استفاده‌ی نفوذگران OilRig از تروجان جدیدی با نام OopsIE

 

محققان امنیتی هشدار دادند یک گروه نفود شناخته ده با نام OilRig در حملات اخیر خود از یک بدافزار جدید استفاده است. محققان خارجی قبلا این گروه نفوذ را به کشور عزیزمان ایران، نسبت داده بودند. گفته می شود این گروه در اصلی ترین حملات خود، منطقه ی خاورمیانه را هدف قرار داده است.


در حملات جدید، سازمان های بیمه و برخی موسسات مالی در خاورمیانه با بدافزار جدیدی با نام OopsIE توسط این گروه نفوذ هدف حمله قرار گرفته اند. در حمله‌ی اول بدافزار ThreeDollars بر روی سیستم قربانی نصب شده و در حمله‌ی دیگر، برای نصب بدافزار جدید بر روی سیستم قربانی از شیوه‌ی فیشینگ و هرزنامه‌ها استفاده شده است.


اولین حمله در تاریخ ۸ ژانویه‌ی ۲۰۱۸ میلادی اتفاق افتاده و در یک بازه‌ی ۶ ماهه، دو ایمیل به آدرس‌های مختلف به یکی از سازمان‌ها ارسال شده است. هر دوی این ایمیل‌ها از سمت یک دامنه‌ی لبنانی ارسال شده است ولی محققان معتقدند که این آدرس‌ها واقعی نبوده و جعل شده‌اند. 


این گروه در تاریخ ۱۶ ژانویه نیز سازمان دیگری را هدف حمله قرار داد که سال قبل نیز هدف چنین حمله‌ای قرار گرفته بود. تروجان OopsIE نیز به طور مستقیم از روی سرور دستور و کنترل دانلود می‌شود. نمونه‌هایی از ThreeDollars که در حملات اخیر جمع‌آوری شده، مشابه نمونه‌های تحلیل‌شده در اکتبر سال ۲۰۱۷ میلادی است که با شیوه‌ی نمایش یک تصویر، کاربر را ترغیب می‌کند تا ماکروها را فعال کند ولی در پس زمینه فایل‌های مخرب اجرا می‌شوند. 


این ماکروهای مخرب یک وظیفه‌ی زمان‌بندی‌شده را ایجاد می‌کند که پس از یک دقیقه اجرا شده و با استفاده از برنامه‌ی کاربردی Certutil داده‌های کدگذاری شده را کدگشایی می‌کند. یکی دیگر از وظایف دو دقیقه بعد اجرا شده و یک VBScript را برای اجرای تروجان OopsIE راه‌اندازی می‌کند. 


این تروجان با SmartAssembly بسته‌بندی شده و با استفاده از ConfuserEx مبهم‌سازی شده است. این بدافزار همچنین با ایجاد یک فایل VBScript بر روی سیستم قربانی به پایداری و ماندگاری می‌رسد. تروجان همچنین وظیفه‌ای را ایجاد می‌کند که هر ۳ دقیقه یکبار اجرا می‌شود و با استفاده از پروتکل HTTP و برنامه‌ی کاربردی InternetExplorer با سرور دستور و کنترل ارتباط برقرار می‌کند. براساس اطلاعاتی که از سرور دستور و کنترل بدست آمده، تروجان قابلیت اجرای یک دستور، بارگذاری فایل و یا دانلود یک فایل مشخص را دارد. 

 

منبع
 

پست‌های مشابه

Leave a Comment