شما اینجا هستید
سایت خبری وان سرت » » حملات سایبری » تکنیک جدید مهاجمان TrickBot

به گزارش معاونت بررسی مرکز افتا، به نقل از پایگاه اینترنتی ThreatPost، پژوهشگران امنیتی به بررسی یک تکنیک جدید مهاجمان TrickBot پرداخته‌اند که توسط فایل‌های Word با بهره‌گیری از یک ActiveX مرتبط با پودمان Remote Desktop Protocol تلاش می‌شود که ماکروی مخرب تزریق شده در سند به‌صورت خودکار اجرا شود. فایل‌های مذکور از طریق ایمیل‌های موسوم به "هرزنامه ناقل بدافزار" (MalSpam)  به دست کاربر می‌رسند.
در این حملات مهاجمان از OSTAP که یک jаvascript Downloader است به‌نحوی استفاده می‌کنند که به‌محض کلیک کاربر بر روی دگمه enable macros کد مخرب بدافزار TrickBot به‌صورت خودکار دریافت و اجرا شود.
معمولاً هر یک از این اسناد حاوی تصویری است که اهداف را متقاعد به فعالسازی محتوا (Enable Content) می‌کنند. در صورت به دام افتادن قربانی ماکروی مخرب در وضعیت Enable macros for one time اجرا می‌شود. همچنین تصویر مذکور می‌تواند عاملی برای عدم جلب توجه به شکلک کنترل ActiveX که اندکی پایین‌تر از آن درج شده است با‌شد. اسکریپت‌های OSTAP نیز با نویسه‌های سفید رنگی که در حالت عادی برای کاربر قابل مشاهده نبوده اما در عین حال توسط ماشین قابل اجرا هستند مخفی شده‌اند.
 


در این تکنیک، از MsRdpClient۱۰NotSafeForScripting در کنترل ActiveX که کلاسی برای دسترسی از راه دور است استفاده شده است.
در اسکریپت بکار گرفته شده، فیلد Server خالی است. موضوعی که سبب بروز خطایی می‌شود که مهاجمان از همان برای اجرای کد مخرب خود استفاده کرده‌اند. ضمن اینکه OSTAP تنها در صورتی اجرا می‌شود که خطا برابر با disconnectReasonDNSLookupFailed که دارای مقدار ۲۶۰ است باشد. به‌عبارت دیگر فرمان wscript در این نمونه از OSTAP با پارامترهایی که وابسته به عدد خطای ایجاد شده است اجرا می‌شود.
  


در ادامه OSTAP در قالب یک فایل BAT اجرا شده و سند Word بسته می‌شود.
فایل BAT اقدام به اجرای محتوای خود با استفاده از پروسه معتبر wscript می‌کند. ترفندی قدیمی که سبب می‌شود که چه در حین اجرای BAT و فراخوانی wscript و چه در زمان اجرا شدن محتوای آن توسط wscript از توضیحات (Comment) درج شده در فایل صرف‌نظر شود.
نکته قابل توجه اینکه امکانی در ActiveX که در این تکنیک از آن استفاده شده بر روی سیستم‌های عامل قبل از Windows ۱۰ قابل اجرا نیست.
TrickBot در سال ۲۰۱۶ به‌عنوان جانشینی برای تروجان بانکی Dyre ظهور کرد. اما از آن زمان تا کنون، TrickBot به بدافزاری چندکاره و مبتنی بر ماژول که به‌طور خاص سازمان‌ها را مورد هدف قرار می‌دهد تبدیل شده است. یکی از اصلی‌ترین دلایلی که محققان، TrickBot را بدافزاری خطرناک توصیف می‌کنند استمرار تکامل و افزوده شدن قابلیت‌های جدید به آن است.
برای مثال حدود یک ماه قبل، قابلیتی به این بدافزار اضافه شد که امکان عبور از سد User Account Control و تسهیل توزیع بدافزار و بر روی سیستم‌های شبکه را فراهم می‌کند. همینطور در سال میلادی جاری SentinelLabs از تجهیز TrickBot به یک درب‌پشتی (Backdoor) با عنوان PowerTrick خبر داد.
قبل از آن نیز نسخ مختلفی از این بدافزار مجهز به امکانات جدیدی شامل قابلیت استخراج اطلاعات اصالت‌سنجی Remote Desktop و به‌روزرسانی سیستم کشف رمز عبور برنامه‌های مبتنی بر OpenSSH و OpenVPN شده بودند.
یا در نمونه‌ای دیگر، محققان در سال میلادی گذشته از اتحاد گردانندگان TrickBot با گروه Lazarus خبر دادند که به‌نظر می‌رسد هدف آن ساخت یک چارچوب بدافزاری معروف به Anchor Project بوده است. 
واقعیت آن است که با افزوده شدن مستمر قابلیت‌های جدید به سیستم‌های عامل سازندگان محصولات امنیتی نیز دائماً باید سازوکارهای خود را برای حفاظت از سیستم‌ها به‌روز کنند. کاری دشوار و زمان‌بر که هر گونه تأخیر یا کم‌توجهی نسبت به انجام آن سبب موفقیت تکنیک‌هایی همچون این تکنیک جدید مهاجمان TrickBot می‌شود.


شانه‌های آلودگی (IoC):


هش:

۷۴۴۲۲ee۳e۱۲۷۴bad۱۱f۵ac۴۴۷۱۲b۱d۱۰fce۳a۱e۷fd۹acc۰a۸۲fe۸۸d۹e۹b۷b۷۸e
۸۹۱c۷۱۶d۰۵۹۴۵۹d۹۷a۷۲۶a۹bb۲۶۲bc۲۰f۳۶۹b۶c۸۱۰۰۹۷ff۳۱۲fd۷۱۰a۴d۴da۵۷۷
۳d۰c۳f۳d۴۶۴a۸۲۲۹۴۸۰b۶d۴a۰۲۴d۲۹۸۲c۷۲d۶۷۹۴۲d۸ee۲۴۵dd۹۱da۱a۲۶ddd۲۲a
ff۷۳۳۴۲۳۷ad۵a۷۶d۶۸۲c۳۲۲۶۷ffbada۹ef۰۹۱eb۸۷f۳۶۸۳۹۸۱b۷۱e۱d۸۴c۳۹۹۰a۹
۴۱۴۷۴۴acddc۰۳bb۰۹۵a۳۱۷۰۸c۶۶f۳۳ae۴۵۶af۵۸ae۸۵ab۲۸۸۷e۹۷۸۱b۵۲۸۰۳۴۰۶۴
۸b۹۷۵bcdc۷۳d۲۸d۲۹۹b۶۰b۷c۱ab۸۱c۰a۵b۳a۳۰۱۵۳۷۲۵dc۴۱e۸۳۶۶۵۹a۴ea۷۸۸۳۱
۰۰۵a۱e۴۲bb۳e۵۰۹۲۱۲۴dfa۴۰b۹a۷۶۵۳۳۹c۷ab۹ea۰۰c۲۷۶ba۲f۲af۳۲ce۲ed۸۱ce
۲۰۰a۰cc۱۳۰۱۱۳fedd۲e۳baa۰e۵۹۸۸ca۱۸۱۰۲a۶۵۲۹۰۹b۲۵۳۰۷۸۵۲۴۲fd۸۰۰dd۴f۵
c۱۳۷۴ddd۰b۰۶eb۹۴۲a۷d۵۲۲۴ebf۳c۶a۱۰۸۰۲۹۰۲dd۸eee۰۳fe۹۶۰۳۲۹۲۷۱۴f۸bf۱
bb۷a۴۳ea۱a۳۰۵۲۲۸e۶ff۳۶abef۴۷۵e۰۴۶e۵۴۹e۳۰۹fddf۳۳۴d۹۷۷۰۷bfbc۴۷aef۴
۶۸۳a۹df۳e۲۹۱۶۶۹e۶a۱ee۳۵aa۰۸۲۲۲e۲۲۸bd۵۵۳f۷۶ba۰۴۹c۴b۸۸۷۳f۶d۹eb۸۸۸۰
۶۲۲۶۰۶۵b۱۷۰ad۴۰۲b۳۵ff۸۳۰۷eab۸۴۳f۴۶b۵۴cc۷a۹۳a۳۷۱۷af۰fa۹cf۲eb۴۳۳df
۰d۲۵۹۴۷۴۵۲fbd۱۴۳۰۱f۶۶۰f۳۵۷۸۴۵۷۶۰۶۹۳eabf۶۱e۹۹bd۵۵c۷ab۴۷a۴۴a۸۸ccd۵


دامنه:        

insiderppe.cloudapp[.]net

منبع:


شما هم می توانید دیدگاه خود را ثبت کنید

کامل کردن گزینه های ستاره دار (*) الزامی است -
آدرس پست الکترونیکی شما محفوظ بوده و نمایش داده نخواهد شد -

ارسال نظر

نام:*
ایمیل:*
متن نظر:
کد را وارد کنید: *
عکس خوانده نمی شود
 

اخبار و آموزش امنیت سایبری | ارزش افزوده | فیشینگ | سایت های قمار و شرط بندی | حملات سایبری | آسیب پذیری