#Handala’s Wiper Targets #Israel
سال گذشته تیم Handala منتسب به ایران، طی عملیاتی توانست برخی سازمان های اسرائیل را مورد نفوذ خود قرار دهد.
رفتار تکنیکی تاکتیکی آنها اینگونه بوده که اول بواسطه یک Email Phishing اقدام به ارسال یک فایل PDF کرده و توضیحاتی در خصوص بروز رسانی محصولات CrowdStrike داده که یک شرکت Vendor در حوزه امنیت سایبری است.
در PDF لینک دانلودی قرار داده شده مبتنی بر دانلود بروز رسانی، در صورت اقدام کردن قربانی یک فایل ZIP دانلود شده که حاوی یک فایل CrowdStrike.exe بوده که بواسطه NSIS به عنوان یک Installer بسته بندی شده است.
اجرای این فایل باعث فعال شدن یک اسکریپت Batch میشود که اقدام به شناسایی آنتی ویروس ها و EDR ها میکند، همچنین یک اجرا گر AutoIT فعال میکند که اقدام به ساخت یک Wiper کرده دارایی های داخلی سیستم عامل را شناسایی و به مرکز کنترل و فرمان خود که بواسطه
در ادامه یک تزریق Payload به فایل
@Unk9vvN
سال گذشته تیم Handala منتسب به ایران، طی عملیاتی توانست برخی سازمان های اسرائیل را مورد نفوذ خود قرار دهد.
رفتار تکنیکی تاکتیکی آنها اینگونه بوده که اول بواسطه یک Email Phishing اقدام به ارسال یک فایل PDF کرده و توضیحاتی در خصوص بروز رسانی محصولات CrowdStrike داده که یک شرکت Vendor در حوزه امنیت سایبری است.
در PDF لینک دانلودی قرار داده شده مبتنی بر دانلود بروز رسانی، در صورت اقدام کردن قربانی یک فایل ZIP دانلود شده که حاوی یک فایل CrowdStrike.exe بوده که بواسطه NSIS به عنوان یک Installer بسته بندی شده است.
اجرای این فایل باعث فعال شدن یک اسکریپت Batch میشود که اقدام به شناسایی آنتی ویروس ها و EDR ها میکند، همچنین یک اجرا گر AutoIT فعال میکند که اقدام به ساخت یک Wiper کرده دارایی های داخلی سیستم عامل را شناسایی و به مرکز کنترل و فرمان خود که بواسطه
api.telegram.org فعالیت دارد، اعلام کرده تا در صورت دریافت دستور Wipe تمامی اطلاعات سیستم را از بین ببرد.در ادامه یک تزریق Payload به فایل
RegAsm.exe بواسطه تکنیک Process Hollowing بوده و کد از حالت فشرده خارج میشود.@Unk9vvN