#Ransomware #Moneybird Targeted #Israel
تیم پاسخ به حادثه شرکت Check Point مقاله ای انتشار داده است مبنی بر حمله مجدد باج افزاری با نام Moneybird به ارگان ها و شرکت های اسرائیلی برای اخاذی مالی.
رفتار تکنیکی تاکتیکی حمله طبق معمول بر پایه یک ایجاد دسترسی بر پایه یک آسیب پذیری، و زدن تونل RDP مبتنی بر Web Shell که منجر به دانلود و اجرای باج افزار میشود.
اما دو نکته قابل توجه این حمله، یک استفاده مکرر از ابزار های تجاری رایگان است که مکانیزم های دفاعی به آنها واکنشی نشان نمی دهند، دیگری توسعه باج افزار با رویکردی جدید به زبان ++C که به عنوان یک Encryptor عمل خواهد کرد.
باج افزار پارامتر های CLI دریافت میکند که این موضوع موجب میشود مهاجم بصورت شخصی سازی شده توابع باج افزار را پیکربندی نماید، این پیکربندی میلی ثانیه خواب بودن قبل از start باج افزار است.
تعداد Threads های چک و Ciphering که با بررسی تعداد هسته های پردازنده تعیین خواهد شد، تعیین بررسی لیست Extension ها، برای رمز کردن و دیگر موارد که در تصویر مهندسی معکوس فایل مشخص شده است.
@Unk9vvN
تیم پاسخ به حادثه شرکت Check Point مقاله ای انتشار داده است مبنی بر حمله مجدد باج افزاری با نام Moneybird به ارگان ها و شرکت های اسرائیلی برای اخاذی مالی.
رفتار تکنیکی تاکتیکی حمله طبق معمول بر پایه یک ایجاد دسترسی بر پایه یک آسیب پذیری، و زدن تونل RDP مبتنی بر Web Shell که منجر به دانلود و اجرای باج افزار میشود.
اما دو نکته قابل توجه این حمله، یک استفاده مکرر از ابزار های تجاری رایگان است که مکانیزم های دفاعی به آنها واکنشی نشان نمی دهند، دیگری توسعه باج افزار با رویکردی جدید به زبان ++C که به عنوان یک Encryptor عمل خواهد کرد.
باج افزار پارامتر های CLI دریافت میکند که این موضوع موجب میشود مهاجم بصورت شخصی سازی شده توابع باج افزار را پیکربندی نماید، این پیکربندی میلی ثانیه خواب بودن قبل از start باج افزار است.
تعداد Threads های چک و Ciphering که با بررسی تعداد هسته های پردازنده تعیین خواهد شد، تعیین بررسی لیست Extension ها، برای رمز کردن و دیگر موارد که در تصویر مهندسی معکوس فایل مشخص شده است.
@Unk9vvN