logo

شرکت سیاره فناوری اطلاعات

شرکت سیاره فناوری اطلاعات در سال 1394 با هدف ارائه خدمات تخصصی در حوزه امنیت شبکه، دیتاسنتر و زیرساخت با ماموریت ارتقاء کیفی ارائه خدمات، در استان هرمزگان تاسیس گردیده است.
آدرس: بندرعباس - بلوار آیت الله غفاری شمالی - برج فناوری هرمز - طبقه پنجم - واحد ۵۰۸
info@ITPCo.co
076-31015508
09175500730

انتشار کرونایی Trickbot

بر اساس آمار استخراج شده از بخش Advanced Threat Protection محصول Microsoft Office ۳۶۵، در حال حاضر TrickBot بیشترین سهم از بدافزارهای انتشار یافته از طریق ایمیل‌ها و پیوست‌های مخرب با موضوع جعلی کرونا را به خود اختصاص داده است.

به گزارش معاونت بررسی مرکز افتا، به نقل از پایگاه اینترنتی BleepingComputer، شرکت Microsoft اعلام کرده است این شرکت تنها ظرف کمتر از یک هفته، چندصد پیوست منحصربه‌فرد حاوی ماکروی ناقل TrickBot را شناسایی کرده که در آنها وانمود می‌شود که سند از سوی یک سازمان غیرانتفاعی برای تست رایگان کرونا ارسال شده است.

مدتهاست که ماکروهای ناقل TrickBot تعمداً با تأخیر کد مخرب را دریافت می‌کنند تا از این طریق بسترهای سندباکس تحلیلگر و شبیه‌ساز را که معمولاً توسط محصولات امنیتی و مهندسان ویروس به‌کار گرفته می‌شوند را ناکام بگذارند.

حدود یک هفته قبل نیز Microsoft اعلام کرد که از ۷۶ تهدید شناسایی شده توسط این شرکت که در آنها از موضوعات مرتبط با کرونا برای فریب کاربران سوءاستفاده شده TrickBot در صدر فعال‌ترین آنها قرار گرفته است.

از بین میلیون‌ها پیام هدفمند، حدود ۶۰ هزار پیام حاوی پیوست یا نشانی مخرب با موضوعاتی در ظاهر مرتبط با کرونا بوده است.

تنها در یک روز قابلیت ضدفیشینگ Microsoft معروف به SmartScreen بیش از ۱۸ هزار نشانی URL و IP با الگوی کرونایی را شناسایی کرده است.

در اکتبر ۲۰۱۶، تروجان TrickBot به‌عنوان یک بدافزار بانکی مبتنی بر ماژول پا به عرصه تهدیدات سایبری گذاشت. این بدافزار همواره توسط نویسندگان آن در حال ارتقا بوده و به‌طور مستمر ماژول‌ها و قابلیت‌های جدیدی به آن اضافه شده است.

برای مثال، در اواخر ماه مارس، فعالیت گردانندگان TrickBot به دلیل استفاده آنها از یک برنامه مخرب Android برای عبور از سد سیستم‌های حفاظتی مبتنی بر اصالت‌سنجی دو مرحله‌ای چندین بانک در حالی که پیش از آن اطلاعات موسوم به Transaction Authentication Number را سرقت کرده بودند خبرساز شد.

همچنین از ابتدای ژانویه، TrickBot مجهز به سازوکاری جدید برای بی‌اثر ساختن بخش User Account Control – به اختصار UAC – شد که این بدافزار را قادر به اجرای فایل مخرب خود با سطح دسترسی ارتقا یافته بدون نمایش هشدار UAC می‌کرد.

یا در نمونه‌ای دیگر گردانندگان TrickBot برای بهره‌گیری از ترس عمومی ناشی از شیوع ویروس کرونا در یک کارزار هرزنامه‌ای اقدام به ارسال ایمیل‌هایی با پیوست مخرب به کاربران ایتالیایی کردند. در این ایمیل‌ها تظاهر می‌شد که ارسال‌کننده یکی از پزشکان سازمان بهداشت جهانی در ایتالیا بوده و پیوست نیز حاوی اطلاعاتی در خصوص راهکارهای پیشگیرانه برای مقابله با کروناست.

در فوریه نیز TrickBot و Emotet هر دو با استفاده از متن‌هایی برگرفته شده از اخبار واقعی کرونا تلاش کردند تا از سد کنترل‌های امنیتی مبتنی بر یادگیری ماشین و هوش منصوعی عبور کنند.

چند روز پیش نیز Google اعلام کرد پویشگرهای بکار گرفته شده در Gmail تنها طی یک هفته هیجده میلیون ایمیل فیشینگ و ناقل بدافزار مبتنی بر الگوی کرونا را مسدود کرده است.

TrickBot اگر چه در ابتدا تنها برای استخراج و سرقت داده‌های حساس از روی سیستم قربانی مورد استفاده مهاجمان قرار می‌گرفت اما اکنون به یک ابزار پرآوازه برای آلوده کردن دستگاه به بدافزارهای گاهاً به مراتب خطرناک‌تر تکامل یافته است.

TrickBot، خود معمولاً به واسطه Emotet بر روی دستگاه قربانیان نصب شده و عمدتاً در جریان حملات چندمرحله‌ای برای دانلود و اجرای بدافزارهای مخربی که یکی از معروف‌ترین آنها باج‌افزار Ryuk است مورد استفاده می‌گیرد.

در اکثر مواقع، این تفویض اختیار به بدافزار دوم پس از آن اتفاق می‌افتد که تمامی داده‌های بالقوه مفید همچون اطلاعات سیستم، اطلاعات اصالت‌سنجی، فایل‌های مورد نظر مهاجمان توسط TrickBot سرقت شده است.

TrickBot به دلیل توانایی آن در انتشار گسترده خود در بستر شبکه‌ها به‌خصوص در صورت موفقیت آن در دسترسی یافتن به سرورهای Domain Controller و سرقت اطلاعات اصالت‌سنجی Active Directory تهدیدی جدی بر ضد سازمان‌ها تلقی می‌شود.

نشانه‌های آلودگی (IoC):
هش

• ec۳۴b۲۰۷d۵۰۳a۳c۹۵ee۷۴۳ee۲۹۶a۰۸e۹۳a۵e۹۶۰aa۴۶۱۱ea۸c۳۹d۸e۵d۴c۵f۶۵۹۳
• ۰b۴a۷۷۱۱۸۱af۲۹e۸۷۴۱۶۳۱۶ff۱eac۸a۷f۴b۹e۴۷a۷۵e۶۵۱defacdc۷۱۱b۰c۳۶۲f۲
• ۸daa۱c۵e۷۴۰۰۴f۳c۳۹۵۷a۱۸۱۰b۴f۳b۹fbcfc۰۴de۹۲cb۰۰daea۱۰f۷۷۴۴۷a۷۵a۲۵

منبع خبر: مرکز مدیریت راهبردی افتا

ITPCo_Co