شرکتهای ایرانی، در فهرست اهداف Phobos
در روزهای اخیر، گزارشهایی در خصوص مشاهده آلودگی به باجافزار Phobos بر روی سرورهای برخی شرکتهای ایرانی به شرکت مهندسی شبکه گستر واصل شده است.
Phobosکه نخستین نسخه آن در اواخر سال 1397 شناسایی شد، از جمله مخربترین باجافزارهایی است که گردانندگان آن، شرکتها و سازمانها را هدف قرار میدهند.
ارسال هدفمند ایمیلهای فیشینگ، نفوذ از طریق پودمان Remote Desktop – به اختصار RDP – و سوءاستفاده از آسیبپذیریهای امنیتی، اصلیترین روشهای انتشار باجافزار Phobos محسوب میشوند.
گردانندگان باجافزار Phobos برای اعمال فشار بیشتر به قربانی برای پرداخت باج، پیش از رمزگذاری فایلها، اقدام به جمعآوری و آپلود اطلاعات باارزش میکنند. معمولاً فایلهای جمعآوریشده در قالب ZIP و RAR به سامانه FTP تحت کنترل مهاجمان ارسال میشوند.
روش ارتباط با مهاجمان، ایمیل است. هر چند، در مواردی، مهاجمان با سازمان قربانی تماس تلفنی نیز برقرار نمودهاند.
در اکثر مواقع، محل ذخیرهسازی فایل مخرب این باجافزار %AppData% یا %LocalAppData% است.
مهاجمان از فرمان netsh firewall set opmode mode=disable برای غیرفعالسازی دیواره آتش Windows بهره میگیرند.
نگهداری نسخهای از فایل اجرایی باجافزار در پوشه Startup و ایجاد کلید در Run Registry نیز از تیکنیکهای مورداستفاده مهاجمان برای ماندگار نمودن آلودگی بر روی سیستم قربانی هستند.
به گزارش شرکت مهندسی شبکه گستر، Phobos به فایلهای رمزگذاری شده، پسوندی با قالب زیر الصاق میکند:
id[random numbers].[email].extension
در قالب مذکور، قسمت extension یکی از کلمات زیر میتواند باشد:
faust, actin, DIKE, Acton, actor, Acuff, FILE, Acuna, fullz, MMXXII, GrafGrafel, kmrox, s0m1n, qos, cg, ext, rdptest, S0va, 6y8dghklp, SHTORM, NURRI, GHOST, FF6OM6, blue, NX, BACKJOHN, OWN, FS23, 2QZ3, top, blackrock, CHCRBO, G-STARS, faust, unknown, STEEL, worry, WIN, duck, fopra, unique, acute, adage, make, Adair, MLF, magic, Adame, banhu, banjo, Banks, Banta, Barak, Caleb, Cales, Caley, calix, Calle, Calum, Calvo, deuce, Dever, devil, Devoe, Devon, Devos, dewar, eight, eject, eking, Elbie, elbow, elder, phobos, help, blend, bqux, com, mamba, KARLOS, DDoS, phoenix, PLUT, karma, bbc, capital, wallet, lks, tech, s1g2n3a4l, murk, makop, ebaka, jook, logan, fiasko, gucci, decrypt, ooh, non, grt, lizard, flscrypt, sdk, 2023, vhdv, dzen
برای مثال، در یکی از جدیدترین نمونههای این باجافزار در ایران، عبارت زیر به هر فایل رمزگذاری شده چسبانده میشود:
id[????????-????].[vinsulan@tutamail.com].dzen
فهرست ابزارهایی که گردانندگان Phobos در جریان رخنه، گسترش دامنه نفوذ، سرقت اطلاعات و رمزگذاری فایلهای قربانی مورداستفاده قرار میدهند بهشرح زیر است:
SmokeLoader
cmd.exe
Universal Virus Sniffer
Process Hacker
PowerTool
Exec.exe
BCDEdit
SeDebugPrivilege
Bloodhound
Sharphound
Mimikatz
NirSoft
Remote Desktop Passview
WinSCP
Mega.io
vssadmin.exe
WMIC
بکارگیری روشهای پیشگیرانه در مقابله با باجافزارها و مقاومسازی پودمان RDP برای ایمن ماندن از گزند این باجافزار مخرب توصیه میشود.