فعالیت بلندمدت باجافزار Shade
تاریخ انتشار: ۲ اسفند ۱۳۹۷ | کد خبر: ۲۲۸۳۶۳۰۳
به گزارش حوزه دنیای ارتباطات گروه فضای مجازی باشگاه خبرنگاران جوان، به نقل از وبسایت securityaffairs، بین ماههای ژانویه و فوریه، بسیاری از شرکتهای امنیتی، عملیات جدید، گسترده و غیرقانونی را شناسایی کردهاند که در حال پخش گونهی Shade/Treshold، یکی از خطرناکترین تهدیدات سناریوهای جرایم اینترنتی و شناختهشده از آلودگی بزرگ در روسیه در سال ۲۰۱۵، است که فعالیت آن توسط چندین CSIRT و CERT در سراسر جهان تحتنظر است.
بیشتر بخوانید:
اخباری که در وبسایت منتشر نمیشوند!
در آخرین امواج حمله، مهاجمان سعی داشتند خود را به جای شرکتهای نفت و گاز روسیه، به خصوص "PAO NGK Slavneft" جا بزنند، تا به بخشهایی از این صنعت ضربه بزنند.
روش توزیع آلودگی در نمونه مورد بررسی، ارسال ایمیل، یک روش معمول و موثر، بوده است. ایمیل فیشینگ حاوی یک فایل zip با نام «slavneft.zakaz.zip» است. این فایل، شامل یک فایل جاوااسکریپت روسی است. این فایل به عنوان دانلودکننده در زنجیره آلودگی عمل میکند، با استفاده از یک سری آدرسهای سختافزاری سرور، برای جلوگیری از شناسایی توسط ضدویروسها به شدت به مبهمسازی و رمزگذاری متکی است. در این کد جاوااسکریپت، اگر اولین درخواست HTTP انجام نشود، دومی نیز ارسال نمیشود، اما متغیر "qF" با سایر URLهای مخرب مقداردهی میشود. احتمالا کد جاوا اسکریپت هنوز در حال توسعه و بهبود است، بنابراین مهاجم برای بازیابی نمونه از دیگر منابع، میتواند خطوط کد جدیدی وارد مجموعه قبلی کند.
تمام منابع بارگذاریشده توسط دانلودکننده جاوااسکریپت به وبسایتهای آسیبدیده اشاره میکند که بیشتر آنها در حال اجرای سیستمهای مدیریت محتوای وردپرس و جوملا هستند. در عینحال، Treshold قادر به استفاده از یک ماژول کرم برای جستجو و یافتن همگانی صفحات ورود به سیستم چندین برنامه کاربردی شناخته شده مانند وردپرس و جوملا است.
بدافزار هنگامی که در وبسایتها قرار میگیرد، یک نسخه از کد اجرایی را بارگذاری میکند. با استفاده از این روش، بدافزار نسخههای متعدد پشتیبان ایجاد میکند تا انعطافپذیری خود در نقاط تحت کنترل را افزایش دهد.
بدافزار Shade در زمان تجزیه و تحلیل، میزان تشخیص بالایی را از خود نشان نداده است و تنها یک سوم ضدبدافزارها آن را شناسایی کردند. Shade تمامی فایلهای کاربر را با استفاده از طرح رمزنگاری AES رمزگذاری میکند. سپس پسوند ".crypted ۰۰۰۰۰۷" را به آنها اضافهکرده وپیغام باجخواهی را در هر پوشه سیستم، به دو زبان انگلیسی و روسی ایجاد میکند. Shade با استفاده از کتابخانههای TOR تعبیهشده به سرور C. ۲ خود متصلشده و ماژولهای اضافی مانند CMSBrute یا استخراجگر ZCash را دریافت میکند.
اطلاعات در دسترس، منشاء تهدید Treshold را نیمه سال ۲۰۱۷ میداند و نشان میدهد که مهاجمان روش عملیات و زیرساختهای خود را تغییر ندادهاند. همچنین شناسه کیفپول رمزارز در طول سال حفظ شده و تکنیکهای انتشار و الگوها نیز تقریبا ثابت هستند.
انتهای پیام/
منبع: باشگاه خبرنگاران
کلیدواژه: ارتباطات جذاب ترین ها
درخواست حذف خبر:
«خبربان» یک خبرخوان هوشمند و خودکار است و این خبر را بهطور اتوماتیک از وبسایت www.yjc.ir دریافت کردهاست، لذا منبع این خبر، وبسایت «باشگاه خبرنگاران» بوده و سایت «خبربان» مسئولیتی در قبال محتوای آن ندارد. چنانچه درخواست حذف این خبر را دارید، کد ۲۲۸۳۶۳۰۳ را به همراه موضوع به شماره ۱۰۰۰۱۵۷۰ پیامک فرمایید. لطفاً در صورتیکه در مورد این خبر، نظر یا سئوالی دارید، با منبع خبر (اینجا) ارتباط برقرار نمایید.
با استناد به ماده ۷۴ قانون تجارت الکترونیک مصوب ۱۳۸۲/۱۰/۱۷ مجلس شورای اسلامی و با عنایت به اینکه سایت «خبربان» مصداق بستر مبادلات الکترونیکی متنی، صوتی و تصویر است، مسئولیت نقض حقوق تصریح شده مولفان در قانون فوق از قبیل تکثیر، اجرا و توزیع و یا هر گونه محتوی خلاف قوانین کشور ایران بر عهده منبع خبر و کاربران است.
خبر بعدی:
تغییر نام رسمی فراری در فرمول یک
تیم فرمول یکی فراری ایتالیا نام رسمی خود را تغییر داد. - اخبار ورزشی -
به گزارش خبرگزاری تسنیم، تیم فراری ایتالیا رسما نام کامل خود را به اسکودریا فراری HP تغییر داد. دلیل تغییر نام تیم فراری امضای قرارداد جدید اسپانسرینگ با شرکت آمریکایی تامین کننده سختافزار و نرمافزار Hewlett Packard است.
داستان یک راننده نگونبخت؛ مستعدِ بدشانس یا سلطان فاجعه؟پیش از این گفته شده بود که شرایط قرارداد برای اسکودریا بسیار سودمند خواهد بود و به این تیم اجازه میدهد حقوق بالایی برای لوئیس همیلتون راننده جدید انگلیسیاش که از فصل آینده فرمول یک به آن ملحق خواهد شد، تضمین کند.
فراری هم اکنون با 151 امتیاز در جایگاه دوم ردهبندی تیمی فصل جاری فرمول یک قرار دارد.
انتهای پیام/