info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

تروجان کنترل راه دور FlawedAmmy

خلاصه: مهاجمان تروجان کنترل از راه دور FlawedAmmyy را از طریق عامل تهدید TA505 توزیع می‌کنند. این کمپین ایمیلی در تاریخ ۵ و ۶ مارس ۲۰۱۸ اتفاق افتاده است و حاوی پیوست‌های زیپ‌شده‌ای است که کد جاوااسکریپتی را از سرور مهاجمان دانلود و اجرا می‌کند. تروجان FlawdAmmyy بر پایه‌ی کد منبع منتشرشده‌ی ابزار Ammy Admin است.

 

مهاجمان تروجان کنترل از راه دور FlawedAmmyy را از طریق عامل تهدید TA505 توزیع می‌کنند. TA505 از زمان کمپین‌های توزیع اسپم مانند تروجان بانکی Dridex، باج‌افزار Locky و باج‌افزار Jaff شناخته شده است.

این کمپین ایمیلی در تاریخ ۵ و ۶ مارس ۲۰۱۸ اتفاق افتاده است و حاوی پیوست‌های زیپ‌شده‌ای است که کد جاوااسکریپتی را از سرور مهاجمان دانلود و اجرا می‌کند.

فایل زیپ‌شده‌ی پیوست حاوی فایل‌های .url است که سایت‌های اینترنتی را شامل می‌شود و مرورگر پیشفرض را به‌صورت اتوماتیک راه‌اندازی می‌کند، در این کمپین، مهاجمان از file:// به‌جای HTTP:// استفاده کرده‌اند.

بنابراین در این مورد فایل مخرب به‌جای راه‌اندازی مرورگر، به‌صورت مستقیم از طریق SMB دانلود می‌شود. سپس فایل جاوااسکریپت، Quant Loader را دانلود می‌کند و پیلود نهایی یعنی تروجان دسترسی راه دور FlawedAmmyy از این طریق دانلود می‌شود.

در تلاش‌های قبلی مهاجمان در تاریخ ۱ مارس، تروجان کنترل راه دور FlawedAmmyy را از طریق ماکروهای اسناد آفیس به‌صورت مستیقیم توزیع کردند.

تروجان FlawdAmmyy بر پایه‌ی کد منبع منتشرشده‌ی ابزار Ammy Admin است. این تروجان شامل توابع زیر است:

Remote Desktop control

File system manager

Proxy support

Audio Chat

مهاجمان از کد منبع افشا شده Ammyadmin V3 سوءاستفاده کرده و تروجان FlawedAmmyy را توسعه داده‌اند. این تروجان کنترل کامپیوتر را در دست گرفته،داده‌ها و اطلاعات اختصاصی‌ای را می‌دزدد.