شرکت‌های ایرانی، در فهرست اهداف Phobos

در روزهای اخیر، گزارش‌هایی در خصوص مشاهده آلودگی به باج‌افزار Phobos بر روی سرورهای برخی شرکت‌های ایرانی به شرکت مهندسی شبکه گستر واصل شده است.

 Phobosکه نخستین نسخه آن در اواخر سال 1397 شناسایی شد، از جمله مخرب‌ترین باج‌افزارهایی است که گردانندگان آن، شرکت‌ها و سازمان‌ها را هدف قرار می‌دهند.

ارسال هدفمند ایمیل‌های فیشینگ، نفوذ از طریق پودمان Remote Desktop – به اختصار RDP – و سوءاستفاده از آسیب‌پذیری‌های امنیتی، اصلی‌ترین روش‌های انتشار باج‌افزار Phobos محسوب می‌شوند.

گردانندگان باج‌افزار Phobos برای اعمال فشار بیشتر به قربانی برای پرداخت باج، پیش از رمزگذاری فایل‌ها، اقدام به جمع‌آوری و آپلود اطلاعات باارزش می‌کنند. معمولاً فایل‌های جمع‌آوری‌شده در قالب ZIP و RAR به سامانه FTP تحت کنترل مهاجمان ارسال می‌شوند.

روش ارتباط با مهاجمان، ایمیل است. هر چند، در مواردی، مهاجمان با سازمان قربانی تماس تلفنی نیز برقرار نموده‌اند.

در اکثر مواقع، محل ذخیره‌سازی فایل مخرب این باج‌افزار %AppData% یا %LocalAppData% است.

مهاجمان از فرمان netsh firewall set opmode mode=disable برای غیرفعالسازی دیواره آتش Windows بهره می‌گیرند.

 نگهداری نسخه‌ای از فایل اجرایی باج‌افزار در پوشه Startup و ایجاد کلید در Run Registry نیز از تیکنیک‌های مورداستفاده مهاجمان برای ماندگار نمودن آلودگی بر روی سیستم قربانی هستند.

به گزارش شرکت مهندسی شبکه گستر، Phobos به فایل‌های رمزگذاری شده، پسوندی با قالب زیر الصاق می‌کند:

id[random numbers].[email].extension

در قالب مذکور، قسمت extension یکی از کلمات زیر می‌تواند باشد:

faust, actin, DIKE, Acton, actor, Acuff, FILE, Acuna, fullz, MMXXII, GrafGrafel, kmrox, s0m1n, qos, cg, ext, rdptest, S0va, 6y8dghklp, SHTORM, NURRI, GHOST, FF6OM6, blue, NX, BACKJOHN, OWN, FS23, 2QZ3, top, blackrock, CHCRBO, G-STARS, faust, unknown, STEEL, worry, WIN, duck, fopra, unique, acute, adage, make, Adair, MLF, magic, Adame, banhu, banjo, Banks, Banta, Barak, Caleb, Cales, Caley, calix, Calle, Calum, Calvo, deuce, Dever, devil, Devoe, Devon, Devos, dewar, eight, eject, eking, Elbie, elbow, elder, phobos, help, blend, bqux, com, mamba, KARLOS, DDoS, phoenix, PLUT, karma, bbc, capital, wallet, lks, tech, s1g2n3a4l, murk, makop, ebaka, jook, logan, fiasko, gucci, decrypt, ooh, non, grt, lizard, flscrypt, sdk, 2023, vhdv, dzen

برای مثال، در یکی از جدیدترین نمونه‌های این باج‌افزار در ایران، عبارت زیر به هر فایل رمزگذاری شده چسبانده می‌شود:

id[????????-????].[vinsulan@tutamail.com].dzen

فهرست ابزارهایی که گردانندگان Phobos در جریان رخنه، گسترش دامنه نفوذ، سرقت اطلاعات و رمزگذاری فایل‌های قربانی مورداستفاده قرار می‌دهند به‌شرح زیر است:

SmokeLoader

cmd.exe

Universal Virus Sniffer

Process Hacker

PowerTool

Exec.exe

BCDEdit

SeDebugPrivilege

Bloodhound

Sharphound

Mimikatz

NirSoft

Remote Desktop Passview

WinSCP

Mega.io

vssadmin.exe

WMIC

بکارگیری روش‌های پیشگیرانه در مقابله با باج‌افزارها و مقاوم‌سازی پودمان RDP برای ایمن ماندن از گزند این باج‌افزار مخرب توصیه می‌شود.

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *