بررسی تروجان مخرب Volgmer

کمیته رکن چهارم -مهاجمان در قالب گروهی به نام «کبرای پنهان» (HIDDEN COBRA) ،این تروجان را منتشر کرده‌اند.

 

پس از ارائه هشدارهای مشترک وزارت امنیت داخلی و پلیس فدرال آمریکا در رابطه با فعالیت باج افزارها مشخص شد که باج افزار «Volgmer» فعالیت مخرب خود را روی زیرساخت‌هایی مانند آدرس‌های اینترنتی (IP) و سایر شاخص‌های ارتباطی اجرا کرده است. مجدداً دولت آمریکا، کره شمالی را مقصر اصلی و سازنده این تروجان اعلام کرده است. در این میان سیستم‌های شبکه از مهم‌ترین تجهیزات و زیرساخت‌های تحت حمله توسط این تروجان شناخته ‌شده‌اند.
مهاجمان در قالب گروهی به نام «کبرای پنهان» (HIDDEN COBRA)، این تروجان را منتشر کرده‌اند.

توضیحات بیشتر
تروجان نام‌برده به‌عنوان یکی از درب پشتی‌های مورداستفاده در زیرساخت‌ها به شمار می‌رود که برای دسترسی پنهان به سیستم‌های آسیب‌دیده طراحی ‌شده است. این در حالی است که سازندگان این بدافزار از قابلیت‌های تروجان ساخته‌شده، زیرساخت‌های صنایع دولتی، مالی، خودرویی و رسانه‌ای را تحت حملات خود قرار داده‌اند. بررسی‌های انجام‌شده حاکی از آن است که بدافزار نام‌برده فعالیت خود را در وهله اول با استفاده از حملات فیشینگ اجرا می‌کند.
پس از شناسایی IP آدرس‌های استاتیک موجود در زیرساخت‌های سیستم شبکه مشخص شد که بدافزار نام‌برده با استفاده از نفوذ به حداقل ۹۴ آدرس مختلف و آدرس‌های پویا، فعالیت خود را در کشورهای مختلف اجرا کرده است که در زیر بیشترین درصد استفاده از این آدرس‌ها را نشان داده‌شده است.
•    هند، ۷۷۲ آدرس ۲۵٫۴ درصد
•    ایران، ۳۷۳ آدرس ۱۲٫۳ درصد
•    پاکستان، ۳۴۳ آدرس، ۱۱٫۳ درصد
•    عربستان سعودی، ۱۸۲ آدرس، ۶ درصد
•    تایوان، ۱۶۹ آدرس، ۵٫۶ درصد
•    تایلند، ۱۴۰ آدرس ۴٫۶ درصد
•    سریلانکا، ۱۲۱ آدرس، ۴ درصد
•    چین، ۸۲ آدرس که سهم هنگ‌کنگ ۱۲ آدرس با ۲٫۷ درصد
•    ویتنام، ۸۰ آدرس،۲٫۶ درصد
•    اندونزی، ۶۸ آدرس، ۲٫۲ درصد
•    روسیه، ۶۸ آدرس، ۲٫۲ درصد

جزییات فنی
ازجمله توانایی‌های این بدافزار می‌توان به جمع‌آوری اطلاعات سیستم، به‌روزرسانی کلیدهای رجیستری سرویس، بارگیری و آپلود فایل‌ها، اجرای دستورات اشاره کرد و همچنین در آخرین بررسی‌ها، کنترل بوت را نیز می‌توان به قابلیت‌های این بدافزار اضافه کرد.
محتویات «Volgmer» در فرم ۳۲ بیتی به‌عنوان فایل‌های قابل اجرا یا کتابخانه پویا (dll.) مشاهده شده است. این بدافزار با استفاده از یک پروتکل باینری سفارشی، برای بازگشت به سرور کنترل و فرمان (C2) که اغلب از طریق پورت TCP 8080 یا ۸۰۸۸ هست- استفاده می‌کند. همچنین تروجان فوق، برای ایجاد اختلال در ارتباطات از رمزگذاری SSL استفاده می‌کند.

منبع : سایبربان

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد.


Type The Blue Captcha Characters Below.