انتشار تروجان FlawedAmmyy

به گزارش کارگروه حملات سایبری سایبربان؛ پژوهشگران امنیتی Proofpoint حملات گسترده ای را شناسایی کرده اند که در این حملات مهاجمین صدها هزار ایمیل مخرب حاوی اسناد PDF مخرب را ارسال می کنند. کارشناسان حملات را به گروه TA۵۰۵ نسبت داده اند که این گروه در حال انتشار تروجان راه دور (RAT) FlawedAmmyy است. فایل های PDF ارسال شده حاوی فرمت مخرب SettingContent-ms هستند. فرمت فایل SettingContent-ms به منظور ایجاد میانبر برای صفحات تنظیمات در ویندوز ۱۰ پیاده سازی شده است.
این فایل Control Panel را برای کاربر باز می کند. کارشناسان متوجه شده اند که در الگوی این فایل المان <DeepLink> وجود دارد. از طریق این المان، مهاجم می تواند control.exe را با هر اسکریپت مخرب دیگری جابجا کند که از این طریق می تواند بدون دخالت کاربر، هر دستوری از قبیل cmd.exe و PowerShell را اجرا کند. کارشناسان دریافتند که فایل SettingContent-ms مخرب می تواند مکانیزم های امنیتی ویندوز ۱۰ مانند ASR و شناسایی فرمت های خطرناک OLE جاسازی شده را دور بزند.
با توجه به اینکه فایل PDF تلاش می کند تا downl.SettingContent-ms جاسازی شده را از طریق جاوااسکریپت اجرا کند، زمانی که قربانی فایل PDF را باز کند، Adobe Reader یک پیغام هشدار مبنی بر باز کردن فایل را نمایش می‌دهد. کارشناسان می گویند که پیغام هشدار برای هر فرمتی که در یک PDF جاسازی شده باشد و نه فقط برای فایل های SettingContent-ms، نمایش داده می شود. اگر قربانی روی گزینه OK کلیک کند، دستور PowerShell درج شده در المان <DeepLink>، تروجان FlawedAmmyy را دانلود و اجرا می کند. این تروجان از سال ۲۰۱۶ فعال است.
تروجان FlawedAmmyy ویژگیهای معمول درهای پشتی را دارا است. این تروجان به مهاجم اجازه می دهد تا فایل ها را مدیریت کند، از صفحه عکس بگیرد، از راه دور ماشین را کنترل کند، سرویس نشست RDP را ایجاد کند و غیره. براساس پیام های ایمیل و بدنه تروجان، کارشناسان این حملات را به گروه TA۵۰۵ نسبت داده اند. این گروه در سایر حملات سایبری نیز نقش داشته است. آنها در گذشته از بات نت Necrus استفاده کرده اند تا بدافزارهایی چون باج افزار Locky و Jaff و تروجان بانکی Dridex را ارسال کنند.