کشف یک اکسپلویت کیت جدید با نام Fallout

امتیاز کاربران

ستاره فعالستاره فعالستاره فعالستاره فعالستاره فعال
 

کشف یک اکسپلویت کیت جدید با نام Fallout
q902
در اواخر ماه آگوست، یک گروه تحلیل تهدیدهای سایبری با نام nao_sec، یک اکسپلویت کیت جدید معروف به Fallout را کشف کردند که برای توزیع باج‌افزار GandCrab و سایر کدهای مخرب از جمله برنامه‌های ناخواسته مورد استفاده قرار گرفته است. پس از اینکه این اکسپلویت کیت در یک وبسایت بکار گرفته شود، از آسیب‌پذیری‌های CVE-۲۰۱۸-۴۸۷۸ مربوط به Flash Player و CVE-۲۰۱۸-۸۱۷۴ مربوط به موتور VBScript ویندوز برای انتقال بدافزار به سیستم‌های بازدیدکنندگان بهره‌برداری می‌شود. نکته جالب توجه این است که کشف این اکسپلویت کیت در زمان انتقال و نصب دانلودکننده SmokeLoader( که برای نصب CoalaBot و یک بدافزار ناشناخته دیگر بکار گرفته شده است) می‌باشد.
علاوه بر این، اکسپلویت کیت Fallout توسط شرکت امنیتی FireEye در یک حمله ارسال تبلیغات مخرب در منطقه خاورمیانه، جنوب اروپا و کشورهای منطقه آسیا و اقیانوسیه نیز مشاهده شده است. شرکت امنیتی FireEye مشاهده کرد که اکسپلویت کیت Fallout باج‌افزار GandCrab را در سیستم‌های ویندوزی نصب می‌کند. همچنین کاربران macOS را به صفحاتی منتقل می‌کند که تبلیغات نرم‌افزار آنتی‌ویروس جعلی یا Adobe Flash Player جعلی را نمایش می‌دهد.

q903

این اکسپلویت کیت در ابتدا تلاش می‌کند تا از VBScript بهره‌برداری کند، سپس از یک نقص در Flash Player سوء استفاده می‌کند. پس از اجرای کد اکسپلویت، یک تروجان در سیستم‌های ویندوزی دانلود و اجرا می‌شود. سپس کد مخرب تمامی فرایندهای اجرایی در حال اجرا را بازنویسی می‌کند، checksumهای آن‌ها را ایجاد و آن‌ها را با checksumهای یک لیست سیاه مقایسه می‌کند. این لیست حاوی ابزارهای مرتبط با تحلیل و ماشین مجازی است:
vmwareuser.exe •
vmwareservice.exe •
vboxservice.exe •
vboxtray.exe •
Sandboxiedcomlaunch.exe •
procmon.exe •
regmon.exe •
filemon.exe •
wireshark.exe •
netmon.exe •
vmtoolsd.exe •
در صورتی که هیچ یک از فرایندهای اجرایی بالا در سیستم آلوده در حال اجرا نباشند، تروجان یک DLL را دانلود و اجرا می‌کند تا باج‌افزار GandCrab نصب شود.
IoCها:
:Fallout Exploit Kit
(naosecgomosec.gq (۱۸۵,۲۴۳.۱۱۲.۱۹۸ •
c۱۴۸۰۱۲f۹ce۵۹daea۱abce۲cfaac۹c۰۷۳۲e۸۶b۷eb۰۰۴۶۸۲۲۲b۶۳۴۳۶۳۰۶c۳۹d۲۶ •

:Nullsoft Installer self-extracting archive
۶۰d۸c۷۶۵۶۴e۹c۶ca۸۴۳۵b۸e۸۳be۹۷۴۳cc۷۷۹۳۰۹۱۸۵۶d۷d۶۲۴eb۵f۸۹۹d۰۵۵۰۲۴a •
:SmokeLoader
(killermansopitu.com (۱۸۵,۱۷۷.۲۳.۲۴۵ •
۶۶۲۶c۱۹e۳f۰d۲fa۶d۲a۱۶dcda۹e۳۹۰۷c۱af۶acb۲۲۳d۵۸۸۱۵ff۶bb۸f۵۳۸b۶۹۸f۴ •
۶۶۲۵c۵۲۸۱a۴۶۰۷۹b۵f۹b۲۰ded۳۴۲۶d۲۰۲۲a۴f۷۹۶f۲۳۲۵۸۷۸bdc۵۹d۶bb۹c۷c۳۶c •
۵b۵a۹۶۱e۹f۵bc۹e۸adc۹۵۶۲caa۸c۶e۹۹be۴۵۶fa۲۱۱d۹df۷df۹۹۶b۲a۱۸e۸۹۶d۷۴ •
۸۲,۱۹۶.۲.۲۲۵ •
۱۸۵,۱۷۰.۴۳.۹۵ •

:(Bot (New.exe)
۸۴۵۸۸۸۷۵۸۷۳۶۸۶۰a۳۷b۹۶۹cadcbaa۶ed۸f۷db۶۰۱c۳۵۹۷ecae۴۷۷۳۳۱bf۶b۸۱eb۴ •
karnevallizdageil.com (۱۸۵,۲۳۹.۲۳۸.۲۰۴ •
idontlikeitwhenyoudoit.ru •
merhabaslm.su •
ichockealotkrug.com •
wheniseeyourdedows.com •
justreggitifyouknowit.ru •
himynameisnoah.su •
iliketopunchnoah.com •

:CoalaBot
۶۵f۸۵f۶۴۳efdcde۰۹۵b۹۰۵aabbaa۴۰fbdae۸۹a۰۲۰۹۶۱۴ada۸f۴۳f۱d۶۲۹۵f۷۰۴۵ •
۱۸۵,۱۷۰.۴۳.۹۵ •

منبع:
https://securityaffairs.co/wordpress/۷۶۰۵۰/malware/fallout-exploit-kit-gandcrab.html

منبع: مرکز مدیریت راهبردی افتا ریاست جمهوری