باج‌افزار Zeppelin با قابلیت شخصی‌سازی برای مهاجمین

zeppelin ransomware
باج‌افزار Zeppelin نمونه جدیدی از باج‌افزار شناخته شده VegaLocker یا Buran است که هم اکنون در حال آلوده‌سازی سیستم‌های کاربران است.

به گزارش سایت BleepingComputer، این خانواده باج‌افزاری در ابتدا با نام VegaLocker شروع به کار کرد و سپس نام خود را به Buran تغییر داد. باج‌افزار Buran در ماه می ۲۰۱۹ به عنوان یک باج‌افزار در قالب سرویس (Ransomware-as-a-Service) در فروم‌های هکری و بدافزاری برای فروش قرار گرفت. مجرمینی که این باج‌افزار را خریداری کنند ۷۵ درصد از مبلغ باج به آن‌ها تعلق می‌گیرد و ۲۵ درصد آن توسط اپراتور باج‌افزار دریافت می‌شود.
تاکنون ویرایش‌های مختلفی از جمله Jamper از این باج‌افزار منتشر شده است. در حال حاضر آخرین نمونه باج‌افزار VegaLocker با نام Zeppelin توزیع می‌شود.
پژوهشگران امنیتی اخیرا مشاهده کرد‌اند که باج‌افزار Zeppelin شرکت‌های حوزه فناوری اطلاعات و سلامت را هدف قرار داده است. هم اکنون نحوه توزیع باج‌افزار Zeppelin دقیقاً مشخص نیست، اما احتمالاً از طریق سرورهای کنترل از راه دور دسکتاپ که از طریق اینترنت در معرض دسترسی قرار دارند، توزیع شده است.
باج‌افزار پس از شروع به کار، چندین فرایند پردازشی از جمله فرایندهایی که با پایگاه‌های داده، سیستم‌های پشتیبان‌گیری و سرورهای ایمیل در ارتباط هستند را متوقف می‌کند. پس از رمزگذاری فایل‌ها، برخلاف سایر باج‌افزارهای موجود این باج‌افزار هیچ پسوندی را به فایل هدف اضافه نمی‌کند. در عوض در فرمت Hex فایل نام Zeppelin افزوده می‌شود.
 file marker
 

این باج‌افزار دارای قابلیت شخصی‌سازی است و دارای ابزاری است که در اختیار مجرمین سایبری قرار گرفته است. باج‌افزار می‌تواند به عنوان فایل‌هایی چون EXE، DLL یا به صورت اسکریپت PowerShell در سیستم هدف مستقر شود. متن باج‌خواهی نیز در این ابزار قابل ویرایش است.
 ransomware builder
 

در حال حاضر راهی برای بازیابی فایل‌های رمزشده توسط این باج‌افزار کشف نشده است. از این رو توصیه می‌شود با پشتیبان‌گیری منظم خطرات ناشی از این تهدید دفع شوند.


نشانه‌های آلودگی (IoC):


هش:
•    ۰۴۶۲۸e۵ec۵۷c۹۸۳۱۸۵۰۹۱f۰۲fb۱۶dfdac۰۲۵۲b۲d۲۵۳ffc۴cd۸d۷۹f۳c۷۹de۲۷۲۲
•    ۳۹d۸۳۳۱b۹۶۳۷۵۱bbd۵۵۵۶ff۷۱b۰۲۶۹db۰۱۸ba۱f۴۲۵۹۳۹c۳e۸۶۵b۷۹۹cc۷۷۰bfe۴
•    ۴۸۹۴b۱۵۴۹a۲۴e۹۶۴۴۰۳۵۶۵c۶۱faae۵f۸daf۲۴۴c۹۰b۱fbbd۵۷۰۹ed۱a۸۴۹۱d۵۶bf
•    e۲۲b۵۰۶۲cb۵b۰۲۹۸۷ac۳۲۹۴۱ebd۷۱۸۷۲۵۷۸e۹be۲b۸c۶f۸۶۷۹c۳۰e۱a۸۴۷۶۴dba۷
•    ۱f۹۴d۱۸۲۴۷۸۳e۸edac۶۲۹۴۲e۱۳۱۸۵ffd۰۲edb۱۲۹۹۷۰ca۰۴e۰dd۵b۲۴۵dd۳۰۰۲bc
•    d۶۱bd۶۷b۰۱۵۰ad۷۷ebfb۱۹۱۰۰dff۸۹۰c۴۸db۶۸۰d۰۸۹a۹۶a۲۸a۶۳۰۱۴۰b۹۸۶۸d۸۶

کلید رجیستری:
•    HKCU\Software\Zeppelin
GUID:
•    {۹۶۱۳۶۷AF-۲۵۳۸-۷AA۳-CE۰E-۲۰CBF۲F۴۰FD۲}
•    {۴B۷۶FDEB-DA۹A-۲C۵۶-۷۴۶۰-BB۸AB۴۸A۳۴C۵}
•    {۵۶A۶۸۰F۵-۴۹۶F-۸۳۲۸-C۰۸۰-FDF۸۶۶E۸۱۸۳F}
•    {EEDECCF۱-۰۶D۱-۰۳۳۳-۰۳۳۳-۱۰۸۴CF۲۲۱۹BB}
•    {A۳۲۱۰۶۴D-۱۱۷۷-۵C۳۰-۷EE۶-AEFD۴۸۳۰۲DCB}
•    {۸۱۷۳۲۱۳۴-D۳۳۰-۰۵F۵-۳۵FC-۵۷B۲E۸FFB۹۸۳}

آدرس اینترنتی:
•    https[://]iplogger[.]org/۱HVwe۷.png
•    https[://]iplogger[.]org/۱HCne۷.jpeg
•    https[://]iplogger[.]org/۱Hpee۷.jpeg
•    https[://]iplogger[.]org/۱syG۸۷
•    https[://]iplogger[.]org/۱H۷Yt۷.jpg
•    https[://]iplogger[.]org/۱wF۹i۷.jpeg

ایمیل:
•    bad_sysadmin(at)protonmail[.]com
•    Vsbb(at)firemail[.]cc
•    Vsbb(at)tutanota[.]com
•    buratino(at)firemail[.]cc
•    buratino۲(at)tutanota[.]com
•    ran-unlock(at)protonmail[.]com
•    ranunlock(at)cock[.]li
•    buratin(at)torbox۳uiot۶wchz[.]onion

 

منابع :

https://www.bleepingcomputer.com

http://www.afta.gov.ir/

 

افزودن دیدگاه جدید

نظر خودتان را ارسال کنید

کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفا وارد سایت شوید.

طراحی سایت طراحی سایت طراحی سایت طراحی سایت

کلیه حقوق این سایت محفوظ و متعلق به شرکت مهندسی تحقیق و توسعه ارتباط پانا می باشد.

گفتگوی آنلاین