اخبار محرمانه

آخرين مطالب

هدف شهروندان ایرانی هستند

شاهزاده ایرانی یک بدافزار است سیاسی

  بزرگنمايي:

اخبار محرمانه - نسخه‌های اولیه
گزارش اولیه Palo Alto Networks در سال 2016 منتشر شد که در آن بدافزار Infy تحلیل شده است. در حملات این بدافزار از ایمیل‌های فیشینگ استفاده شده است و این ایمیل‌ها حاوی پیوست‌هایی با فرمت اسناد Word یا PowerPoint مخرب هستند. این فایل‌ها دارای یک فایل آرشیو اجرایی خود استخراج شونده (self-extracting) هستند که پس از اجرا محتوای مخرب را منتقل می‌کنند. در یک نمونه از فایل PowerPoint مخرب، تصویر یک فایل ویدئویی جعلی قرار داده شده که بنظر می‌رسد متوقف شده است، قربانی با کلیک بر روی پخش فیلم، فایل آرشیو را اجرا می‌کند.
در گزارش دوم که در سال 2017 منتشر شد، نسخه تکامل یافته Infy با نام Foudre (به معنای رعد و برق در زبان فرانسوی) بررسی شد. نسخه تکامل یافته Infy نیز با ایمیل‌های فیشینگ با پیوست فایل‌های اجرایی خود استخراج شونده توزیع می‌شود. در صورت اجرا یک بارگذار کننده اجرایی، یک DLL مخرب و یک فایل readme به سیستم قربانی منتقل می‌شود. نسخه تکامل یافته قابلیت‌هایی نظیر keylogger، دریافت محتوای کلیپ‌برد در یک چرخه ده ثانیه‌ای و اطلاعات سیستم شامل لیست فرایندها، آنتی‌ویروس‌های نصب شده، کوکی‌ها و سایر اطلاعات مرورگر را دارد.
نسخه جدید Foudre
مشابه نسخه‌های قبلی، نسخه جدید بدافزار Foudre یعنی نسخه 8 نیز در یک آرشیو WinRAR خود استخراج شونده قرار داده شده است. در این آرشیو چندین فایل اجرایی مخرب و یک فایل ویدئویی وجود دارد. فایل ویدئویی دارای فرمت MP4 و هدف اصلی درج ویدئو در فایل آرشیو منحرف کردن قربانی و نصب بدافزار حین پخش ویدئو است.
بدافزار Foudre یک ابزا با دسترسی از راه دور است که قابلیت‌های اجرای دستور، سرقت اطلاعات سیستم (مانند کلیدهای وارد شده در صفحه کلید، اطلاعات فرایندهای پردازشی و غیره) و بروزرسانی خودکار را دارد. اکثر کد و عملکرد این نسخه مشابه Infy و نسخه‌های قبلی Foudre است. اما چندین ویژگی جدید و منحصر به فرد به آن اضافه شده است.
همانطور که گفته شد در فایل آرشیو WINRAR SFX سه فایل اجرایی وجود دارد. فایل اجرایی اصلی Foudre تقریبا در VirusTotal ناشناخته است و از 67 مورد تنها 3 مورد آن‌را شناسایی می‌کنند.
شاهزاده ایرانی یک بدافزار است
در این نسخه Foudre، 2 ماژول مختلف وجود دارد. ماژول اول (i7234.dll) تابع D1 و ماژول دوم (d388) تابع D2 را در خروجی ارائه می‌دهد. فایل سوم تا کنون در بررسی ها اجرا نشده اما همچنان تحت تحلیل است. فایل فشرده و ماژول D1 تنها یک بار اجرا می‌شوند.
فایل فشرده WINRAR SFX ویژگی‌های زیر را دارد:
1. دارای آیکون ویدئو است.
2. فایل‌های اجرایی را استخراج می‌کند.
3. ماژولD1) i7234.dll) را با rundll32 اجرا می‌کند.
ویژگی‌های ماژول D1:
1. فایل ویدئویی را اجرا می‌کند.
2. در حال اجرا بودن TNRRDPKE2 را بررسی می‌کند.
3. ماژول D2 و کلید آنرا در %APPDATA% کپی می‌کند و یک فایل میانبر با نام an.lnk به آدرس C:\WINDOWS\system32\rundll32.exe a.n D2 838238125 ایجاد می‌کند.
4. فایل‌های گفته شده را از TEMP حذف می‌کند.
5. کلید (D2 (a.n را در HKEY_CURRENT_USER\Software\temp ذخیره می‌کند.
6. در آدرس HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run وجود SnailDriver را بررسی می‌کند.
7. فایل Autorun برای an.lnk را ایجاد می‌کند.
کن مسیر %PROGRAMFILES%\Kaspersky Lab را بررسی می‌کند.
9. ماژول D2 را با rundll32 "C:\WINDOWS\system32\rundll32.exe a.n D2 838238125” اجرا می‌کند.
ویژگی‌های ماژول D2 در جدول زیر ارائه شده است:
شاهزاده ایرانی یک بدافزار است
الگوریتم تولید دامنه استفاده شده در نسخه 8 Foudre تفاوت کمی با نسخه قبلی دارد. الگوریتم نسخه قبلی بصورت زیر است:
ToHex(CRC32("NRV1” + year + month + week_number)) + (".space”|”.net”|”.top”)
الگوریتم نسخه جدید بصورت زیر است که در آن NRV1 با NRTV1 جابجا شده است و .dynu.net به دامنه‌ها اضافه شده است:
ToHex(CRC32("NRTV1” + year + month + week_number)) + (".space”|”.net”|”.top”|”.dynu.net”)
برخی دامنه‌های ساخته شده در بخش IoCهای موجود در انتهای این گزارش ارائه شده‌اند. قدیمی‌ترین دامنه‌ای که با این الگوریتم ساخته شده‌اند در تاریخ 5 نوامبر 2017 (14 آبان 1396) ثبت شده است.
شاهزاده ایرانی یک بدافزار است
نتیجه‌گیری
با توجه به محتوای ویدئو و اطلاعات گزارش شده در مورد نسخه های قبلی Foudre، بنظر می‌رسد که اهداف این بدافزار عمدتا شهروندان ایرانی هستند.
IoCها:
فایل‌ها:
WinRAR SFX c38533b85e4750e6f649cc407a50031de0984a8f3d5b90600824915433a5e218 •
D1 DLL a02ce6768662ef250d248c158f26129dd4dfab30845d07962fbfe7aa19b16db9 •
D2 DLL c7279a32329ebb1ab5c1cdbfbddb5a167e1505340c3ca72e837a222ff92665a6 •
Unknown Binary cef161a220e019acc9ae79924a477c64aac2d6cc04126bb3f4a9f8452515f40f •
MP4 dbed2ca2e9c53dd72c3ed3ce60e603c6c91c80152f924d97d8514781e6d9e26f •
lockbox3 signature d2645d16e869addd099727c3c58438c2f6935d92c00f9e4b237ef498de1dad87 •
سرورهای C&C:
185[.]61[.]154,26 •
ns1[.]cf75d89b[.]space •
ns2[.]cf75d89b[.]space •
Week 32 (Aug 5) – fe19f97f[.]space •
Week 33 (Aug 12) – 891ec9e9[.]space •
Week 34 (Sept 2) – 177a5c4a[.]space •
Week 35 (Sept 9) – 607d6cdc[.]space •
Week 36 (Sept 16) – f8b65751[.]space •
Week 37 (Sept 23) – 8fb167c7[.]space •
Week 38 (Sept 30) – 1f0e7a56[.]space •
Week 39 (Oct 7) – 68094ac0[.]space •
Week 40 (Oct 14) – 1d8bfc20[.]space •

لینک کوتاه:
https://www.akhbaremahramaneh.ir/Fa/News/12258/

نظرات شما

ارسال دیدگاه

Protected by FormShield
مخاطبان عزیز به اطلاع می رساند: از این پس با های لایت کردن هر واژه ای در متن خبر می توانید از امکان جستجوی آن عبارت یا واژه در ویکی پدیا و نیز آرشیو این پایگاه بهره مند شوید. این امکان برای اولین بار در پایگاه های خبری - تحلیلی گروه رسانه ای آریا برای مخاطبان عزیز ارائه می شود. امیدواریم این تحول نو در جهت دانش افزایی خوانندگان مفید باشد.

ساير مطالب

برگزاری کنفرانس علمی ادواری «بازتوانی بیماری های عصبی – کمر درد»

جزئیات فروش آنلاین میوه و سبزیجات در میادین میوه و تره‌بار تهران

رونمایی کره شمالی از یک موشک مافوق صوت

کارهایی که باعث برگشت روح به جسم تجربه گر مرگ شد

بوربور: فهرست انتخاباتی «وفاق» بدون وحدت با شانا و شریان بسته شده است

پیش‌بینی فعالان بازار از قیمت طلا چیست؟

خرید چندنرخی با یک کالابرگ!

اعتماد مدعی شد: برادر رائفی‌پور در افغانستان و یمن کیسه‌های آرد و برنج و خرما خیرات می‌کند

دوش طولانی یا کوتاه؛ کدام یک بهتر است؟

فروش بیش از 117 هزار سکه در مرکز مبادله؛ ربع‌سکه در صدر تقاضا

افت بازار سرمایه پس از 4 روز رشد

واکنش فاضلی به توییت جنجالی کریمی قدوسی

لیلا حاتمی شاید در ونیز

تا یه گندی میزنه خودش رو میزنه به خرس مردگی

نقش بازی کردن زنده یاد "رضا داوود نژاد"

«صبح ایران» در مرحله دوم انتخابات مجلس هم لیست می‌دهد

افزایش 8درصدی تولید محصولات پتروشیمی در شستان/سهم 11درصدی از کل صادرات صنعت پتروشیمی

چرا همه مسعود ده نمکی را نقد میکنند؟

جزئیات حادثه اصفهان از زبان رئیس کمیسیون امنیت ملی مجلس

تصاویر اختصاصی شبکه پاکستانی از اسکورت زمینی و هوایی رئیسی در لاهور

عراقچی: پس از اقدام نظامی، زمان ورود به میدان سیاست و دیپلماسی است

رئیس جمهور: اگر رژیم صهیونیستی بار دیگر دست از پا خطا کند، وضعیت متفاوت خواهد بود

14 جایگاه عرضه سوخت مایع در منطقه فارس به بهره‌برداری رسید

ابرپروژه‌های صنعت گاز برای سرمایه‌گذاری معرفی شدند

در چه صورتی انتقال دارایی مشمول مالیات نمی‌شود؟

باکو: ارمنستان تعیین مرز با آذربایجان را آغاز کرد

دوحه: باید مانع حمله احتمالی به رفح شویم

حضور پررنگ ارتش آلمان در رزمایش «ارابه غول‌پیکر» بیخ گوش روسیه!

«آقای قاضی» جدید هفته آینده پخش می‌شود

مسعود ده‌نمکی: با آدم‌های مذهبی‌نما مشکل دارم!

وکیل شکات پرونده منافقین: مسعود رجوی نفوذی ساواک بود

دولت همسو با افزایش تولید و اشتغال از بازارهای داخلی و خارجی بهره‌ می‌گیرد

انتقال موفقیت‌آمیز نمک‌گیر برقی 60 تنی در نفت و گاز مارون

برگزاری دومین کنگره 8 هزار شهید گیلان با حرکت جهادی

انتقال املاک، خودرو، طلا و ارز ‌مشمول مالیات بر عایدی سرمایه می شود

قیمت نفت افزایش یافت

جایزه خودرو برای صرفه‌جویی‌کنندگان برق

ماجرای انتشار نشریه در نماز جمعه توسط ده‌نمکی

عزیمت به کراچی، مرحله سوم سفر رسمی رئیس جمهور به پاکستان

واکنش یک حقوقدان به توئیت‌های جنجالی کریمی قدوسی: بنزین به آتش ایران‌هراسی نریزید

سقف جدید برداشت از حساب های بانکی ابلاغ شد

زلنسکی: روسیه کمپین ارعاب به راه انداخته است

توئیت جدید کریمی قدوسی؛ این بار موشک مورد توجه قرار گرفت

خاندوزی به ریاض می‌رود

دبیر شورای عالی امنیت ملی وارد سن‌پترزبورگ شد

تکریم خانواده شهدا و  ترویج فرهنگ ایثار و شهادت امر بزرگی است که باید از دل جریان‌های مردمی بجوشد

دکتر قاضی‌زاده هاشمی: یادواره شهدا از جنس کار زینبی و رساندن پیام شهدا است

سفر به تهران قدیم؛ شیره‌کش‌خانه‌های سیار در تهران لو رفتند/ تصاویر

سقف تراکنش غیرحضوری 2 برابر شد؛ روزانه 200 میلیون تومان

توضیحات طناز طباطبایی در مورد سکانس شاهکار «خشم و هیاهو»

© - www.akhbaremahramaneh.ir . All Rights Reserved.

چاپ ایرانیان کمپانی