ایران، از جمله اهداف بدافزار NRSMiner

بر طبق گزارشی که شرکت اف‌سکیور آن را منتشر کرده است از اواسط ماه نوامبر سال 2018 کشورهای مختلف از جمله ایران هدف آخرین نسخه از بدافزار NRSMiner قرار گرفته‌اند.

NRSMiner بدافزاری است که از طریق ابزار XMRig اقدام به استخراج ارز رمز مونرو با استفاده از منابع دستگاه آلوده‌شده می‌کند.

به‌منظور انتشار در سطح اینترنت و شبکه سازمان، نویسندگان NRSMiner نسخه جدید آن را مجهز به بهره‌جوی EternalBlue کرده‌اند.

به گزارش شرکت مهندسی شبکه گستر، ماجرای بهره‌جوی EternalBlue به حدود دو سال قبل و انتشار اسناد محرمانه‌ای باز می‌گردد که در جریان آن فایل‌های سرقت شده از یک گروه نفوذگر حرفه‌ای با نام Equation که وابستگی اثبات شده‌ای به “سازمان امنیت ملی” دولت آمریکا (NSA) دارد توسط گروه Shadow Brokers بر روی اینترنت به اشتراک گذاشته شدند. در بین این فایل‌ها، ابزارهایی به چشم می‌خوردند که از یک ضعف امنیتی روز صفر در بخش سیستم عامل Windows که به EternalBlue موسوم شد سوءاستفاده می‌کردند. یک ماه پیش از درز این اطلاعات شرکت مایکروسافت اقدام به عرضه اصلاحیه‌ای با شناسه MS17-010 به‌منظور ترمیم آسیب‌پذیری مذکور – با شناسه CVE-2017-0144 – نموده بود.

باج‌افزار WannaCry نخستین بدافزاری بود که با بکارگیری بهره‌جوی EternalBlue توانست در کمتر از 24 ساعت صدها هزار کامپیوتر آسیب‌پذیر را در کشورهای مختلف به خود آلوده کند.

نکته قابل توجه اینکه علیرغم گذشت نزدیک به دو سال از عرضه اصلاحیه MS17-010 و اطلاع‌رسانی‌ها گسترده در خصوص لزوم نصب آن همچنان بسیاری از سیستم‌ها فاقد اصلاحیه مذکور هستند.

در گزارش اف‌سکیور، ایران پس از ویتنام، بیشترین سهم از آلودگی‌ها به این بدافزار را به خود اختصاص داده که آن را می‌توان نشانه‌ای از تعداد بالای سیستم‌های آسیب‌پذیر فاقد اصلاحیه MS17-010 در سطح کشور دانست.

همچنین نسخه اخیر NRSMiner با بکارگیری بهره‌جوی EternalBlue و پویش درگاه 445 بر روی پودمان TCP دستگاه‌های آسیب‌پذیر را شناسایی کرده و در ادامه درب‌پشتی DoublePulsar را بر روی آنها نصب و اجرا می‌کند. بدین ترتیب علاوه بر به تسخیر درآمدن دستگاه آلوده، خود نیز به ناقل بدافزار در سطح اینترنت و شبکه داخی سازمان مبدل می‌شود.

مشروح گزارش اف‌سکیور در اینجا قابل دریافت است.

لازم به ذکر است که مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای کشور (ماهر) نیز در مطلبی به بررسی گزارش مذکور پرداخته که در اینجا قابل مطالعه است.

توضیح اینکه نمونه‌های اجرایی اشاره شده در گزارش اف‌سکیور با نام‌های زیر قابل شناسایی می‌باشند:

Bitdefender:
   – Gen:Variant.Razy.359050
   – Backdoor.Generic.1022208
   – Trojan.GenericKD.40769514
   – Trojan.GenericKD.40784050
   – Trojan.GenericKD.31359468
   – Trojan.Autoruns.GenericKDS.31357037
   – Trojan.GenericKD.31359478
   – Trojan.Generic.23203522
   – Trojan.Generic.23203480
   – Trojan.Agent.DJEC
   – Trojan.Generic.23202611
   – Gen:Variant.Razy.316755

McAfee:
   – RDN/Autorun.worm.gen
   – RDN/Generic BackDoor
   – Generic.dzx
   – Artemis!B5FC32FE16DD
   – Artemis!D890560F1821
   – Artemis!CE0BB433ACDB
   – Artemis!D21290954D8C
   – Artemis!0D0B48B28E20
   – Artemis!D758AA69BC07
   – RDN/Generic.dx
   – RDN/Generic.grp

Sophos:
   – Troj/Vools-H
   – Mal/Generic-S
   – Troj/Mdrop-IKF

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *