بدافزار PEAKLIGHT یک بدافزار پیچیده مستقر در حافظه(memory-only) است. این بدافزار به دلیل ماهیت مخفیانهاش نگرانکننده است و منحصراً در RAM کامپیوتر قرار می گیرد و به آن اجازه میدهد که از شناسایی توسط ابزارهای آنتیویروس سیستم فرار کند. آلودگی بوسیله ی بدافزار PEAKLIGHT از طریق فایلهای مخرب میانبر مایکروسافت (LNK) که درون فایل ZIP قرار دارد انجام میشود.
زنجیره حمله ابتدا با دانلود ناخواسته یک فایل ZIP حاوی یک فایل LNK مخرب آغاز می گردد. هنگام اجرا، فایل LNK یک اسکریپت جاوا اسکریپت هش شده را اجرا و در حافظه ذخیره می کند. این فایل خود یک دانلود کننده مبتنی بر PowerShell به نام PEAKLIGHT است. این دانلود کننده مسئول بازیابی فایل ها از سرورهای راه دور است که شامل یکسری فایل های مخرب برای سرقت اطلاعات و loaderهایی مانند LUMMAC.V2، SHADOWLADDER و CRYPTBOT می باشد.
بدافزار PEAKLIGHT از تکنیک های مختلف فرار استفاده می کند، از جمله:
اجرا در RAM: فقط در RAM کار می کند و حداقل ردپا را بجا می گذارد.
اجرای پروکسی باینری سیستم: از باینری های قانونی سیستم (به عنوان مثال mshta.exe) برای اجرای خود استفاده می کند و تشخیص آنرا چالش برانگیزتر می کند.
سوء استفاده از شبکه تحویل محتوا (CDN): فایل های مخرب را از CDN های قابل اعتماد دانلود می کند تا فیلترهای امنیتی را دور بزند.
هش بدافزار PEAKLIGHT
گونههایی از بدافزار PEAKLIGHT با استفاده از اسکریپتهای PowerShell با کد ششگانه یا Base64 مشاهده شدهاند که فعالیت آنها را بیش از پیش مبهم میکند. این اسکریپتها فایل های ZIP خاص را در مسیرهای از پیش تعریفشده بررسی میکند و در صورت عدم وجود، آنها را از CDN دانلود میکند.
Network-Based IOCs:
- PEAKLIGHT C2 Domains:
- hxxps://fatodex.b-cdn[.]net/fatodex
- hxxps://matodown.b-cdn[.]net/matodown
- hxxps://potexo.b-cdn[.]net/potexo
- LUMMAC.V2 C2s:
- relaxtionflouwerwi[.]shop
- deprivedrinkyfaiir[.]shop
- patternapplauderw[.]shop
- CRYPTBOT C2s:
- hxxp://gceight8vt[.]top/upload.php
- hxxps://brewdogebar[.]com/code.vue
Host-Based IOCs:
- CRYPTBOT:
- erefgojgbu (MD5: d6ea5dcdb2f88a65399f87809f43f83c)
- L2.zip (MD5: 307f40ebc6d8a207455c96d34759f1f3)
- PEAKLIGHT Downloader:
- (MD5: 95361f5f264e58d6ca4538e7b436ab67)
- (MD5: b716a1d24c05c6adee11ca7388b728d3)
استراتژی هایی برای کاهش آسیب PEAKLIGHT
تشخیص پیشرفته: ابزارهای نظارتی پیشرفته تری را در سیستم اجرا نمایید که قادر به شناسایی فعالیت های غیرعادی در RAM و الگوهای اجرای PowerShell باشند.
فیلتر محتوا: دسترسی به دامنه های CDN مخرب شناخته شده را محدود کنید و مکانیسم های قوی فیلتر محتوا را به کار بگیرید.
آگاهی کاربر: به کاربران در مورد خطرات دانلود فایل ها از منابع غیرقابل اعتماد، به ویژه آنهایی که به عنوان محتوای دزدی پنهان شده اند، آموزش دهید.
بروز بودن: سیستمها را بهطور منظم بهروزرسانی کنید تا آسیبپذیریهایی را که میتوانند توسط چنین بدافزاری مورد سوء استفاده قرار گیرند، به حداقل برسانید.
شاخص های برای تشخیص و کاهش بدافزار PEAKLIGHT
IP Addresses:
- 62.133.61[.]56
Hashes:
- MD5:
- 62f20122a70c0f86a98ff14e84bcc999
- 91423dd4f34f759aaf82aa73fa202120
- 307f40ebc6d8a207455c96d34759f1f3
- d8e21ac76b228ec144217d1e85df2693
- a6c4d2072961e9a8c98712c46be588f8
- 059d94e8944eca4056e92d60f7044f14
- e7c43dc3ec4360374043b872f934ec9e
- b6b8164feca728db02e6b636162a2960
- dfdc331e575dae6660d6ed3c03d214bd
- 47eee41b822d953c47434377006e01fe
- d6ea5dcdb2f88a65399f87809f43f83c
- b15bac961f62448c872e1dc6d3931016
- 236c709bbcb92aa30b7e67705ef7f55a
- f98e0d9599d40ed032ff16de242987ca
- bb9641e3035ae8c0ab6117ecc82b65a1
- d7aff07e7cd20a5419f2411f6330f530
- 95361f5f264e58d6ca4538e7b436ab67
- b716a1d24c05c6adee11ca7388b728d3
- 58c4ba9385139785e9700898cb097538
- 43939986a671821203bf9b6ba52a51b4
Domains:
- relaxtionflouwerwi[.]shop
- deprivedrinkyfaiir[.]shop
- detailbaconroollyws[.]shop
- messtimetabledkolvk[.]shop
- considerrycurrentyws[.]shop
- understanndtytonyguw[.]shop
- patternapplauderw[.]shop
- horsedwollfedrwos[.]shop
- tropicalironexpressiw[.]shop
- brewdogebar[.]com
- gceight8vt[.]top
- forikabrof[.]click
- nextomax.b-cdn[.]net
- potexo.b-cdn[.]net
- fatodex.b-cdn[.]net
- matodown.b-cdn[.]net
URLs:
- hxxp://62.133.61[.]56/Downloads/Full%20Video%20HD%20(1080p).lnk
- hxxps://nextomax.b-cdn[.]net/nexto
- hxxps://potexo.b-cdn[.]net/potexo
- hxxps://fatodex.b-cdn[.]net/K1.zip
- hxxps://fatodex.b-cdn[.]net/K2.zip
- hxxps://forikabrof[.]click/flkhfaiouwrqkhfasdrhfsa.png
- hxxps://matodown.b-cdn[.]net/K1.zip
- hxxps://matodown.b-cdn[.]net/K2.zip
- hxxps://nextomax.b-cdn[.]net/L1.zip
- hxxps://nextomax.b-cdn[.]net/L2.zip
- hxxps://potexo.b-cdn[.]net/K1.zip
- hxxps://potexo.b-cdn[.]net/K2.zip
- hxxp://gceight8vt[.]top/upload.php
- hxxps://brewdogebar[.]com/code.vue
منابع:
Cybersecsentinel
Google Cloud
Soc Prime