به گزارش حوزه دنیای ارتباطات گروه فضای مجازی باشگاه خبرنگاران جوان، این بدافزار که به نام Farseer شناخته می‌شود، با HenBox، بدافزار جاسوسی سایبری که در سال ۲۰۱۸ در حملات علیه سیستم‌عامل اندروید گوگل شناسایی شد، مرتبط است. HenBox در برنامه‌های مخرب اندروید از جمله سرویس‌های شبکه اختصاصی مجازی (VPN) و برنامه‌های سیستمی پنهان می‌شود.

به نقل از وب‌سایت ZDNet، بدافزار HenBox در ابتدا گروه Uyghur را هدف قرارداده تا اطلاعاتی را از جمله اطلاعات شخصی و دستگا‌ه‌ها را سرقت‌ کند. این بدافزار قابلیت نفود به دوربین‌ها و میکروفون‌های گوشی‌های هوشمند را نیز دارد. این بدافزار در حملات سیاسی و هدفمند استفاده شده ‌است و گروه مهاجم پشت‌پرده HenBox از بدافزارهای سال ۲۰۱۵ نظیر PlugX، Zupdax، ۹۰۰۲ و Poison Ivy استفاده می‌کنند.

این بدافزار عموما متمرکز بر گوشی‌های هوشمند بوده و هکرها افق فعالیت خود را با ایجاد Farseer گسترش داده‌اند. این بدافزار از طریق کمپین‌های فیشینگ و فایل‌های مخرب pdfکه با تاکتیک‌های مهندسی اجتماعی از طریق کپی و چسباندن تعدادی مقالات خبری منتشر شده توزیع می‌شود.
Farseer با استفاده ازDLL های شناخته‌شده و مجاز، از برنامه‌های قابل‌اعتماد فروشندگان از جمله مایکروسافت استفاده می‌کند و از این رو توسط ضدویروس‌های قدیمی‌تر شناسایی نمی‌شود. payloadهای مخرب برای جلوگیری از شناسایی در داخل ورودی‌ها قرار داده‌شده و بسته‌بندی و رمزگذاری نیز می‌شوند. سپس کد مبهم‌سازی شده برای ایجاد یک درپشتی و ارتباط با سرورهای فرمان و کنترل (C۲) و دریافت دستورات اضافی، که ممکن است شامل سرقت اطلاعات باشد، بارگذاری می‌شود.

روش مبهم‌سازی که در این مورد و بسیاری موارد دیگر از آن استفاده می‌شود، همان رمزگذاری ASCII است که کاراکترها با مقدار ASCII خود جایگزین می‌شوند. دیگر انواع بدافزارها از الگوریتم‌های رمزنگاری قوی‌تر و سفارشی برای مخفی‌کردن اطلاعات پیکربندی استفاده می‌کنند. در مجموع، ۳۰ نمونه منحصر به فرد از این بدافزار در طول دو سال و نیم گذشته مشاهده شده‌ است. پژوهشگران می‌گویند که روند مشاهده‌ی نمونه‌های Farseer آهسته و پیوسته بوده‌ است که می‌تواند با شبکه‌ی زیرساخت‌های میزبان دیگر بدافزارهای مورد استفاده گروه، ردگیری شود.

هفت دامنه شناخته‌شده از این بدافزار میزبانی می‌کنند که چهار مورد از آن‌ها مرتبط با Poison Ivy، Zupdax و PKPLUG بوده و همه آن‌ها حداقل یک دامنه سطح سوم را به اشتراک گذاشته‌اند. پژوهشگران معتقدند این منبع مشترک می‌تواند نشانگر الگویی برای نصب زیرساخت‌ها یا بر اساس نیازمندی‌های ارتباطی بدافزار با سرور C۲باشد.

HenBox تهدیدی برای دستگاه‌های مبتنی بر اندروید و Farseer برای هدف قراردادن ویندوز، طراحی شده‌است. همپوشانی زیرساخت‌ها،TTP های مشترک و شباهت‌ها در کد و پیکربندی، نشانه‌‌ی تهدید‌هایی است که قربانیان را هدف قرار می‌دهد.

نشانه‌های آلودگی (IoC):
هش:
• ۲۷۱e۲۹fe۸e۲۳۹۰۱۱۸۴۳۷۷ab۵d۰d۱۲b۴۰d۴۸۵f۸c۴۰۴aef۰bdcc۴a۴۱۴۸ccbb۱a۱a
• ۴ab۴۱a۰۲۵۶۲۴f۳۴۲deb۸۵d۷۹۸c۶d۶۲۶۴a۹fb۸۸b۸b۳d۹۰۳۷cf۸d۵۲۴۸a۹f۷۳۰۳۳۹
• ۸ff۰۳c۱۳d۰a۷۸۰۰۳۸۴۰b۷a۶۱۲e۳۷۲۲۴۲c۷def۱۲۳b۴fbf۵ea۱۷۸۰f۲d۷۰eb۸۰۶a۱
• ۵a۴۶۱۱۰۴a۲b۶e۳۱۳d۳d۰ee۰۸c۲۶e۹۰db۹۶۵۱۳۹b۱bff۴a۷۸۵ec۲۹۷۰۴۷d۵۷۰۳۴۰c
• a۹۹۹۴۸۹d۹۵e۵a۹۴f۷۵de۴۶۹۵c۹۵۷۹ffc۸۸bae۰۲۰۴۸۸۳۸e۳۵۲۳f۰۸۹d۹۷۰a۳۵abb
• ۰c۷e۳۵ca۱۳۱۲۲۰۴۰۶۳۳۱۹a۳۴۵۵ec۱۴bc۴b۷۰۱de۲۰۵۵۰۳e۶۳de۵۸۴f۲۸d۹۹f۰۲۹۱
• ۱۰bd۴۵۰۷eb۱۲bebc۱۷e۲۱۶e۱۶۹۵۰bf۷۷e۵۶c۲aad۰۱be۷۰۳۳bf۰d۵c۲۳۵f۲ad۶e۵
• d۴۴f۳۸۸۸۴۲d۹۳۸۰۷c۰b۵۶۳۹۹c۸b۷eae۵b۳dd۷۶۸۷۱e۴۹۰۸ef۳d۷d۸a۵۵۹f۰۱۴fe۶
• ۲۴b۵۲۴۰۳ff۶۵۲۴۱۶c۸۴afed۷e۱۲ece۱۱dc۵۹b۰۷f۷dba۵f۰۰۷e۱۱۷a۴cfc۶۷c۱ab
• ۸۸۹۰a۰۶d۳۲۳۳ecf۶۶۱c۰۴۰ca۵c۰۳۳۹۳c۳afd۶۲۰ccce۴۹fbe۰۸۴۷۷bbf۶b۷d۹b۰۴
• ۵۴۲b۲ca۴fe۲d۷d۱۳fa۳۱۷c۵۸f۴۶۹۴۲cdf۶eb۳۳۷۷۱bb۸۹۸d۷be۷۷۳f۸ccb۵۰b۱۳c
• b۷۸۲b۴c۵f۸fe۲ee۳۱۸e۵۰ddf۹۸۵c۹۱۳۲bff۶d۴۸b۰۱ea۳۶d۶۸۲۵۹۶۷bf۸۹e۵d۰c۲
• c۸b۲۲۳۲۳۶۰d۵d۶f۵۶cd۶b۱۰۷۶e۵e۲۱f۰d۵۰۱f۵cb۷۲۵e۰a۹b۳۲a۰ab۶۶۱b۴c۳۸dd
• b۸۲caa۵۰۸۷c۶fd۸ac۷۹۰۱۹۱۸۵c۶f۸۸۸۴f۵dd۹d۰۲۶۶bb۷ad۶۳۵۲۷۷f۳c۷ca۵c۶۱۵
• da۰۲edf۳f۳۳d۹۸۰۱d۰۶۶c۱f۹۳feef۳۳cdedc۱bc۷b۵۶۰۵۴۹۸۴۰۴e۸cad۸۰۱۵۷۲۹f
• ۱e۶۲b۷dcb۵۰۳f۴۷a۶۳۳۰c۴dcfc۴۹ea۹d۹۲۱b۷d۲f۸c۵۰۸۷۶۹d۲۷df۰۴e۶۱b۹۴۷۱d
• ۰۳۰۶۵۸۵۹۰۰f۱b۱bddc۷۶۱۴۹۳۵۲f۹۰۹۶۲c۳۶۵۹۵۹e۴۴a۴۸۶ba۳۵۴۷c۸۰d۱۲d۵۶e۴۱
• ۱e۴۶c۸۸۴۲۰c۶۵۷c۶۸۵۷۸۶bee۸۸f۶۰۶d۴۹۴f۳d۵۰bcbc۶۱۶b۰f۶۴d۲۸۸۶edd۵۷۲f۲
• fd۸bb۸۰۸c۷b۱۶cffcb۸۳d۷e۸۶d۶۴۲b۵cb۶e۹۱۳e۲۲df۶۹c۸dd۰۳ce۴e۷۴۹۸f۵fdc
• f۴۶f۱۶۲ef۲۷۹cc۶e۹c۰۲۲cffe۳a۶۶۸۵d۰۰۱۵۲۴e۳۱۲e۷a۵f۲۳bd۲۴d۷۶fed۱fa۹۹
• ۶e۳۶۷e۱۰f۹c۰fb۸۱۸۳۹۴e۹۵۱۷ab۱۳c۱da۰۰b۲۵۴۵۶۰۲c۲۳bf۶ab۸۳e۹۳۰۶۳۰۷۶b۸
• ۳d۴۷b۹۹d۳۴e۱۶۹a۸۲۸۳۰۶۲۹۳۷c۳۷۳۲۶۴۸۲۹cf۶fe۱c۷fa۰bacee۱۳۵c۳۹۲ca۲۴bb
• d۱۱d۸۷۱b۰۷۵۲۰f۴۳۴۳۷۱۸۳fa۴۴bd۱۱۸c۰۱a۳c۴c۸۶cffe۰cc۷۳۴۳ae۹۰۳۸۵۶۵cf۱
• ۲e۸۴de۳۴۰۸۲۸۳۴۲۳ed۵۸۷۶۴۱۳۹eed۴dd۷e۳۴۳۱۱۵b۹۴۳b۵۸a۴۶e۲dc۲۵ca۲ef۳c۸
• ۷d۵۳۸۶۲۵۳d۴۰۳b۷۴e۸۶۶۵۸۶۹۹f۹a۶d۶۸۳b۷ac۳۰۶۵c۴e۲cdae۱۹۲b۳۲b۹ac۵۴edb
• ۲۰۸۵fca۳۶۸af۱۵a۱bd۵۴f۷۸۰۹dfee۷cdd۴d۷۳df۷af۸۸fa۵۳fe۵۳۴۱f۰۵۲۳ca۷ea
• ۹۷c۰۴۷۰۲aaa۰a۹۰۱۸cc۴۶ea۸۷۴e۷e۳۶۴۴۱۴۶ba۴d۶b۳b۳۰c۷۸a۶a۶۴۳۰۱۷۲b۱۳c۷
• ۴۵۵۲f۷۰d۹۴۷۴۳۲۰۶۴۸۹da۸۵da۲e۹eb۹f۱eb۳ad۰۱۷a۴۲edb۷a۶۰edb۶۹e۵c۱۵a۳۲
• ۷۵ca۹۵ae۳۱۷b۱e۸۴۸d۵۴bbb۰۱۷۹۸d۵b۶۱ebcaf۴۳۲۸b۳۹۴۰b۵d۵f۶۴۴a۰۱f۱۹۴۳a
• f۱۶۹b۸d۹۳ea۲۷ab۶ae۲۴c۲۶eaecc۰۳۹a۸۳۸bd۷e۷۴aef۱۸c۱e۷a۹۵۳۲۸۳c۴۱۸c۳۰
• c۱e۸۰۴۵۸ae۶۵۲dbf۴۰۹۸۱dfe۳۳bf۱۰۹d۱b۴c۸۵d۰affbd۱۶c۸d۱df۶be۹e۲۳۳e۰۵
• ۹e۰۸efc۷۳dc۹۱۴۵۳۵۸۸۹۸d۲۷۳۵c۵f۳۱d۴۵a۲۵۷۱۶۶۳c۷f۴۹۶۳abd۲۱۷ae۹۷۹c۷ca
دامنه‌های سرور C&C:
• cdncool[.]com
• dns.cdncool[.]com
• outhmail[.]com
• up.outhmail[.]com
• tcpdo[.]net
• sony۳۶[.]com
• md.sony۳۶[.]com
• newfacebk[.]com
• app.newfacebk[.]com
• windowsnetwork[.]org
• update.newfacebk[.]com
• netvovo.windowsnetwork[.]org
• honor۲۰۲۰[.]ga
• update.tcpdo[.]net
• adminsysteminfo[.]com
• md۵c[.]net
• linkdatax[.]com
• csip۶[.]biz
• adminloader[.]com
• outhmail[.]com
• cdncool[.]com
• www۳.mefound[.]com
• w۳.changeip[.]org
• www۵.zyns[.]com
آدرس‌های IP:
• ۱۰۸,۶۱.۱۹۷[.]۱۷۲
• ۱۷۵,۴۵.۱۹۲[.]۲۳۴
• ۱۹۹,۲۴۷.۲۵[.]۱۱۰
• ۲۰۸,۱۱۵.۱۲۵[.]۴۳
• ۴۳,۲۲۴.۳۳[.]۱۳۰
• ۴۵,۱۲۵.۳۳[.]۲۱۹
• ۴۵,۳۲.۱۰۸[.]۱۱
• ۴۵,۳۲.۱۵۹[.]۱۶۸
• ۴۵,۳۲.۲۴[.]۳۹
• ۴۵,۳۲.۲۵[.]۱۰۷
• ۴۵,۳۲.۲۵۱[.]۷
• ۴۵,۳۲.۴۴[.]۵۲
• ۴۵,۳۲.۵۳[.]۲۵۰

انتهای پیام/