۰

اکسپلویت‌کیت جدید Capesand، جعبه ابزاری مجهز و قدرتمند در ادامه عملیات اکسپلویت‌کیت Rig

تاریخ انتشار
سه شنبه ۲۱ آبان ۱۳۹۸ ساعت ۱۷:۱۲
اکسپلویت‌کیت Capesand
اکسپلویت‌کیت Capesand

آی‌تی‌من- به گزارش مرکز افتا، به نقل از TrendMicro، این اکسپلویت‌کیت در ماه اکتبر در یک عملیات انتشار بدافزار کشف شده است. در این عملیات ابتدا از اکسپلویت کیت معروف Rig برای انتقال بدافزارهای DarkRAT و njRAT استفاده شده بود. اما در ادامه مجرمان سایبری ابزارهای مورد استفاده خود را تغییر دادند و از اکسپلویت کیت جدید Capesand استفاده کردند.


پنل اکسپلویت‌کیت Capesand 

اکسپلویت کیت Capesand در مقایسه با سایر کیت‌ها بسیار ساده‌تر است. تقریباً تمام عملکردهای Capesand از کدهای منبع باز استفاده می‌کنند، از جمله عملکردهای اکسپلویت، مبهم‌سازی و تکنیک‌های بسته‌بندی و فشرده‌سازی. بررسی‌های بیشتر نشان داد که علی رغم وضعیت ناتمام آن، کاربران در حال استفاده از آن هستند.

الگوی ترافیک اکسپلویت‌کیت Capesand 

کدمنبع ظاهر Capesand نیز از یک اکسپلویت کیت قدیمی به نام Demon Hunter کپی‌برداری شده است. مجرمان سایبری با ایجاد یک صفحه بلاگ جعلی در موضوع بلاکچین و قرار دادن یک کد iframe مخفی در آن، این اکسپلویت کیت را بارگذاری کردند.

نمونه صفحه جعلی کپی‌برداری شده از Blockchain Blog


 





 


 
کدهای iframe مخفی جاسازی‌شده در صفحه جعلی برای بارگذاری اکسپلویت کیت Rig (تصویر بالا) و بارگذاری اکسپلویت کیت Capesand (تصویر پایین)

آسیب‌پذیری‌هایی که در این اکسپلویت کیت جدید مورد هدف مهاجمان سایبری هستند شامل CVE-۲۰۱۸-۴۸۷۸ (آسیب‌پذیری در Adobe Flash) و CVE-۲۰۱۸-۸۱۷۴ و CVE-۲۰۱۹-۰۷۵۲ (آسیب‌پذیری‌های مرورگر Internet Explorer) هستند. در برخی از نمونه‌های مشاهده شده، آسیب‌پذیری قدیمی CVE-۲۰۱۵-۲۴۱۹ در مرورگر Internet Explorer و آسیب‌پذیری CVE-۲۰۱۸-۱۵۹۸۲ در Adobe Flash نیز مورد هدف بوده است.

دیاگرام زنجیره رخدادها پس از بارگذاری اکسپلویت کیت Capesand

اکسپلویت کیت Capesand هنگام انتقال یک اکسپلویت، یک در خواست به سرور API خود ارسال می‌کند و اطلاعاتی از جمله نام اکسپلویت درخواست شده، آدرس IP قربانی، نوع مرورگر قربانی و غیره را به آن ارسال می‌کند. این اطلاعات توسط الگوریتم AES رمزگذاری می‌شوند و سپس payload مورد درخواست، در پاسخ سرور به سیستم قربانی منتقل می‌شود. فایل‌های اولیه انتقال یافته به سیستم قربانی mess.exe و njcrypt.exe هستند.



نشانه‌های آلودگی (IoC):

URL و IPها:
    blockchainblog[.]club ►
  blockchainblogger[.]club ►
   shophandbag[.]store ►
 http[:]//۱۳۸[.]۶۸[.]۱۵[.]۲۲۷/njcrypt.exe ►
  http[:]//۱۹۸[.]۱۹۹[.]۱۰۴[.]۸/njcrypt.exe ►
 http[:]//www[.]blockchainblogger[.]club/njcrypt.exe ►
 ۱۳۸[.]۶۸[.]۱۵[.]۲۲۷ ►
 ۱۰۷[.]۱۶۷[.]۲۴۴[.]۶۷ ►


هش‌ها:
 
۶۲۸۸de۶۶۲d۶dd۱a۵۷e۹۹cf۸b۹۲۵۹eef۴۶۷c۴۶۱e۳۷۸d۴۳۱fc۵۳۲۴۳ecede۱۵۵b۳۸  ►
a۸۳۹۱b۰۸۴۷۸ba۳۳۳bfc۷f۳۷۷d۵ee۷b۰a۶۹۷b۶۳۸e۹۹۸۷a۶db۶۱۴c۷f۱۹۲b۲۲a۳۸۴  ►
۷۹f۲۲۵۰d۱۰ebf۸۳۳۵۲b۷۷۱۵c۳۰b۶۰cecea۱۴c۷edd۹۴fb۱۶۴afb۹۳۵۳f۴f۹۱b۰۳۸  ►
۱f۱bb۹۸b۷e۴e۲۳۹۱۳ff۲۵b۵۰d۱ffd۴۴e۶ef۴۴۷۰۵۳۱۸۸eca۲۵۵d۹bd۰۳۷۸۶۰۲۶۲۵  ►
eb۱be۳f۰۰e۹۳a۷dfcca۵۶۳e۵۶۴ab۷d۷۳۱۹۶۷۶۱۶۱b۵۶۰۳۹f۴۹۶۸ceddf۷۹۱d۱۱۰a  ►
۸e۴d۲۴eeb۵۶d۵۰d۱۱۳۳۸a۶۵aef۱e۶a۸۸d۷ccf۶ca۳۴۷۴۱۹۹۶۳dd۲۰۱f۳۸ae۶bcea  ►
۵۵۹f۲۳۸۳۲f۵b۱۱۵fc۶۱۶۹ed۷f۹ac۷۵۵۱۸ec۵۸b۷f۵d۷۲۰۶e۹be۴afc۲ecfd۷۱۵۲f  ►
b۰۰cc۹a۴۲۹۲fc۵cc۴ae۵۳۷۱ea۱۶۱۵ec۶e۴۹ebaf۰۶۱dc۴eccde۸۴a۶f۹۶d۹۵۷۴۷c  ►

 
کد مطلب : ۲۷۳۰۵۲
ارسال نظر
نام شما

آدرس ايميل شما