رامونا پردازش نگار

یک فیشینگ حرفه‌ای؛ با هک سرورهای Exchange

بر اساس گزارشی [1] که شرکت Intezer آن را منتشر کرده، مهاجمان در حال هک سرورهای Exchange و در ادامه، آلوده‌سازی دستگاه کاربران به تروجان IcedID هستند.

IcedID نیز همچون تروجان‌های Trikbot و Emotet بعد از تسخیر دستگاه از طریق «ماحیگیری» یا همان «فیشینگ / Phishing» اقدام به نصب بدافزار دیگری که از سوی سرور فرماندهی و کنترل (C2) آن ارسال می‌شود می‌کند. طی یک سال اخیر، هر سه این تروجان‌ها در انتشار «باج‌افزارها» نقشی مؤثر داشته‌اند.

 

نگاهی به کارزار

 

مهاجمان در کارزار جدید، ایمیل ناقل IcedID را در قالب پاسخ به ایمیل‌های واقعی پیشین ارسال می‌کنند.

گردانندگان کارزار مذکور، ابتدا با رخنه به سرورهای Microsoft Exchange کنترل حساب ایمیل کاربران را در اختیار می‌گیرند. سپس در پاسخ به ایمیل‌های دریافتی پیشین آنها، اقدام به ارسال ایمیل فیشینگ از سوی حساب هک‌شده می‌کنند.

نمونه‌ای از ایمیل‌های ارسالی را در تصویر زیر می بینید. مهاجمان یک فایل ZIP که خود حاوی یک فایل ISO است را به آن پیوست کرده‌اند.

ایمیل فیشینگ IcedID

// منبع: Intezer.com

این مهاجمان در فایل ISO مذکور نیز یک فایل LNK و یک فایل DLL را جاسازی کرده‌اند. اجرای LNK موجب فراخوانی DLL با استفاده از پروسه معتبر regsvr32 و در نهایت آلوده شدن دستگاه به IcedID می‌شود.

بکارگیری فایل‌های ZIP و ISO در مقایسه با فایل‌های MS Office که در کارزارهای فیشینگ پیشین IcedID به ایمیل‌های ارسالی پیوست می‌شدند تکنیکی است که در چارچوب MITRE ATT&CK از آن با عنوان Mark-of-the-Web Bypass یاد می‌شود [2]. در سیستم عامل Windows زمانی که فایلی از اینترنت دانلود می‌شود با یک Alternate Data Stream – به اختصار ADS – مخفی با نام Zone.Identifier برچسب‌گذاری و با متغیری با عنوان Mark-of-the-Web یا MOTW مقداردهی می‌شود. به دلایل امنیتی، فایل‌های با برچسب MOTW قادر به انجام برخی امور نیستند.

برای مثال در MS Office 10 و نسخ بعد از آن اگر فایلی دارای برچسب MOTW باشد در حالت Protected View باز می‌شود که در نتیجه آن قابلیت‌هایی همچون ماکرو قادر به اجرا شدن نیستند. حال آن که فایل‌هایی نظیر ISO حتی در صورت دانلود شدن از اینترنت فاقد برچسب MOTW و در نتیجه محدودیت‌های ناشی از آن هستند.

با توجه به این که مهاجمان ایمیل‌های ارسالی را در ادامه ایمیل‌های واقعی قبلی و از سوی سرور Exchange داخلی سازمان ارسال می‌کنند. در نتیجه احتمال اجرا شدن فایل پیوست توسط قربانی و آلوده شدن دستگاه به IcedID به‌شدت بالا می‌رود.

به‌نظر می‌رسد سرورهای Exchange با سوءاستفاده از آسیب‌پذیری‌های ProxyShell به تسخیر این مهاجمان در آمده‌اند.

Intezer بر اساس گزارشی که قبلا شرکت Proofpoint آن را منتشر کرده بود [3] اجرای این کارزار را به گروه TA551 نسبت داده است.

 

راهکار

 

نصب تمامی اصلاحیه‌های امنیتی بر روی سرورها و نقاط پایانی، به ویژه آنهایی که بر روی اینترنت قابل دسترس هستند توصیه اکید می‌شود. همچنین اگر از راهبران و مسئولان امنیت سازمانتان هستید، ما به شما محصول «آروید» را پیشنهاد می‌کنیم. آروید، با شبیه‌سازی تهدیدات مبتنی بر ایمیل، برگزاری خودکار دوره‌های آموزشی و گزارش‌دهی جامع از میزان آمادگی کارکنان در مقابله با این تهدیدات، راهکاری مطمئن برای ایمن نگاه داشتن کاربران – و در نتیجه سازمان – است. برای کسب اطلاعات بیشتر و دموی این محصول با ما تماس بگیرید.

 

نشانه‌های آلودگی

 

a17e32b43f96c8db69c979865a8732f3784c7c42714197091866473bcfac8250
3542d5179100a7644e0a747139d775dbc8d914245292209bc9038ad2413b3213
698a0348c4bb8fffc806a1f915592b20193229568647807e88a39d2ab81cb4c2
yourgroceries[.]top

 

منابع

 

[1] Kennedy, Joakim & Robinson, Ryan (2022-03-28). “New Conversation Hijacking Campaign Delivering IcedID”. Intezer.com. Retrieved 2022-03-30.
[2] “Subvert Trust Controls: Mark-of-the-Web Bypass”. MITRE. 2021-04-13. Retrieved 2022-03-30.
[3] Larson, Selena; Blackford, Daniel; and G, Garrett (2021-06-16). “The First Step: Initial Access Leads to Ransomware”. Proofpoint. Retrieved 2022-03-30.

اشتراک در
اطلاع از
0 نظرات
بازخورد (Feedback) های اینلاین
مشاهده همه دیدگاه ها
مطالب اخیر
LockBit؛ فعال‌ترین باج‌افزار جهان از نگاهی نزدیک
فایل‌های فارسی ناقل اکسپلویت Follina
BlackCat؛ نمونه‌ای از خلاقیت بی‌پایان گردانندگان باج‌افزار
ترمیم بیش از ۶۰ آسیب‌پذیری در محصولات مایکروسافت
ESXi؛ این بار هدف باج‌افزار Black Basta
Symbiote؛ پنهانی‌ترین بدافزار تحت Linux
تکنیکی جدید برای انتشار بدافزار
بهره‌جویی گسترده از آسیب‌پذیری Follina
چالش‌های نیروی انسانی متخصص در حوزه امنیت سایبری
راهکاری موقت برای آسیب‌پذیری روز-صفر CVE-2022-30190
ایران؛ اولین کشور از لحاظ کثرت بدافزارهای موبایلی
خرید VMware توسط Broadcom با قیمت ۶۱ میلیارد دلار
آسیب‌پذیری ضدویروس‌ها؛ نگاهی به واکنش‌ها
41 ضعف امنیتی دیگر در فهرست آسیب‌پذیری‌های در حال بهره‌جویی
آلوده‌سازی به کی‌لاگر از طریق فایل PDF
Eternity؛ مجموعه‌ای از بدافزارهای مخرب
هشدار اضطراری در خصوص آسیب‌پذیری‌های اخیر VMware
SQLPS؛ پروسه‌ای معتبر در تسخیر استخراج‌کنندگان رمزارز
رایج‌ترین خطاها از نگاه 8 آژانس امنیتی
HTML؛ در نقش پیوست ایمیل فیشینگ

دانلود

لطفا برای دریافت لینک دانلود اطلاعات خواسته شده را وارد نمایید
0
علاقمندیم که دیدگاه‌های شما را بدانیم! لطفا نظر دهید.x
()
x
اسکرول به بالا