اخبار محرمانه

آخرين مطالب

هدف شهروندان ایرانی هستند

شاهزاده ایرانی یک بدافزار است سیاسی

  بزرگنمايي:

اخبار محرمانه - نسخه‌های اولیه
گزارش اولیه Palo Alto Networks در سال 2016 منتشر شد که در آن بدافزار Infy تحلیل شده است. در حملات این بدافزار از ایمیل‌های فیشینگ استفاده شده است و این ایمیل‌ها حاوی پیوست‌هایی با فرمت اسناد Word یا PowerPoint مخرب هستند. این فایل‌ها دارای یک فایل آرشیو اجرایی خود استخراج شونده (self-extracting) هستند که پس از اجرا محتوای مخرب را منتقل می‌کنند. در یک نمونه از فایل PowerPoint مخرب، تصویر یک فایل ویدئویی جعلی قرار داده شده که بنظر می‌رسد متوقف شده است، قربانی با کلیک بر روی پخش فیلم، فایل آرشیو را اجرا می‌کند.
در گزارش دوم که در سال 2017 منتشر شد، نسخه تکامل یافته Infy با نام Foudre (به معنای رعد و برق در زبان فرانسوی) بررسی شد. نسخه تکامل یافته Infy نیز با ایمیل‌های فیشینگ با پیوست فایل‌های اجرایی خود استخراج شونده توزیع می‌شود. در صورت اجرا یک بارگذار کننده اجرایی، یک DLL مخرب و یک فایل readme به سیستم قربانی منتقل می‌شود. نسخه تکامل یافته قابلیت‌هایی نظیر keylogger، دریافت محتوای کلیپ‌برد در یک چرخه ده ثانیه‌ای و اطلاعات سیستم شامل لیست فرایندها، آنتی‌ویروس‌های نصب شده، کوکی‌ها و سایر اطلاعات مرورگر را دارد.
نسخه جدید Foudre
مشابه نسخه‌های قبلی، نسخه جدید بدافزار Foudre یعنی نسخه 8 نیز در یک آرشیو WinRAR خود استخراج شونده قرار داده شده است. در این آرشیو چندین فایل اجرایی مخرب و یک فایل ویدئویی وجود دارد. فایل ویدئویی دارای فرمت MP4 و هدف اصلی درج ویدئو در فایل آرشیو منحرف کردن قربانی و نصب بدافزار حین پخش ویدئو است.
بدافزار Foudre یک ابزا با دسترسی از راه دور است که قابلیت‌های اجرای دستور، سرقت اطلاعات سیستم (مانند کلیدهای وارد شده در صفحه کلید، اطلاعات فرایندهای پردازشی و غیره) و بروزرسانی خودکار را دارد. اکثر کد و عملکرد این نسخه مشابه Infy و نسخه‌های قبلی Foudre است. اما چندین ویژگی جدید و منحصر به فرد به آن اضافه شده است.
همانطور که گفته شد در فایل آرشیو WINRAR SFX سه فایل اجرایی وجود دارد. فایل اجرایی اصلی Foudre تقریبا در VirusTotal ناشناخته است و از 67 مورد تنها 3 مورد آن‌را شناسایی می‌کنند.
شاهزاده ایرانی یک بدافزار است
در این نسخه Foudre، 2 ماژول مختلف وجود دارد. ماژول اول (i7234.dll) تابع D1 و ماژول دوم (d388) تابع D2 را در خروجی ارائه می‌دهد. فایل سوم تا کنون در بررسی ها اجرا نشده اما همچنان تحت تحلیل است. فایل فشرده و ماژول D1 تنها یک بار اجرا می‌شوند.
فایل فشرده WINRAR SFX ویژگی‌های زیر را دارد:
1. دارای آیکون ویدئو است.
2. فایل‌های اجرایی را استخراج می‌کند.
3. ماژولD1) i7234.dll) را با rundll32 اجرا می‌کند.
ویژگی‌های ماژول D1:
1. فایل ویدئویی را اجرا می‌کند.
2. در حال اجرا بودن TNRRDPKE2 را بررسی می‌کند.
3. ماژول D2 و کلید آنرا در %APPDATA% کپی می‌کند و یک فایل میانبر با نام an.lnk به آدرس C:\WINDOWS\system32\rundll32.exe a.n D2 838238125 ایجاد می‌کند.
4. فایل‌های گفته شده را از TEMP حذف می‌کند.
5. کلید (D2 (a.n را در HKEY_CURRENT_USER\Software\temp ذخیره می‌کند.
6. در آدرس HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run وجود SnailDriver را بررسی می‌کند.
7. فایل Autorun برای an.lnk را ایجاد می‌کند.
کن مسیر %PROGRAMFILES%\Kaspersky Lab را بررسی می‌کند.
9. ماژول D2 را با rundll32 "C:\WINDOWS\system32\rundll32.exe a.n D2 838238125” اجرا می‌کند.
ویژگی‌های ماژول D2 در جدول زیر ارائه شده است:
شاهزاده ایرانی یک بدافزار است
الگوریتم تولید دامنه استفاده شده در نسخه 8 Foudre تفاوت کمی با نسخه قبلی دارد. الگوریتم نسخه قبلی بصورت زیر است:
ToHex(CRC32("NRV1” + year + month + week_number)) + (".space”|”.net”|”.top”)
الگوریتم نسخه جدید بصورت زیر است که در آن NRV1 با NRTV1 جابجا شده است و .dynu.net به دامنه‌ها اضافه شده است:
ToHex(CRC32("NRTV1” + year + month + week_number)) + (".space”|”.net”|”.top”|”.dynu.net”)
برخی دامنه‌های ساخته شده در بخش IoCهای موجود در انتهای این گزارش ارائه شده‌اند. قدیمی‌ترین دامنه‌ای که با این الگوریتم ساخته شده‌اند در تاریخ 5 نوامبر 2017 (14 آبان 1396) ثبت شده است.
شاهزاده ایرانی یک بدافزار است
نتیجه‌گیری
با توجه به محتوای ویدئو و اطلاعات گزارش شده در مورد نسخه های قبلی Foudre، بنظر می‌رسد که اهداف این بدافزار عمدتا شهروندان ایرانی هستند.
IoCها:
فایل‌ها:
WinRAR SFX c38533b85e4750e6f649cc407a50031de0984a8f3d5b90600824915433a5e218 •
D1 DLL a02ce6768662ef250d248c158f26129dd4dfab30845d07962fbfe7aa19b16db9 •
D2 DLL c7279a32329ebb1ab5c1cdbfbddb5a167e1505340c3ca72e837a222ff92665a6 •
Unknown Binary cef161a220e019acc9ae79924a477c64aac2d6cc04126bb3f4a9f8452515f40f •
MP4 dbed2ca2e9c53dd72c3ed3ce60e603c6c91c80152f924d97d8514781e6d9e26f •
lockbox3 signature d2645d16e869addd099727c3c58438c2f6935d92c00f9e4b237ef498de1dad87 •
سرورهای C&C:
185[.]61[.]154,26 •
ns1[.]cf75d89b[.]space •
ns2[.]cf75d89b[.]space •
Week 32 (Aug 5) – fe19f97f[.]space •
Week 33 (Aug 12) – 891ec9e9[.]space •
Week 34 (Sept 2) – 177a5c4a[.]space •
Week 35 (Sept 9) – 607d6cdc[.]space •
Week 36 (Sept 16) – f8b65751[.]space •
Week 37 (Sept 23) – 8fb167c7[.]space •
Week 38 (Sept 30) – 1f0e7a56[.]space •
Week 39 (Oct 7) – 68094ac0[.]space •
Week 40 (Oct 14) – 1d8bfc20[.]space •

لینک کوتاه:
https://www.akhbaremahramaneh.ir/Fa/News/12258/

نظرات شما

ارسال دیدگاه

Protected by FormShield
مخاطبان عزیز به اطلاع می رساند: از این پس با های لایت کردن هر واژه ای در متن خبر می توانید از امکان جستجوی آن عبارت یا واژه در ویکی پدیا و نیز آرشیو این پایگاه بهره مند شوید. این امکان برای اولین بار در پایگاه های خبری - تحلیلی گروه رسانه ای آریا برای مخاطبان عزیز ارائه می شود. امیدواریم این تحول نو در جهت دانش افزایی خوانندگان مفید باشد.

ساير مطالب

پیام دیگر شاخه نظامی حماس به خانواده‌های اسرای صهیونیستی

دو گزینه کاخ سفید در مقابل اعتراضات دانشجویی

مقایسه تعرفه اینترنت ثابت اپراتورها

ماجرایی تازه برای خریداران طلا؛ مالیات جدید در راه است؟

سوژه داغ هفته؛ از بیماری عجیب ترانه علیدوستی تا ضرر سنگین لژیونر استقلال پس از طلاق همسرش

‌هنرمند اگر رنج نکشیده باشد اثرش عمیق نیست

وقتی دختر شاهرخ استخری مامانش رو سر کار میزاره!

واقعا کی لوبیا پلو بدون برنج سفارش میده؟

گوگل کارمندان حامی فلسطین خود را نقره‌داغ کرد

لحظه واژگون شدن خودروی بن‌گویر با عبور از چراغ قرمز

طعنه سنگین آقای بازیگر به مهران رجبی

‌ مصطفی مستور: در هنرهای روایی مثل داستان و سینما، به ابتذال رسیدیم

شهریه مدارس غیردولتی شفاف می‌شود

المسیره: عربستان مناطق مرزی یمن را هدف حمله موشکی و توپخانه‌ای قرار داد

چین : ناتو مسئول اصلی جنگ اوکراین است

هنرمندان ما غالبا جهان‌بینی و تفکر نظام‌مند منسجم ندارند

خبری از سلامتی زهره حمیدی

جوانه دلشاد از حواشی مهاجرتش می گوید

اردوغان: رادار ناتو در ترکیه نقشی در رهگیری موشک‌های ایران به‌سوی اسرائیل نداشت

امیر آشتیانی در دیدار با وزیر دفاع قزاقستان: ایران آماده گسترش همکاری‌های دو جانبه دفاعی است

پیش‌ بینی قیمت طلا و سکه 8 اردیبهشت 1403

برخورد خشونت‌آمیز پلیس آلمان با دانشجویان حامی فلسطین

لایو سارا و نیکا در مورد سریال پایتخت

واکنش جمیله علم‌الهدی درباره اخبار مربوط به برخورد بد با زنان در ایران

وزیر خارجه پاکستان: سفر رئیسی حائز اهمیت است

اینجوری چتری مدل کره ای ها بزن

اسرائیل سرگردان در بحران

حادثه برای وزیر تندروی رژیم صهیونیستی؛ «بن گویر» راهی بیمارستان شد

حمله موشکی به میدان گازی سلیمانیه عراق

اعتراض دانشجویان حامی فلسطین در شهرهای انگلیس

لحظه اصابت موشک ارتش یمن به پهپاد آمریکایی MQ-9

هشدار رئیس جمهور فرانسه به اروپا: نباید دست نشانده آمریکا باشیم

تسلط صهبا شرافتی بازیگر نون خ به زبان کره ای

واگذاری زمین به 177 خانوار ایثارگر آذربایجان شرقی

چرا پوتین در جنگ اوکراین از سلاح هسته‌ای استفاده نمی کند؟

بانک مرکزی: کاهش نرخ رشد 12 ماهه نقدینگی تداوم دارد

ین ژاپن باز هم سقوط کرد

ریمارامین فر در بیست و شش سالگی

آقای مجری من کی ازدواج میکنم؟

چهره ها/ چهره کاملا متفاوت بازیگر نقش کولبر سریال "نون خ" بدون گریم

واکنش ابطحی به تجمع برخی روحانیون قم با لباس نظامی

دفاع عجیب عضو حزب موتلفه از عملکرد اقتصادی دولت رئیسی: کسی اعتراضی ندارد

شهادت 2 تن در حمله پهپادی رژیم صهیونیستی به شرق لبنان

پشت صحنه سریال گناه فرشته

پاسخ معاون پارلمانی رئیس‌جمهور به انتقادات ارزی قالیباف

هدیه نفیس آمریکا به اوکراین

وقوع حادثه امنیتی در جنوب یمن

چهره ها/ مجیدواشقانی و امیرعلی نبویان در یک قاب

پیروزی پرگل دختران ایران برابر تاجیکستان

استفاده از کولر گازی چه میزان قبض برق را افزایش می‌دهد؟

© - www.akhbaremahramaneh.ir . All Rights Reserved.

چاپ ایرانیان کمپانی