مایکروسافت هشداری امنیتی راجع به یک ابزار دسترسی از راه دور (RAT) با نام RevengeRAT صادر کرده است که میگوید برای هدف قراردادن بخشهای هوافضا و توریسم با ایمیلهای فیشینگ استفاده شده است.
RevengeRAT که همچنین بهعنوان AsyncRAT شناخته میشود، از طریق پیامهای الکترونیکی ساخته شده با دقت ارسال میشود که کارکنان را وادار میکند پروندهای را که بهعنوان پیوست فایل Adobe PDF مخفی میشود ، باز کنند که در واقع یک فایل بصری مخرب (VB) را بارگذاری میکند.
Morphisec
شرکت امنیتی Morphisec اخیراً دو RAT را بهعنوان بخشی از سرویس Crystal-as-a پیچیده ارائه میدهد که چندین خانواده RAT را ارائه میدهد. طبق گفته مایکروسافت، ایمیلهای فیشینگ یک لودر را توزیع می کنند که سپس RevengeRAT یا AsyncRAT را جایگذاری مینماید. Morphisec میگوید که ایجنت تسلا RAT را نیز تحویل میدهد.
مایکروسافت اعلام نموده این کمپین مخرب از ایمیلهایی استفاده میکند که سازمانها و شرکتهای هوایی، توریسم یا حملونقل را هدف قرار داده و فریب میدهد. تصویری که به عنوان یک فایل PDF ظاهر میشود ، حاوی یک پیوند(لینک) تعبیه شده (به طور معمول سو استفاده از سرویسهای وب قانونی) است که یک VBScript مخرب را بارگذاری میکند. Morphisec سرویس رمزگذاری را “Snip3” بر اساس نام کاربری برگرفته از بدافزاری که در نسخههای قبلی پیدا کرده بود ، نامید.
Snip3 بهگونهای پیکربندی شده است که RAT در صورت مشاهده اینکه در Sandbox Windows اجرا میشود ، بارگیری نمیشود. یک ویژگی امنیتی ماشین مجازی که مایکروسافت در سال 2018 معرفی کرده است.
در صورتی که PowerShell توسط [مهاجم] پیکربندی شود، توابعی را اجرا میکند که سعی میکند تشخیص دهد آیا اسکریپت در محیط Microsoft Sandbox ، VMWare ، VirtualBox یا Sandboxie اجرا شده است یا خیر. اگر اسکریپت یکی از محیطهای ماشین مجازی را شناسایی کند ، اسکریپت بدون بارگیری RAT بارگیری میشود. اما اگر RAT ها نصب شده باشند، آنها به سرور فرمان و کنترل (C2) متصل میشوند و بدافزارهای بیشتری را از سایتهای paste مانند pastebin.com بارگذاری میکنند.
RAT ها به سرقت اطلاعات ، ویدئوها و تصاویر از وب کم کاربران و هرآنچه که در کلیپ بورد سیستم برای جایگذاری در محل دیگری کپی شده است، معروف هستند. RAT ها به یک سرور C2 میزبانی شده در یک سایت میزبان پویا متصل میشوند، و سپس از PowerShell کدگذاری شده با UTF-8 و تکنیکهای بدون پرونده برای بارگیری سه مرحله دیگر از pastebin [.] com یا سایتهای مشابه دیگر استفاده میکنند.
این تروجانها به طور مداوم اجزای سازنده را مجدداً اجرا میکنند تا زمانی که بتوانند فرایندهایی مانند RegAsm ، InstallUtil یا RevSvcs را تزریق ( inject ) کنند. مایکروسافت برخی از راهحلها را در GitHub منتشر کرده است که اگر تیمهای امنیتی این خطرات را در شبکه خود شناسایی کنند ، میتوانند از آنها استفاده کنند.
[/av_textblock] [av_one_full first min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ row_boxshadow=” row_boxshadow_color=” row_boxshadow_width=’10’ link=” linktarget=” link_hover=” padding=’0px’ highlight=” highlight_size=” border=” border_color=” radius=’0px’ column_boxshadow=” column_boxshadow_color=” column_boxshadow_width=’10’ background=’bg_color’ background_color=” background_gradient_color1=” background_gradient_color2=” background_gradient_direction=’vertical’ src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_breaking=” mobile_display=” av_uid=’av-kw5bhw’] [av_hr class=’custom’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=’#7bb0e7′ icon=’ue857′ font=’entypo-fontello’ av_uid=’av-kk8jxbw4′ custom_class=” admin_preview_bg=”] [av_icon_box position=’top’ icon_style=” boxed=” icon=’ue81f’ font=’entypo-fontello’ title=” link=” linktarget=” linkelement=” font_color=” custom_title=” custom_content=” color=” custom_bg=” custom_font=” custom_border=” av-medium-font-size-title=” av-small-font-size-title=” av-mini-font-size-title=” av-medium-font-size=” av-small-font-size=” av-mini-font-size=” av_uid=’av-kk8jy12r’ custom_class=” admin_preview_bg=”]