پشتیبانی 24/7 :

031-36691964 | 021-88203003

جستجو

حملات بد‌افزار ثبت‌کننده صفحه کلید HawkEye به کسب و کارها

تیتر مطالب

حملات جدیدی در سطح جهان در دو ماه گذشته گزارش شده که روی کاربران حوزه کسب و کار تمرکز دارد و با استفاده از بد‌افزار ثبت‌کننده صفحه کلید (keylogger) HawkEye انجام شده است.
به گزارش معاونت بررسی مرکز افتا، به نقل از پایگاه اینترنتی BleepingComputer، در این عملیات از ایمیل‌های اسپم استفاده شده است که سازمان‌های بخش‌های مختلف از جمله حمل و نقل و لجستیک، سلامت، واردات و صادرات، بازاریابی، کشاورزی و غیره مورد هدف قرار گرفته‌اند.

fig4 hawkeye admin panel
به گفته پژوهشگران، بدافزار HawkEye به منظور سرقت اطلاعات از دستگاه‌های آلوده طراحی شده است، اما از این بدافزار می‌توان به عنوان بارگذاری‌کننده سایر بدافزارها از بات‌نت‌ها نیز بهره‌برداری کرد. هدف از انتشار این بدافزار ثبت‌کننده صفحه کلید، سرقت اطلاعات احرازهویت و داده‌های حساس کاربران است. به طور دقیق‌تر، در این عملیات از HawkEye Reborn v۸,۰ و HawkEye Reborn v۹.۰ استفاده شده که در پیوست ایمیل‌های اسپم برای کاربران ارسال شده است. پیوست ایمیل‌ها یک فایل صورت‌حساب جعلی است که زمانی که کاربر اقدام به بازکردن آن کند، فایل mshta.exe منتقل می‌شود. برای اتصال به سرور کنترل و فرمان (C&C)، این فایل از PowerShell استفاده و بدافزار در ادامه payloadهای دیگری را نیز منتقل می‌کند.
کسب پایداری در سیستم قربانی با کمک اسکریپت AutoIt انجام می‌شود. این اسکریپت در قالب یک فایل اجرایی با نام gvg.exe به ورودی‌های AutoRun در رجیستری ویندوز اضافه می‌شود. در نتیجه در هر بار راه‌اندازی مجدد سیستم، بدافزار به طور خودکار اجرا می‌شود. همچنین پژوهشگران متوجه فایلی با نام AAHEP.txt شدند که تمامی دستورالعمل‌های مرتبط با بدافزار ثبت‌کننده صفحه کلید Hawkeye در آن قرار دارد.
ثبت‌کننده صفحه کلید و سارق اطلاعات Hawkeye از سال ۲۰۱۳ درحال توسعه بوده و در این سال‌ها به منظور افزایش قابلیت‌های سرقت اطلاعات و نظارت بر قربانی، ویژگی‌ها و ماژول‌های جدیدی به آن افزوده شده است. فروش این بدافزار در بازار وب تاریک و فروم‌های هک انجام می‌شود. آخرین نسخه این بدافزار، HawkEye Reborn v۹ است که می‌تواند اطلاعات را از برنامه‌های مختلف دریافت کند و سپس از طریق پروتکل‌هایی مانند FTP، HTTP و SMTP آن‌ها را برای اپراتورهای خود ارسال کند.

نشانه‌های آلودگی (IoC):

IP Hawkeye v۸:

•    ۳۷,۴۹.۲۲۴.۲۲۲
IP Hawkeye Reborn v۹:

•    ۱۷۸,۳۲.۸۷.۲۴۱
•    ۱۷۸,۳۲.۸۷.۲۴۳
•    ۱۰۳,۲۳۵.۱۰۵.۱۱۱
سرورهای C&C:

•    https://s۳.eu-central-۱.amazonaws.com/۱qwwq/out-۲۲۱۲۸۹۸۷۶.hta
هش فایل MT۱۰۳_Swift Copy_TT۲۰۱۸۰۲۲۶ pdf.png.zip:

•    b۹d۳۴۷c۱۳f۳۰cedf۸۳۶bf۸۳۴۵a۶۰۹۰۶۸۵b۸۴۲a۶۰bf۰۵c۳۹ca۲c۰cfec۹۴۳ad۸۰f
هش فایل اجرایی C:\Users\admin\AppData\Local\Temp\۰۸۸۵۷۶۵۸\gvg.exe:

•    ۲۳۷d۱bca۶e۰۵۶df۵bb۱۶a۱۲۱۶a۴۳۴۶۳۴۱۰۹۴۷۸f۸۸۲d۳b۱d۵۸۳۴۴c۸۰۱d۱۸۴f۹۵d
هش‌های HawkEye Reborn:

•    ۷۳C۸D۴A۲AA۸۶۷۵۲۳A۰F۶۸F۳۷۶C۵۷۲E۹BDAEFBCCA۴۵۲D۸B۲۹۸۳DA۶۹۶DCAD۳A۱D۵
•    ۰۸۶۰A۶۰B۷۲۶۷۵E۴۹EC۸۳B۲۱۴۸D۴۰۷۲AF۸F۰۱AC۶۰C۸۶F۵CF۹F۷۹۹EF۲۷۳۶۷E۵CC۲
•    A۹F۶F۷CDCB۷۸۳A۸۳۵AB۶۰۸C۱۰۰BF۰۶F۴۳۹C۸۷۲۳F۳EE۷B۸۰D۶۶۰۱F۱۶۶D۳۷DFA۵۵
•    ۵F۷۵C۰۷۹B۶۷۷۴B۵۶F۸۸A۶۹۴۰۲۶۱۲۹۶E۸D۳۲۳۹C۷۷E۲C۴۳۴B۴A۳CFD۳B۰۶۲B۳۶DC۸
•    C۳۸۳B۹۸۲۲۸۴۵D۹۰۷E۳۶AFAC۴۳C۷۸۳۷۰۹D۷۷EEB۵۲۹۶BEE۵۵E۴FB۴EA۴AFC۳۸۲E۸۹
منابع :