به گفته محققان، اپراتورهای باجافزار Black Kingdom شرکتهای بزرگی که در شبکههای خود از نسخه قدیمی Plus VPN استفاده میکنند را هدف قرار داده است و با این روش دسترسی اولیه مورد نیازشان را ایجاد میکنند.
این بدافزار در دام یکی از هانیپاتها گرفتار شد و فرصت بررسی بیشتر آن برای محققان فراهم گردید.
نحوه کار بدافزار:
در این کمپین از آسیبپذیری CVE-۲۰۱۹-۱۱۵۱۰ بهرهجویی شده که این آسیبپذیری در نسخههای قدیمی Plus VPN وجود داشته و در آوریل ۲۰۱۹، پچ رفع ایراد آن منتشر شدهاست. برخی شرکتها، با وجود انتشار اسناد این آسیبپذیری، از بروزرسانی کردن اپلیکیشن خودداری کردند. این امر هشدارهای جدی دولت آمریکا را در پی داشت و موجب افزایش سوءاستفاده برخی عوامل از آن گردید. برخی از سازمانها هنوز هم از نسخههای آسیبپذیر این نرمافزار استفاده میکنند.
شرکتها امنیتی هلندی به نام Redteam.pl شاهد حملهای بودند که در آن اپراتورهای Black Kingdom با استفاده از حفره امنیتی Plus VPN به شبکهای مجازی که فکر میکردند قربانی واقعی آنهاست، حمله کردند.
بنابه گفته این تیم تحقیقاتی، پس از اینکه بدافزار وارد شبکه یا سیستم قربانی شد، خود را به عنوان یکی از فعالیتهای برنامهریزیشده اپلیکیشن Google Chrome معرفی میکند.
به گفته این تیم، فعالیت یاد شده دستوری که با رشته Base64 کدگذاری شده را اجرا میکند که طبق نظر تیم ReadTeam.PL میتواند یک ترمینال پاورشل معکوس را بر روی سیستم قربانی اجرا کند.
IP مربوط به سرور هکر ها ۱۹۸.۱۳.۴۹.۱۷۹ بوده که یک VPS ارزان قیمت میباشد و توسط هکرها مورد استفاده قرار میگیرد.
سه دامنه به این IP متصل است که دامنه سوم به چند سرور انتشار بدافزار اندروید و استخراج رمز ارز در آمریکا و ایتالیا متصل است.
- host.cutestboty.com
- keepass.cutestboty.com
- anno1119.com
باجافزار Black Kingdom برای اولین بار در فوریه دیده شد. در این کمپین پس از رمزنگاری، فایلها با پسوند .DEAMON بر روی سیستم قربانی ذخیره میشد.
در نمونههای تحلیل شده از این کمپین مشاهده گردید که بدافزار با همان IP گزارش شده توسط تیم REDTEAM ارتباط برقرار کردهاند. متن زیر پیامی است که به قربانی ارسال شده است. در این پیام از قربانی خواستهشده که به کیف پول رمزارز یاد شده در متن، به ارزش ۱۰ هزار دلار، بیت کوین واریز شود، همچنین در ادامه پیام نوشته شده که در صورت عدم پرداخت هزینه، اطلاعات قربانی حذف و فروخته خواهد شد.
هنوز نظری ثبت نشده است. شما اولین نظر را بنویسید.