هدف شهروندان ایرانی هستند
شاهزاده ایرانی یک بدافزار است
سیاسی
بزرگنمايي:
اخبار محرمانه - نسخههای اولیه
گزارش اولیه Palo Alto Networks در سال 2016 منتشر شد که در آن بدافزار Infy تحلیل شده است. در حملات این بدافزار از ایمیلهای فیشینگ استفاده شده است و این ایمیلها حاوی پیوستهایی با فرمت اسناد Word یا PowerPoint مخرب هستند. این فایلها دارای یک فایل آرشیو اجرایی خود استخراج شونده (self-extracting) هستند که پس از اجرا محتوای مخرب را منتقل میکنند. در یک نمونه از فایل PowerPoint مخرب، تصویر یک فایل ویدئویی جعلی قرار داده شده که بنظر میرسد متوقف شده است، قربانی با کلیک بر روی پخش فیلم، فایل آرشیو را اجرا میکند.
در گزارش دوم که در سال 2017 منتشر شد، نسخه تکامل یافته Infy با نام Foudre (به معنای رعد و برق در زبان فرانسوی) بررسی شد. نسخه تکامل یافته Infy نیز با ایمیلهای فیشینگ با پیوست فایلهای اجرایی خود استخراج شونده توزیع میشود. در صورت اجرا یک بارگذار کننده اجرایی، یک DLL مخرب و یک فایل readme به سیستم قربانی منتقل میشود. نسخه تکامل یافته قابلیتهایی نظیر keylogger، دریافت محتوای کلیپبرد در یک چرخه ده ثانیهای و اطلاعات سیستم شامل لیست فرایندها، آنتیویروسهای نصب شده، کوکیها و سایر اطلاعات مرورگر را دارد.
نسخه جدید Foudre
مشابه نسخههای قبلی، نسخه جدید بدافزار Foudre یعنی نسخه 8 نیز در یک آرشیو WinRAR خود استخراج شونده قرار داده شده است. در این آرشیو چندین فایل اجرایی مخرب و یک فایل ویدئویی وجود دارد. فایل ویدئویی دارای فرمت MP4 و هدف اصلی درج ویدئو در فایل آرشیو منحرف کردن قربانی و نصب بدافزار حین پخش ویدئو است.
بدافزار Foudre یک ابزا با دسترسی از راه دور است که قابلیتهای اجرای دستور، سرقت اطلاعات سیستم (مانند کلیدهای وارد شده در صفحه کلید، اطلاعات فرایندهای پردازشی و غیره) و بروزرسانی خودکار را دارد. اکثر کد و عملکرد این نسخه مشابه Infy و نسخههای قبلی Foudre است. اما چندین ویژگی جدید و منحصر به فرد به آن اضافه شده است.
همانطور که گفته شد در فایل آرشیو WINRAR SFX سه فایل اجرایی وجود دارد. فایل اجرایی اصلی Foudre تقریبا در VirusTotal ناشناخته است و از 67 مورد تنها 3 مورد آنرا شناسایی میکنند.
در این نسخه Foudre، 2 ماژول مختلف وجود دارد. ماژول اول (i7234.dll) تابع D1 و ماژول دوم (d388) تابع D2 را در خروجی ارائه میدهد. فایل سوم تا کنون در بررسی ها اجرا نشده اما همچنان تحت تحلیل است. فایل فشرده و ماژول D1 تنها یک بار اجرا میشوند.
فایل فشرده WINRAR SFX ویژگیهای زیر را دارد:
1. دارای آیکون ویدئو است.
2. فایلهای اجرایی را استخراج میکند.
3. ماژولD1) i7234.dll) را با rundll32 اجرا میکند.
ویژگیهای ماژول D1:
1. فایل ویدئویی را اجرا میکند.
2. در حال اجرا بودن TNRRDPKE2 را بررسی میکند.
3. ماژول D2 و کلید آنرا در %APPDATA% کپی میکند و یک فایل میانبر با نام an.lnk به آدرس C:\WINDOWS\system32\rundll32.exe a.n D2 838238125 ایجاد میکند.
4. فایلهای گفته شده را از TEMP حذف میکند.
5. کلید (D2 (a.n را در HKEY_CURRENT_USER\Software\temp ذخیره میکند.
6. در آدرس HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run وجود SnailDriver را بررسی میکند.
7. فایل Autorun برای an.lnk را ایجاد میکند.
کن مسیر %PROGRAMFILES%\Kaspersky Lab را بررسی میکند.
9. ماژول D2 را با rundll32 "C:\WINDOWS\system32\rundll32.exe a.n D2 838238125” اجرا میکند.
ویژگیهای ماژول D2 در جدول زیر ارائه شده است:
الگوریتم تولید دامنه استفاده شده در نسخه 8 Foudre تفاوت کمی با نسخه قبلی دارد. الگوریتم نسخه قبلی بصورت زیر است:
ToHex(CRC32("NRV1” + year + month + week_number)) + (".space”|”.net”|”.top”)
الگوریتم نسخه جدید بصورت زیر است که در آن NRV1 با NRTV1 جابجا شده است و .dynu.net به دامنهها اضافه شده است:
ToHex(CRC32("NRTV1” + year + month + week_number)) + (".space”|”.net”|”.top”|”.dynu.net”)
برخی دامنههای ساخته شده در بخش IoCهای موجود در انتهای این گزارش ارائه شدهاند. قدیمیترین دامنهای که با این الگوریتم ساخته شدهاند در تاریخ 5 نوامبر 2017 (14 آبان 1396) ثبت شده است.
نتیجهگیری
با توجه به محتوای ویدئو و اطلاعات گزارش شده در مورد نسخه های قبلی Foudre، بنظر میرسد که اهداف این بدافزار عمدتا شهروندان ایرانی هستند.
IoCها:
فایلها:
WinRAR SFX c38533b85e4750e6f649cc407a50031de0984a8f3d5b90600824915433a5e218 •
D1 DLL a02ce6768662ef250d248c158f26129dd4dfab30845d07962fbfe7aa19b16db9 •
D2 DLL c7279a32329ebb1ab5c1cdbfbddb5a167e1505340c3ca72e837a222ff92665a6 •
Unknown Binary cef161a220e019acc9ae79924a477c64aac2d6cc04126bb3f4a9f8452515f40f •
MP4 dbed2ca2e9c53dd72c3ed3ce60e603c6c91c80152f924d97d8514781e6d9e26f •
lockbox3 signature d2645d16e869addd099727c3c58438c2f6935d92c00f9e4b237ef498de1dad87 •
سرورهای C&C:
185[.]61[.]154,26 •
ns1[.]cf75d89b[.]space •
ns2[.]cf75d89b[.]space •
Week 32 (Aug 5) – fe19f97f[.]space •
Week 33 (Aug 12) – 891ec9e9[.]space •
Week 34 (Sept 2) – 177a5c4a[.]space •
Week 35 (Sept 9) – 607d6cdc[.]space •
Week 36 (Sept 16) – f8b65751[.]space •
Week 37 (Sept 23) – 8fb167c7[.]space •
Week 38 (Sept 30) – 1f0e7a56[.]space •
Week 39 (Oct 7) – 68094ac0[.]space •
Week 40 (Oct 14) – 1d8bfc20[.]space •
لینک کوتاه:
https://www.akhbaremahramaneh.ir/Fa/News/12258/