By | 15 دی 1403
بدافزار PEAKLIGHT

بدافزار PEAKLIGHT یک بدافزار پیچیده مستقر در حافظه(memory-only) است. این بدافزار به دلیل ماهیت مخفیانه‌اش نگران‌کننده است و منحصراً در RAM کامپیوتر قرار می گیرد و به آن اجازه می‌دهد که از شناسایی توسط ابزارهای آنتی‌ویروس سیستم فرار کند. آلودگی بوسیله ی بدافزار PEAKLIGHT از طریق فایل‌های مخرب میانبر مایکروسافت (LNK) که درون فایل ZIP قرار دارد انجام می‌شود.

زنجیره حمله ابتدا با دانلود ناخواسته یک فایل ZIP حاوی یک فایل LNK مخرب آغاز می گردد. هنگام اجرا، فایل LNK یک اسکریپت جاوا اسکریپت هش شده را اجرا و در حافظه ذخیره می کند. این فایل خود یک دانلود کننده مبتنی بر PowerShell به نام PEAKLIGHT است. این دانلود کننده مسئول بازیابی فایل ها از سرورهای راه دور است که شامل یکسری فایل های مخرب برای سرقت اطلاعات و loaderهایی مانند LUMMAC.V2، SHADOWLADDER و CRYPTBOT می باشد.

بدافزار PEAKLIGHT از تکنیک های مختلف فرار استفاده می کند، از جمله:

 اجرا در RAM: فقط در RAM کار می کند و حداقل ردپا را بجا می گذارد.

 اجرای پروکسی باینری سیستم: از باینری های قانونی سیستم (به عنوان مثال mshta.exe) برای اجرای خود استفاده می کند و تشخیص آنرا چالش برانگیزتر می کند.

 سوء استفاده از شبکه تحویل محتوا (CDN): فایل های مخرب را از CDN های قابل اعتماد دانلود می کند تا فیلترهای امنیتی را دور بزند.

بدافزار PEAKLIGHT

هش بدافزار PEAKLIGHT

گونه‌هایی از بدافزار PEAKLIGHT با استفاده از اسکریپت‌های PowerShell با کد شش‌گانه یا Base64 مشاهده شده‌اند که فعالیت‌ آن‌ها را بیش از پیش مبهم می‌کند. این اسکریپت‌ها فایل های ZIP خاص را در مسیرهای از پیش تعریف‌شده بررسی می‌کند و در صورت عدم وجود، آن‌ها را از CDN دانلود می‌کند.

بدافزار PEAKLIGHT

Network-Based IOCs:

  • PEAKLIGHT C2 Domains:
    • hxxps://fatodex.b-cdn[.]net/fatodex
    • hxxps://matodown.b-cdn[.]net/matodown
    • hxxps://potexo.b-cdn[.]net/potexo
  • LUMMAC.V2 C2s:
    • relaxtionflouwerwi[.]shop
    • deprivedrinkyfaiir[.]shop
    • patternapplauderw[.]shop
  • CRYPTBOT C2s:
    • hxxp://gceight8vt[.]top/upload.php
    • hxxps://brewdogebar[.]com/code.vue

Host-Based IOCs:

  • CRYPTBOT:
    • erefgojgbu (MD5: d6ea5dcdb2f88a65399f87809f43f83c)
    • L2.zip (MD5: 307f40ebc6d8a207455c96d34759f1f3)
  • PEAKLIGHT Downloader:
    • (MD5: 95361f5f264e58d6ca4538e7b436ab67)
    • (MD5: b716a1d24c05c6adee11ca7388b728d3)

بدافزار PEAKLIGHT

استراتژی هایی برای کاهش آسیب PEAKLIGHT

 تشخیص پیشرفته: ابزارهای نظارتی پیشرفته تری را در سیستم اجرا نمایید که قادر به شناسایی فعالیت های غیرعادی در RAM و الگوهای اجرای PowerShell باشند.

 فیلتر محتوا: دسترسی به دامنه های CDN مخرب شناخته شده را محدود کنید و مکانیسم های قوی فیلتر محتوا را به کار بگیرید.

 آگاهی کاربر: به کاربران در مورد خطرات دانلود فایل ها از منابع غیرقابل اعتماد، به ویژه آنهایی که به عنوان محتوای دزدی پنهان شده اند، آموزش دهید.

 بروز بودن: سیستم‌ها را به‌طور منظم به‌روزرسانی کنید تا آسیب‌پذیری‌هایی را که می‌توانند توسط چنین بدافزاری مورد سوء استفاده قرار گیرند، به حداقل برسانید.

بدافزار PEAKLIGHT

شاخص های برای تشخیص و کاهش بدافزار PEAKLIGHT

IP Addresses:

  • 62.133.61[.]56

Hashes:

  • MD5:
    • 62f20122a70c0f86a98ff14e84bcc999
    • 91423dd4f34f759aaf82aa73fa202120
    • 307f40ebc6d8a207455c96d34759f1f3
    • d8e21ac76b228ec144217d1e85df2693
    • a6c4d2072961e9a8c98712c46be588f8
    • 059d94e8944eca4056e92d60f7044f14
    • e7c43dc3ec4360374043b872f934ec9e
    • b6b8164feca728db02e6b636162a2960
    • dfdc331e575dae6660d6ed3c03d214bd
    • 47eee41b822d953c47434377006e01fe
    • d6ea5dcdb2f88a65399f87809f43f83c
    • b15bac961f62448c872e1dc6d3931016
    • 236c709bbcb92aa30b7e67705ef7f55a
    • f98e0d9599d40ed032ff16de242987ca
    • bb9641e3035ae8c0ab6117ecc82b65a1
    • d7aff07e7cd20a5419f2411f6330f530
    • 95361f5f264e58d6ca4538e7b436ab67
    • b716a1d24c05c6adee11ca7388b728d3
    • 58c4ba9385139785e9700898cb097538
    • 43939986a671821203bf9b6ba52a51b4

Domains:

  • relaxtionflouwerwi[.]shop
  • deprivedrinkyfaiir[.]shop
  • detailbaconroollyws[.]shop
  • messtimetabledkolvk[.]shop
  • considerrycurrentyws[.]shop
  • understanndtytonyguw[.]shop
  • patternapplauderw[.]shop
  • horsedwollfedrwos[.]shop
  • tropicalironexpressiw[.]shop
  • brewdogebar[.]com
  • gceight8vt[.]top
  • forikabrof[.]click
  • nextomax.b-cdn[.]net
  • potexo.b-cdn[.]net
  • fatodex.b-cdn[.]net
  • matodown.b-cdn[.]net

URLs:

  • hxxp://62.133.61[.]56/Downloads/Full%20Video%20HD%20(1080p).lnk
  • hxxps://nextomax.b-cdn[.]net/nexto
  • hxxps://potexo.b-cdn[.]net/potexo
  • hxxps://fatodex.b-cdn[.]net/K1.zip
  • hxxps://fatodex.b-cdn[.]net/K2.zip
  • hxxps://forikabrof[.]click/flkhfaiouwrqkhfasdrhfsa.png
  • hxxps://matodown.b-cdn[.]net/K1.zip
  • hxxps://matodown.b-cdn[.]net/K2.zip
  • hxxps://nextomax.b-cdn[.]net/L1.zip
  • hxxps://nextomax.b-cdn[.]net/L2.zip
  • hxxps://potexo.b-cdn[.]net/K1.zip
  • hxxps://potexo.b-cdn[.]net/K2.zip
  • hxxp://gceight8vt[.]top/upload.php
  • hxxps://brewdogebar[.]com/code.vue

منابع:

Cybersecsentinel

Google Cloud

Soc Prime

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *