کد QR مطلبدریافت لینک صفحه با کد QR

بدافزار جدیدی به نام HiddenWasp، سیستم‌های تحت لینوکس را هدف گرفته است

مرکز افتا , 13 خرداد 1398 ساعت 22:33

پژوهشگران امنیتی، بدافزار لینوکسی جدیدی را شناسایی کرده‌اند که به منظور کنترل از راه دور سیستم‌های آلوده مورد استفاده قرار می‌گیرد.



آی‌تی‌من- به گزارش وب‌سایت ZDNet، این بدافزار که HiddenWasp نام دارد، ترکیبی از یک روت‌کیت کاربردی، یک تروجان و یک اسکریپت اجرای عملیات اولیه است. بدافزار دارای ساختار مشابه بدافزار لینوکسی Winnti است که اخیرا شناسایی شده است.

پژوهشگران در بدافزار HiddenWasp مشابهت‌های زیادی را با سایر بدافزارها شناسایی کرده‌اند. به عنوان مثال برخی از متغیرهای محیطی مشاهده شده در HiddenWasp، در یک روت‌کیت منبع باز با نام Azazel نیز استفاده شده‌اند. علاوه بر این، رشته‌های زیادی در این بدافزار وجود دارند که با بدافزار Elknot یکسان هستند. همچنین، ارتباطاتی بین HiddenWasp و روت‌کیت منبع‌باز لینوکس Adore-ng و همینطور بدافزار اینترنت اشیا Mirai نیز مشاهده شده است.
تمامی این موارد نشان می‌دهند که توسعه‌دهندگان بدافزار HiddenWasp، از کدهای سایر پروژه‌ها استفاده کرده‌اند. با این حال، این بدافزار اولین نرم‌افزار مخربی نیست که از کدمنبع سایر بدافزارها استفاده می‌کند.

پژوهشگران اعلام کرده‌اند که بردار اولیه حمله جهت انتشار این بدافزار هنوز مشخص نیست. در واقع HiddenWasp به عنوان payload مرحله دوم منتقل شده است و به منظور کنترل از راه دور سیستم‌های آلوده مورد استفاده قرار می‌گیرد. از قابلیت‌های این بدافزار می‌توان به موارد تعامل با فایل‌های سیستم محلی؛ بارگذاری، بارگیری و اجرای فایل‌ها؛ اجرای دستور در ترمینال و غیره اشاره کرد.

نشانه‌های آلودگی (IoC):
IPها:
•    ۱۰۳,۲۰۶.۱۲۳[.]۱۳
•    ۱۰۳,۲۰۶.۱۲۲[.]۲۴۵
•    http://۱۰۳,۲۰۶.۱۲۳[.]۱۳:۸۰۸۰/system.tar.gz
•    http://۱۰۳,۲۰۶.۱۲۳[.]۱۳:۸۰۸۰/configUpdate.tar.gz
•    http://۱۰۳,۲۰۶.۱۲۳[.]۱۳:۸۰۸۰/configUpdate-۳۲.tar.gz

هش‌ها:
• e۹e۲e۸۴ed۴۲۳bfc۸e۸۲eb۴۳۴cede۵c۹۵۶۸ab۴۴e۷af۴۱۰a۸۵e۵d۵eb۲۴b۱e۶۲۲e۳
 
• f۳۲۱۶۸۵۳۴۲fa۳۷۳c۳۳eb۹۴۷۹۱۷۶a۰۸۶a۱c۵۶c۹۰a۱۸۲۶a۰aef۳۴۵۰۸۰۹ffc۰۱e۵d
 
•  d۶۶bbbccd۱۹۵۸۷e۶۷۶۳۲۵۸۵d۰ac۹۴۴e۳۴e۴d۵fa۲b۹f۳bb۳f۹۰۰f۵۱۷c۷bbf۵۱۸b
 
• ۰fe۱۲۴۸ecab۱۹۹bee۳۸۳cef۶۹f۲de۷۷d۳۳b۲۶۹ad۱۶۶۴۱۲۷b۳۶۶a۴e۷۴۵b۱۱۹۹c۸
 
•  ۲ea۲۹۱aeb۰۹۰۵c۳۱۷۱۶fe۵e۳۹ff۱۱۱۷۲۴a۳c۴۶۱e۳۰۲۹۸۳۰d۲bfa۷۷c۱b۳۶۵۶fc۰
 
• d۵۹۶acc۷۰۴۲۶a۱۶۷۶۰a۲b۲cc۷۸ca۲cc۶۵c۵a۲۳bb۷۹۳۱۶۶۲۷c۰b۲e۱۶۴۸۹bf۸۶c۰
 
• ۶۰۹bbf۴ccc۲cb۰fcbe۰d۵۸۹۱eea۷d۹۷a۰۵a۰b۲۹۴۳۱c۴۶۸bf۳badd۸۳fc۴۴۱۴۵۷۸
 
• ۸e۳b۹۲e۴۹۴۴۷a۶۷ed۳۲b۳afadbc۲۴c۵۱۹۷۵ff۲۲acbd۰cf۸۰۹۰b۰۷۸c۰a۴a۷b۵۳d
 
• f۳۸ab۱۱c۲۸e۹۴۴۵۳۶e۰۰ca۱۴۹۵۴df۵f۴d۰۸c۱۲۲۲۸۱۱fef۴۹baded۵۰۰۹bbbc۹a۲
 
• ۸۹۱۴fd۱cfade۵۰۵۹e۶۲۶be۹۰f۱۸۹۷۲ec۹۶۳bbed۷۵۱۰۱c۷fbf۴a۸۸a۶da۲bc۶۷۱b



 


کد مطلب: 272141

آدرس مطلب :
https://www.itmen.ir/news/272141/بدافزار-جدیدی-نام-hiddenwasp-سیستم-های-تحت-لینوکس-هدف-گرفته

ITMen
  https://www.itmen.ir