باجافزار Zeppelin نمونه جدیدی از باجافزار شناخته شده VegaLocker یا Buran است که هم اکنون در حال آلودهسازی سیستمهای کاربران است.
به گزارش سایت BleepingComputer، این خانواده باجافزاری در ابتدا با نام VegaLocker شروع به کار کرد و سپس نام خود را به Buran تغییر داد. باجافزار Buran در ماه می ۲۰۱۹ به عنوان یک باجافزار در قالب سرویس (Ransomware-as-a-Service) در فرومهای هکری و بدافزاری برای فروش قرار گرفت. مجرمینی که این باجافزار را خریداری کنند ۷۵ درصد از مبلغ باج به آنها تعلق میگیرد و ۲۵ درصد آن توسط اپراتور باجافزار دریافت میشود.
تاکنون ویرایشهای مختلفی از جمله Jamper از این باجافزار منتشر شده است. در حال حاضر آخرین نمونه باجافزار VegaLocker با نام Zeppelin توزیع میشود.
پژوهشگران امنیتی اخیرا مشاهده کرداند که باجافزار Zeppelin شرکتهای حوزه فناوری اطلاعات و سلامت را هدف قرار داده است. هم اکنون نحوه توزیع باجافزار Zeppelin دقیقاً مشخص نیست، اما احتمالاً از طریق سرورهای کنترل از راه دور دسکتاپ که از طریق اینترنت در معرض دسترسی قرار دارند، توزیع شده است.
باجافزار پس از شروع به کار، چندین فرایند پردازشی از جمله فرایندهایی که با پایگاههای داده، سیستمهای پشتیبانگیری و سرورهای ایمیل در ارتباط هستند را متوقف میکند. پس از رمزگذاری فایلها، برخلاف سایر باجافزارهای موجود این باجافزار هیچ پسوندی را به فایل هدف اضافه نمیکند. در عوض در فرمت Hex فایل نام Zeppelin افزوده میشود.
این باجافزار دارای قابلیت شخصیسازی است و دارای ابزاری است که در اختیار مجرمین سایبری قرار گرفته است. باجافزار میتواند به عنوان فایلهایی چون EXE، DLL یا به صورت اسکریپت PowerShell در سیستم هدف مستقر شود. متن باجخواهی نیز در این ابزار قابل ویرایش است.
در حال حاضر راهی برای بازیابی فایلهای رمزشده توسط این باجافزار کشف نشده است. از این رو توصیه میشود با پشتیبانگیری منظم خطرات ناشی از این تهدید دفع شوند.
نشانههای آلودگی (IoC):
هش:
• ۰۴۶۲۸e۵ec۵۷c۹۸۳۱۸۵۰۹۱f۰۲fb۱۶dfdac۰۲۵۲b۲d۲۵۳ffc۴cd۸d۷۹f۳c۷۹de۲۷۲۲
• ۳۹d۸۳۳۱b۹۶۳۷۵۱bbd۵۵۵۶ff۷۱b۰۲۶۹db۰۱۸ba۱f۴۲۵۹۳۹c۳e۸۶۵b۷۹۹cc۷۷۰bfe۴
• ۴۸۹۴b۱۵۴۹a۲۴e۹۶۴۴۰۳۵۶۵c۶۱faae۵f۸daf۲۴۴c۹۰b۱fbbd۵۷۰۹ed۱a۸۴۹۱d۵۶bf
• e۲۲b۵۰۶۲cb۵b۰۲۹۸۷ac۳۲۹۴۱ebd۷۱۸۷۲۵۷۸e۹be۲b۸c۶f۸۶۷۹c۳۰e۱a۸۴۷۶۴dba۷
• ۱f۹۴d۱۸۲۴۷۸۳e۸edac۶۲۹۴۲e۱۳۱۸۵ffd۰۲edb۱۲۹۹۷۰ca۰۴e۰dd۵b۲۴۵dd۳۰۰۲bc
• d۶۱bd۶۷b۰۱۵۰ad۷۷ebfb۱۹۱۰۰dff۸۹۰c۴۸db۶۸۰d۰۸۹a۹۶a۲۸a۶۳۰۱۴۰b۹۸۶۸d۸۶
کلید رجیستری:
• HKCU\Software\Zeppelin
GUID:
• {۹۶۱۳۶۷AF-۲۵۳۸-۷AA۳-CE۰E-۲۰CBF۲F۴۰FD۲}
• {۴B۷۶FDEB-DA۹A-۲C۵۶-۷۴۶۰-BB۸AB۴۸A۳۴C۵}
• {۵۶A۶۸۰F۵-۴۹۶F-۸۳۲۸-C۰۸۰-FDF۸۶۶E۸۱۸۳F}
• {EEDECCF۱-۰۶D۱-۰۳۳۳-۰۳۳۳-۱۰۸۴CF۲۲۱۹BB}
• {A۳۲۱۰۶۴D-۱۱۷۷-۵C۳۰-۷EE۶-AEFD۴۸۳۰۲DCB}
• {۸۱۷۳۲۱۳۴-D۳۳۰-۰۵F۵-۳۵FC-۵۷B۲E۸FFB۹۸۳}
آدرس اینترنتی:
• https[://]iplogger[.]org/۱HVwe۷.png
• https[://]iplogger[.]org/۱HCne۷.jpeg
• https[://]iplogger[.]org/۱Hpee۷.jpeg
• https[://]iplogger[.]org/۱syG۸۷
• https[://]iplogger[.]org/۱H۷Yt۷.jpg
• https[://]iplogger[.]org/۱wF۹i۷.jpeg
ایمیل:
• bad_sysadmin(at)protonmail[.]com
• Vsbb(at)firemail[.]cc
• Vsbb(at)tutanota[.]com
• buratino(at)firemail[.]cc
• buratino۲(at)tutanota[.]com
• ran-unlock(at)protonmail[.]com
• ranunlock(at)cock[.]li
• buratin(at)torbox۳uiot۶wchz[.]onion
منابع :
https://www.bleepingcomputer.com
