نحذر المستخدمين الذين قاموا بتنزيل برنامج الوصول عن بعد Ammyy Admin من الموقع الرسمي في 13-14 يونيو. تم اختراق الموقع ؛ في هذه الفترة الزمنية ، تم توزيع نسخة طروادة من البرنامج منه. تحذير آخر: استخدم المهاجمون العلامة التجارية لكأس العالم لإخفاء نشاط الشبكة الخبيث.
في أكتوبر 2015 ، تم بالفعل استخدام موقع يقدم نسخة مجانية من Ammyy Admin لتوزيع البرامج الضارة.
نربط الهجوم السابق
مع cybergroup Buhtrap الشهير . الآن القصة تكرر نفسها. أصلحنا المشكلة بعد منتصف الليل بقليل في 13 يونيو ، واستمر توزيع الملفاري حتى صباح 14 يونيو.
الإدارة عن بعد و Kasidet bot مضمنة
تلقى المستخدمون الذين قاموا بتنزيل Ammyy Admin في 13-14 يونيو حزمة من البرامج الشرعية وأحصنة طروادة متعددة الأغراض التي تم الكشف عنها بواسطة منتجات ESET باسم Win32 / Kasidet. نوصي الضحايا المحتملين بفحص الأجهزة باستخدام منتج مضاد للفيروسات.
Win32 / Kasidet هو روبوت يباع على darknet ويستخدم بنشاط من قبل مجموعات الإنترنت المختلفة. اكتشف التجميع على ammyy.com في 13 و 14 يونيو 2018 ، وظيفتين:
1. سرقة الملفات التي قد تحتوي على كلمات مرور وبيانات تفويض أخرى لمحافظ العملة المشفرة وحسابات الضحايا. تحقيقا لهذه الغاية ، تبحث البرامج الضارة عن أسماء الملفات التالية وترسلها إلى خادم C & C:
- بيتكوين
- pass.txt
- passwords.txt
- wallet.dat
2. البحث عن العمليات بأسماء معينة:
- armoryqt
- بيتكوين
- النزوح
- الكتروم
- jaxx
- Keepass
- كيتي
- mstsc
- متعدد
- معجون
- رادمن
- فسبير
- winscp
- إكسشيل
يعد عنوان URL الخاص بخادم C & C (hxxp: // fifa2018start [.] Info / panel / task.php) موضع اهتمام أيضًا. يبدو أن المهاجمين قرروا استخدام العلامة التجارية لكأس العالم لإخفاء نشاط الشبكة الخبيث.
وجدنا أوجه شبه لهجوم 2015. ثم استخدم المهاجمون ammyy.com لتوزيع العديد من عائلات البرمجيات الخبيثة ، وتغييرها كل يوم تقريبًا. في عام 2018 ، تم توزيع Win32 / Kasidet فقط ، ولكن تم تغيير تشويش الحمولة الصافية في ثلاث حالات ، ربما لتجنب الكشف عن طريق منتجات مكافحة الفيروسات.
تشابه آخر بين الحوادث هو الاسم المتطابق للملف الذي يحتوي على الحمولة -
Ammyy_Service.exe . قد يبدو مثبت AA_v3.exe محملًا شرعيًا للوهلة الأولى ، لكن المهاجمين استخدموا
Ammyy_Service.exe ملفًا ثنائيًا جديدًا يعيد تعيين
Ammyy_Service.exe قبل تثبيت Ammyy Admin.
الاستنتاجات
نظرًا لأن هذه ليست المرة الأولى التي يتم فيها اختراق ammyy.com ، فإننا نوصي بتثبيت حل موثوق لمكافحة الفيروسات قبل تنزيل Ammyy Admin. أبلغنا مطوري Ammyy Admin حول المشكلة.
Ammyy Admin هي أداة مشروعة ، لكن المهاجمين استخدموها في كثير من الأحيان. ونتيجة لذلك ، تكتشفه بعض منتجات مكافحة الفيروسات ، بما في ذلك ESET ، على أنها تطبيق غير مرغوب فيه. ومع ذلك ، لا يزال هذا البرنامج مستخدمًا على نطاق واسع ، على وجه الخصوص ، في روسيا.
مؤشرات التسوية
كشف ESETWin32/Kasidetتجزئات SHA-1المثبت
6D11EA2D7DC9304E8E28E418B1DACFF7809BDC27
6FB4212B81CD9917293523F9E0C716D2CA4693D4
675ACA2C0A3E1EEB08D5919F2C866059798E6E93Win32 / Kasidet
EFE562F61BE0B5D497F3AA9CF27C03EA212A53C9
9F9B8A102DD84ABF1349A82E4021884842DC22DD
4B4498B5AFDAA4B9A2A2195B8B7E376BE10C903Eخادم C & Cfifa2018start[.]info