بهتازگی بدافزار جدیدی با نام BlackSquid شناسایی شده است که به منظور انتقال کاوشگر رمزارز، از اکسپلویتهای مختلفی بهره میبرد. هدف اصلی این بدافزار نصب اسکریپت کاوش رمزارز XMRig روی وب سرورها، درایوهای شبکه و دستگاههای ذخیرهسازی قابل حمل است.
به گزارش معاونت بررسی مرکز افتا، به نقل از پایگاه اینترنتی ZDNet، بدافزار BlackSquid از اکسپلویتهای خطرناکی از جمله EternalBlue، DoublePulsar، CVE-۲۰۱۴-۶۲۸۷ (اکسپلویت مربوط به باگ Rejetto HTTP File Server) و CVE-۲۰۱۷-۱۲۶۱۵ (نقص امنیتی در Apache Tomcat) و CVE-۲۰۱۷-۸۴۶۴ (یک نقص Shell در Microsoft Server) و سه اکسپلویت مرتبط با ThinkPHP بهره میبرد.
علاوه بر این اکسپلویتها، BlackSquid دارای قابلیتهای انجام حمله جستجو فراگیر (Brute-force)، ضد مجازیسازی، جلوگیری از دیباگ، تکنیکهای ضد سندباکس و همچنین انتشار بصورت کرم است. فرایند آلودگی توسط این بدافزار از یکی از این سه نقطه آغاز میشود، یک صفحه وب آلوده، اکسپلویتها یا درایوهای شبکه قابل حمل. به منظور جلوگیری از شناسایی و تحلیل، بدافزار بررسیهای مختلفی مانند وجود نامکاربری، درایور یا DLLهایی که بیانگر سندباکس یا مجازیسازی هستند را انجام میدهد.
بدافزار پس از نفوذ به یک وب سرور، با استفاده از یک نقص اجرای کد از راه دور سطح دسترسی یک کاربر سیستمی محلی را بدست میآورد و سپس payloadهای نهایی را اجرا و در ادامه بدافزار خود را در شبکه منتشر میکند. payloadهای بدافزار BlackSquid دو مولفه کاوش رمزارز XMRig هستند که یکی از آنها منبع آن است و دیگری در سرور آلوده دانلود میشود. در صورتی که یک کارت گرافیکی Nvidia و AMD در سیستم هدف یافت شود، مولفه دیگری منتقل میشود تا رمزارز بیشتری توسط پردازنده گرافیکی استخراج شود.
نشانههای آلودگی (IoC):
هشها:
• ۱۴f۸dc۷۹۱۱۳b۶a۲d۳f۳۷۸d۲۰۴۶dbc۴a۹a۷c۶۰۵ce۲۴cfa۵ef۹f۴e۸f۵۴۰۶cfd۸۴d
• ۳۵۹۶e۸fa۵e۱۹e۸۶۰a۲۰۲۹fa۴ab۷a۴f۹۵fadf۰۷۳feb۸۸e۴f۸۲b۱۹a۰۹۳e۱e۲۷۳۷c
• ۴bc۱a۸۴ddbbb۳۶۰e۳۰۲۶e۸ec۱d۰e۱eff۰۲a۱۰۰cf۰۱۸۸۸e۷e۲a۲ac۶a۱۰۵c۷۱۴۵۰
• aa۲۵۹b۱۶۸ec۴۴۸۳۴۹e۹۱a۹d۵۶۰۵۶۹bdb۶fabd۸۱۱d۷۸۸۸۸c۶۰۸۰۰۶۵a۵۴۹f۶۰cb۰
• ۴abb۲۴۱a۹۵۷۰۶۱d۱۵۰d۷۵۷۹۵۵aa۰e۷۱۵۹۲۵۳b۱۷a۱۲۴۸eaac۱۳۴۹۰a۸۱۱cdabf۹۰
• ۵۱۵caf۶b۷ff۴۱۳۲۲۰۹۹f۴c۳e۳d۴۸۴۶a۶۵۷۶۸b۷f۴b۳۱۶۶۲۷۴afc۴۷cb۳۰۱eeda۹۸
• ۸dbd۳۳۱۷۸۴e۶۲۰bb۰ca۳۳b۸۵۱۵ca۹df۹a۷a۰۴۹۰۵۷b۳۹a۲da۵۲۴۲۳۲۳۹۴۳d۷۳۰b۴
• ۸۹۷۴da۴d۲۰۰f۳ca۱۱aa۰bc۸۰۰f۲۳d۷a۲be۹a۳e۴e۶۳۱۱۲۲۱۸۸۸۷۴۰c۸۱۲d۴۸۹۱۱۶
URLها:
• hxxp://m۹f[.]oss-cn-beijing[.]aliyuncs[.]com/A[.]exe
• hxxp[:]//m۹f[.]oss-cn-beijing[.]aliyuncs[.]com/Black[.]hta
منابع :
