آی‌تی‌من- به گزارش مرکز افتا، به نقل از وب‌سایت Bleeping Computer، این حملات که به گروه TA۵۰۵ نسبت داده شده است، از طریق ایمیل‌های اسپم حاوی اسناد DOC و XLS انجام می‌شوند. بدافزار پس از باز شدن اسناد مخرب، توسط ماکروهای VBA منتقل می‌شود. در برخی از نمونه‌ها از URLهای مخرب که به تروجان FlawedAmmyy RAT منتهی می‌شوند، استفاده شده است.

ویژگی قابل توجه بدافزار Gelup استفاده از مبهم‌سازی و یک تکنیک دور زدن UAC (کنترل حساب کاربری) است. توسعه‌دهندگان Gelup چندین تکنیک مختلف را به منظور جلوگیری از تحلیل و شناسایی فرایند آلودگی طراحی کرده‌اند تا بدافزار تا حد امکان مخفی بماند. برای کسب پایداری در سیستم هدف، بدافزار Gelup یک فرایند را زمانبندی می‌کند که این فرایند یک فایل LNK را در سطل بازیافت (Recycle Bin) سیستم قرار می‌دهد.

روش دیگر برای کسب پایداری، اضافه کردن یک ورودی رجیستری است. پژوهشگران Proofpoint بدافزار دانلودکننده را AndroMut نامگذاری کرده‌اند و چندین همپوشانی بین این بدافزار و بدافزارهای Andromeda و QtLoader کشف کرده‌اند.

بدافزار دوم در این حملات درپشتی FlowerPippi است که دارای قابلیت انتقال payloadهای مخرب دیگر در سیستم هدف است. Payloadها در قالب فایل‌های اجرایی یا DLL هستند. این درپشتی می‌‎تواند اطلاعات رایانه قربانی را استخراج کند و دستورات دلخواه دریافت شده از سرور فرمان و کنترل را اجرا کند.

 

_{نمونه‌ای از اسناد اکسل آلوده به بدافزار}
 

حملات دیگری نیز توسط گروه TA۵۰۵ در هفته‌های گذشته مشاهده شده که تروجان FlawedAmmyy از طریق فایل‌های اکسل مخرب در آن‌ها انتشار یافته است. این حملات توسط پژوهشگران مایکروسافت شناسایی شدند و در آن‌ها از آسیب‌پذیری CVE-۲۰۱۷-۱۱۸۸۲ سوء استفاده شده است.

 

ITMen