کشف بدافزار دانلودکننده AdvisorsBot

امتیاز کاربران

ستاره فعالستاره فعالستاره فعالستاره فعالستاره فعال
 


کشف بدافزار دانلودکننده AdvisorsBot
q874
پژوهشگران امنیتی Proofpoint یک بدافزار دانلودکننده را کشف کرده‌اند که از طریق ایمیل‌های مخرب با هدف آلوده‌کردن هتل‌ها، رستوران‌ها و نهادهای مخابراتی منتشر می‌شود.
این حملات به گروه TA۵۵۵ منتسب شده است و از دانلودکننده در مرحله اول حمله برای شناسایی سیستم هدف استفاده می‌شود. پس از شناسایی هدف مورد نظر، ماژول‌های اضافی به سیستم وارد می‌شوند.
این بدافزار با نام AdvisorsBot و برای اولین بار در می ۲۰۱۸ شناسایی شده است. بدافزار با زبان C نوشته شده و همچنان در حال توسعه است. درحال حاضر، نسخه کامل آن که با PowerShell و .NET نوشته شده مشاهده می شود.
حملات ابتدایی از ماکروها برای اجرای دستور PowerShell و دریافت و اجرای AdvisorsBot استفاده شده است. ماکرویی که در حملات اخیر مشاهده شده نسخه PowerShell بدافزار AdvisorsBot را بطور مستقیم دریافت می‌کند.
این تهدید از تکنیک‌های مختلفی مانند بهره‌گیری از کد زائد و استفاده از حلقه‌ها و روابط شرطی اضافی برای کند کردن فرایند مهندسی معکوس و تحلیل بدافزار استفاده می‌کند. نسخه x۸۶ بدافزار کدهای زائد بیشتری را در خود دارد. همچنین، این بدافزار قابلیت تشخیص اجرا بر روی ماشین مجازی را نیز دارا است.
این بدافزار با سرور C&C از طریق پروتکل HTTPS ارتباط برقرار می‌کند. اطلاعاتی که به سرور ارسال می‌شود شامل اطلاعاتی درباره سیستم مانند SID ماشین، مقدار CRC۳۲ hash نام رایانه، مقادیر ذخیره‌شده ناشناخته و نسخه ویندوز است. بدافزار از طریق درخواست‌های GET با سرور ارتباط برقرار و تنها از دو دستور پشتیبانی می‌کند، یا یک ماژول بارگذاری می‌شود و یا یک shellcode در یک thread بارگذاری می‌شود.
تنها ماژول دریافت اطلاعات سیستم از سرور C&C ارسال می‌شود که می‌تواند اسکرین‌شات تهیه کند، جزئیات حساب Outlook را استخراج کند و چندین دستور سیستمی (مانند systeminfo، ipconfig /all، netstat –f، net view، tasklist، whoami، net group domain admins /domain و dir %USERPROFILE%\Desktop) را اجرا کند.

منبع:
https://www.securityweek.com/advisorsbot-malware-downloader-discovered