاده کردند.
ابتدا حمله‌کنندگان تلاش کردند تا از نرم‌افزار باج افزار LockBit استفاده کنند، اما زمانی که این عملیات مسدود شد، به جای آن از  3AM استفاده کردند. استفاده از 3AM  تنها تا حدودی موفق بود. حمله‌کنندگان تنها توانستند آن را بر روی سه دستگاه در شبکه سازمانی نصب کنند و دو مورد آن مسدود شد.

تحلیل نرم‌افزار آلودگی به نام 3AM:
نرم‌افزار آلودگی به نام 3AM  با اجرای یک الگوی معمول، ابتدا اطلاعات را دزدیده و سپس آن‌ها را رمزگذاری کرده و یک یادداشت خواهشی را قرار می‌دهد که تهدید به فروش اطلاعات دزدیده شده دارد تا زمانی که مبلغ مورد نیاز پرداخت شود.
در زیر، نسخه‌ای از متن یادداشت آمده است که در یک فایل به نام 'RECOVER-FILES.txt' در هر پوشه‌ای که نرم‌افزار آلودگی آن را اسکن می‌کند، قرار دارد:


Hello. "3 am" The time of mysticism, isn't it?
All your files are mysteriously encrypted, and the systems "show no signs of
life", the backups disappeared. But we can correct this very quickly and return
all your files and operation of the systems to original state.
All your attempts to restore data by himself will definitely lead to their
damage and the impossibility of recovery. We are not recommended to you to
do it on our own!!! (or do at your own peril and risk).
There is another important point: we stole a fairly large amount of sensitive
data from your local network: financial documents; personal information of your
employees, customers, partners; work documentation, postal correspondence and
much more.
We prefer to keep it secret, we have no goal to destroy your business.
Therefore can be no leakage on our part.
We propose to reach an agreement and conclude a deal.
Otherwise, your data will be sold to DarkNet/DarkWeb. One can only guess how
they will be used.
Please contact us as soon as possible, using Tor-browser:
http://threeamxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx.onion/recovery
Access key:
xxx

شرح متن به صورت زیر است:

  1. نامگذاری: نرم‌افزار آلودگی به نام 3AM  به دلیل افزودن پسوند .threeamtime به فایل‌های رمزگذاری شده، این نام را دارد.
  2. متن یادداشت خواهشی: در یادداشت خواهشی نرم‌افزار آلودگی، اشاره به ساعت 3 صبح و جلب طلسم و رمزآمیزی شده است. این نکته نشان از تلاش حمله‌کنندگان برای ایجاد اثر ترسناکی در متن یادداشت دارد.
  3. رمزگذاری فایل‌ها: نرم‌افزار 3AM  فایل‌های رمزگذاری شده را با پسوند .threeamtime انتهای نام فایل‌ها می‌چسباند.
  4. تهدید با فروش اطلاعات: یادداشت خواهشی حاوی تهدید به فروش اطلاعات حساسی است که از شبکه محلی شما دزدیده شده است. این اطلاعات شامل اسناد مالی، اطلاعات شخصی کارکنان، مشتریان، همکاران، اسناد کاری، مکاتبات پستی و موارد دیگر است.
  5. پیشنهاد توافق: حمله‌کنندگان پیشنهاد می‌دهند تا توافقی برای بازگرداندن داده‌ها و عملکرد سیستم‌ها به وضعیت اولیه ببندند.
  6. تهدید با فروش به  Darkweb: اگر توافقی انجام نشود، حمله‌کنندگان تهدید می‌کنند که داده‌های دزدیده شده را در تاریک‌نت (DarkNet) یا وب تاریک (DarkWeb) به فروش برسانند، و تبعات نامشخصی که این عمل ممکن است داشته باشد را ترسیم می‌کنند.
  7. راه ارتباطی: حمله‌کنندگان از طریق مرورگر Tor ارتباط برقرار کرده و یک لینک به آدرس onion برای تماس ارائه داده‌اند.
  8. کلید دسترسی: در این یادداشت، کلید دسترسی برای بازگشت داده‌ها ذکر شده است که با استفاده از پارامتر خط فرمان -k مشخص می‌شود.

به طور کلی، نرم‌افزار آلودگی3AM  با ایجاد یک فضای ترسناک و تهدید به فروش اطلاعات حساس، تلاش می‌کند تا قربانی را به پرداخت جمع‌آوری پول متقاعد کند تا داده‌هایش را بازیابی کند.
این توضیحات مرتبط با تحلیل نرم‌افزار آلودگی 3AM اطلاعات مفصلی ارائه داده‌اند. نرم‌افزار آلودگی 3AM یک اجرایی 64 بیتی است که با زبان برنامه‌نویسی Rust نوشته شده است. این نرم‌افزار آلودگی دارای پارامترهای خط فرمانی خاصی است که در زیر توضیح داده شده‌اند:

  1. "-k" – این پارامتر با 32 کاراکتر Base64 تعیین می‌شود و در یادداشت خواهشی به عنوان "کلید دسترسی" اشاره شده است.
  2. "-p" – مقدار این پارامتر نامشخص است.
  3. "-h" – مقدار این پارامتر نیز نامشخص است.
  4. "-m" – این پارامتر تعیین می‌کند که نرم‌افزار آلودگی 3AM  قبل از اجرای منطق رمزگذاری یکی از دو مقدار "local" یا "net" را بررسی می‌کند.
  5. "-s" – این پارامتر موقعیت‌های مورد استفاده برای رمزگذاری فایل‌ها را برای کنترل سرعت رمزگذاری مشخص می‌کند و به صورت اعداد اعشاری نمایش داده می‌شود.

پارامترهای "-m" و "-h" متقابل هستند، به این معنا که از آن دو به تنهایی استفاده می‌شود. همچنین استفاده از پارامترهای "-h" و "-m" و مقادیر "local" و "net" در آن‌ها به شکلی مشابه با آرگومان‌هایی است که توسط نرم‌افزارهای مخربی مانند Conti استفاده می‌شود.
این فهرست دستورات نشان می‌دهد که نرم‌افزار آلودگی 3AM تلاش می‌کند تا در زمان اجرای خود به توقف نرم‌افزارها و سرویس‌های مختلف مرتبط با امنیت و پشتیبان‌گیری در سیستم هدف برسد که در زیر به انها اشاره شده است:


1.    netsh.exe advfirewall firewall set rule "group=”Network Discovery”" new enable=Yes:

  • تلاش برای فعال کردن یک قانون در جدار برقی ویندوز به نام "Network Discovery" که امکان کشف دستگاه‌های در شبکه را فراهم می‌کند.

2.    wbadmin.exe delete systemstatebackup -keepVersions:0 -quiet:

  •  حذف پشتیبان‌های مربوط به وضعیت سیستم با استفاده از ابزار مدیریت پشتیبان‌گیری ویندوز.

3.    wbadmin.exe DELETE SYSTEMSTATEBACKUP:

  • حذف پشتیبان‌های مرتبط با وضعیت سیستم.

4.    wbadmin.exe DELETE SYSTEMSTATEBACKUP -deleteOldest:

  • حذف پشتیبان‌های مرتبط با وضعیت سیستم با حفظ آخرین پشتیبان.

5.    bcdedit.exe /set {default} recoveryenabled No:

  • غیرفعال کردن ویژگی بازیابی در بوت سیستم.

6.    bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures:

  • تنظیم ویژگی بوت برای نادیده گرفتن همه‌ی خطاها در بوت سیستم.

7.    wmic.exe SHADOWCOPY DELETE /nointeractive:

  • حذف سایه‌کپی‌های ویندوز.

8.    cmd.exe /c wevtutil cl security:

  • پاکسازی رویدادهای امنیتی ویندوز.

9.    cmd.exe /c wevtutil cl system:

  • پاکسازی رویدادهای سیستم ویندوز.

10.    cmd.exe /c wevtutil cl application:

  • پاکسازی رویدادهای برنامه‌های کاربردی در ویندوز.

۱۱.  دستورات net stop برای متوقف کردن سرویس‌ها و ابزارهای مختلف، که نام بعضی از آنها عبارتند از: vmcomp، vmwp، veeam، Back، xchange، backup، Backup، acronis، AcronisAgent، AcrSch2Svc، sql، Enterprise، Veeam، VeeamTransportSvc، VeeamNFSSvc، AcrSch و غیره.

۱۲.  دستورات net stop برای متوقف کردن سرویس‌ها و ابزارهای مرتبط با محصولات امنیتی و پشتیبان‌گیری نیز وجود دارند، از جمله McAfee و McShield، Kaspersky (KAVF)، Symantec (svc$)، و بسیاری دیگر.

تمام این دستورات به نظر می‌آید که به توقف و از بین بردن ابزارها و تنظیمات مرتبط با امنیت و پشتیبان‌گیری در سیستم هدف توسط نرم‌افزار آلودگی 3AM به منظور تسهیل در عملیات رمزگذاری توسط این نرم‌افزار پرداخته‌اند.

علائم هشدار:
نقض‌های رمزگذاری: به دلیل استقلال افزایشی رابط‌های رمزگذاری از اپراتورهای رمزگذاری، نقض‌های رمزگذاری با دو نوع مختلف رمزگذاری در یک حمله تکراری نیست. این نشان می‌دهد که حمله‌کنندگان در تلاش برای استفاده از ابزارها و روش‌های متنوع‌تر هستند.
ظهور خانواده‌های جدید رمزگذاری: خانواده‌های جدید نرم‌افزار آلودگی به طور متداول ظاهر می‌شوند و بیشتر به سرعت گم می‌شوند یا هیچگاه نمی‌توانند موفقیت چشمگیری کسب کنند. اما واقعیت این است که 3AM به عنوان یک پشتیبان توسط یک شریک LockBit استفاده شده است، که نشان می‌دهد که این نرم‌افزار ممکن است مورد توجه حمله‌کنندگان قرار گیرد و در آینده ممکن است دوباره مشاهده شود.

حفاظت و کاهش خطر:
برای به‌روزرسانی‌های حفاظتی جدیدتر، لطفاً به بولتن حفاظتی Symantec مراجعه کنید.

منابع:


1-https://www.bleepingcomputer.com/news/security/hackers-use-new-3am-ransomware-to-save-failed-lockbi…
2- https://socradar.io/lockbit-attack-fails-3am-ransomware-steps-in-as-plan-b/
3- https://gbhackers.com/3am-ransomware-attack/

 

تحلیل فنی بدافزار SwiftSlicer

تاریخ ایجاد

بد‌افزار SwiftSlicer که از نوع بدافزارهای Wiper یا به عبارت دیگر پاک‌کننده دیتاها است، در زیرساخت شبکه یک سازمان اکراینی مشاهده شده است. طبق بررسی‌های به‌عمل‌آمده، این بدافزار برای فعالیت خود احتیاجی به اتصال به اینترنت ندارد. اما برای شروع فعالیت خود نیاز به دسترسی مدیر سیستم (Administrator) است. همچنین این بدافزار از طریق Active Directory سایر رایانه‌های ویندوزی در شبکه را نیز مورد حمله قرار می‌دهد. برای مطالعه بیشتر اینجا کلیک نمایید.

آنالیز بدافزار Lu0Bot

 1    آنالیز پیکربندی بدافزار Lu0Bot
بدافزار Lu0Bot که در زبان node.js نوشته شده است، در ابتدا صرفأ رباتی جهت حمله انکار‌سرویس توزیع‌شده بنظر می‌آمد و انتظار می‌رفت بواسطه محدودیت‌های ذاتی node.js چندان توانمند نباشد اما قابلیت‌های چشمگیری دارد و می‌تواند با اجرای یک فرآیند مبهم‌سازی چند لایه مبتنی بر پلتفرم، اهدافش را به طور جدی تهدید ‌کند. 

گزارش باج‌افزار Cactus

باج‌افزار جدید به نام کاکتوس (Cactus) از آسیب‌پذیری‌های موجود در دستگاه‌ها و تجهیزات VPN برای دسترسی اولیه به شبکه‌های «موسسات تجاری بزرگ» سواستفاده می‌کند. این عملیات رمزگذاری Cactus از حداقل ماه مارس فعالیت خود را شروع کرده و در تلاش است تا از قربانیان خود پرداخت بزرگی بگیرد. در‌حالی‌که عامل تهدید جدید تاکتیک‌های معمولی را که در حملات باج‌افزار دیده می‌شود (مانند رمزگذاری فایل و سرقت داده)، به‌کار می‌گیرد، برای جلوگیری از شناسایی، ویژگی خاص خود را نیز به لیست توانایی‌های خود اضافه کرده است.

شناسایی و تحلیل بدافزار Atomic macOS Stealer

در سال‌های اخیر، macOS به طور فزاینده‌ای در بین کاربران محبوب شده است، که عمدتاً به دلیل رابط کاربرپسند آن است و اغلب به دلیل سادگی و سهولت استفاده مورد تحسین قرار می‌گیرد. macOS همچنین ایمن تر از سایر سیستم عامل ها تلقی می شود. با وجود این، عوامل تهدید (TA) به هدف قرار دادن پلتفرم‌های macOS ادامه داده‌اند. پیش از این، موارد متعددی وجود داشته است که در آن عاملان تهدید کاربران macOS را با خانواده‌های مختلف بدافزار از جمله MacStealer، RustBucket، DazzleSpy و غیره هدف قرار داده‌اند.

شناسایی و تحلیل حمله بدافزاری هدفمند از نوع درب پشتی با استفاده از PowerShell از گروه جاسوسی APT41

محققان Threatmon یک حمله بدافزاری هدفمند از نوع درب پشتی و با استفاده از PowerShell را از گروه جاسوسی APT41 شناسایی کردند که قادر است انواع روش­‌های شناسایی‌ را دور بزند و به مهاجمان اجازه می‌دهد در سیستم‌ عامل ویندوز قربانی، دستوراتی را اجرا کنند، فایل‌ دانلود یا آپلود کنند و اطلاعات حساس را جمع‌آوری کنند. برای مطالعه بیشتر اینجا کلیک نمایید.

تحلیل فنی باج‌افزار DarkBit

باج‌افزار DarkBit احتیاجی به اتصال به اینترنت نداشته و با دسترسی مدیر سیستم (Administrator) و یا بدون آن، اطلاعات سیستم‌ها  را رمزنگاری می‌کند.  طبق مشاهدات صورت‌گرفته، باج‌افزار DarkBit منتسب به یک گروه شناخته شده یا گونه‌ای خاص نیست و در نامش از ترکیب نام باج‌افزارهای پرآوازه‌ای مانند LockBit و DarkSide استفاده شده است.

تحلیل فنی بدافزار SwiftSlicer

بد‌افزار SwiftSlicer که از نوع بدافزارهای Wiper یا به عبارت دیگر پاک‌کننده دیتاها است، در زیرساخت شبکه یک سازمان اکراینی مشاهده شده است. طبق بررسی‌های به‌عمل‌آمده، این بدافزار برای فعالیت خود احتیاجی به اتصال به اینترنت ندارد. اما برای شروع فعالیت خود نیاز به دسترسی مدیر سیستم (Administrator) است. همچنین این بدافزار از طریق Active Directory سایر رایانه‌های ویندوزی در شبکه را نیز مورد حمله قرار می‌دهد. برای مطالعه بیشتر اینجا کلیک نمایید.