گسترش تروجان Bladabindi توسط یک کرم جدید

امتیاز کاربران

ستاره فعالستاره فعالستاره فعالستاره فعالستاره فعال
 

گسترش تروجان Bladabindi توسط یک کرم جدید
q1105
به تازگی کرم جدیدی کشف شده است که یک ویرایش مدرن از ابزار با دسترسی راه دور RAT) Bladabindi) را گسترش می‌دهد.
به گزارش معاونت بررسی مرکز افتا، به نقل از وب‌سایت ZDNet، این کرم، تروجان Bladabindi را که با نام njRAT/Njw۰rm شناخته می‌شود، در یک فرایند بدون فایل از طریق حافظه‌ها و درایوهای قابل حمل گسترش می‌دهد.
بر اساس بررسی تحلیلگران Trend Micro، بدافزار Bladabindi سال‌ها بازسازی شده و در بسیاری از عملیات‌های جاسوسی سایبری مورد استفاده قرار گرفته است. این بدافزار یک کپی از خود را در هر دستگاه حافظه قابل حمل که به یک سیستم آلوده متصل شود، قرار می‌دهد. همچنین، یک ورودی رجیستری با نام AdobeMX نیز ایجاد می‌کند تا پایداری خود را حفظ کند. این ورودی یک اسکریپت PowerShell اجرا می‌کند تا بدافزار را از طریق فرایند reflective loading بارگذاری کند. این تکنیک باعث بدون فایل شدن بدافزار می‌شود. یعنی به جای اجرا از طریق دیسک، از حافظه اجرا می‌شود. این ویژگی شناسایی آن‌را توسط ضدویروس‌ها دچار مشکل می‌کند.
Bladabindi با NET. نوشته شده است. علاوه بر این، بدافزار از AutoIt استفاده می‌کند که این موضوع نیز باعث مشکل شدن شناسایی بدنه بدافزار می‌شود.
Bladabindi RAT به عنوان یک درپشتی و سیستم سارق داده عمل می‌کند و دارای قابلیت keylogging، سرقت اطلاعات احرازهویت مرورگرها حین نشست‌های آن‌ها، جاسوسی از طریق وب‌کم و دانلود و اجرای فایل است. زمان اجرای در پشتی، یک سیاست دیوار آتش ایجاد می‌شود و فرایند PowerShell را به لیست برنامه‌های قابل‌قبول اضافه می‌کند.
اطلاعات جمع‌آوری شده به سرور C&C مهاجم به آدرس serverwater-boom[.]duckdns[.]org روی پورت ۱۱۷۷ ارسال می‌شود. بدافزار از سیستم نام دامنه پویا استفاده می‌کند، از این رو نام دامنه سرور C&C هر لحظه می‌تواند تغییر کند.
توصیه می‌شود تا با نظارت مستمر روی شبکه‌ها و Gatewayها، و محدود کردن استفاده از حافظه‌های قابل حمل و USBها در کسب‌وکارها، از نفوذ چنین بدافزارهایی جلوگیری شود.

نشانه‌های آلودگی (IoC):
هش‌ها (SHA-۲۵۶):


• c۴۶a۶۳۱f۰bc۸۲d۸c۲d۴۶e۹d۸۶۳۴cc۵۰۲۴۲۹۸۷fa۷۷۴۹cac۰۹۷۴۳۹۲۹۸d۱d۰c۱d۶e —Worm.Win۳۲.BLADABINDI.AA
• ۲۵bc۱۰۸a۶۸۳d۲۵a۷۷efcac۸۹b۴۵f۰۴۷۸d۹ddd۲۸۱a۹a۲fb۱f۵۵fc۶۹۹۲a۹۳aa۸۳۰ — Win۳۲.BLADABINDI.AA

سرور C&C:


• water[-]boom[.]duckdns[.]org

منبع:


https://www.zdnet.com/article/this-worm-spreads-fileless-trojan-bladabindi-through-removable-drives
https://blog.trendmicro.com/trendlabs-security-intelligence/autoit-compiled-worm-affecting-removable-media-delivers-fileless-version-of-bladabindi-njrat-backdoor

منبع: مرکز مدیریت راهبردی افتا ریاست جمهوری