Cyble در گزارشی به بررسی حملات باجافزار DOGE BIG BALLS، پیلود نسخه سفارشی شده از باجافزار Fog پرداخته است که با اکسپلویت از درایور آسیبپذیر (CVE-2015-2291، امتیاز 7.8) از طریق تکنیک Bring Your Own Vulnerable Driver (BYOVD) برای دسترسی خواندن/نوشتن در سطح کرنل جهت ارتقا سطح دسترسی آغاز شده است. این حمله با استفاده از فایل ZIP با میانبر فریبنده LNK، زنجیره آلودگی چند مرحلهای مبتنی بر پاورشل را اجرا و از استقرار مخفیانه اطمینان حاصل میکند.
بدافزار مذکور آدرسهای MAC روتر (BSSID) و Wigle.net API را برای تعیین موقعیت فیزیکی قربانی به کار میبرد که نسبت به روشهای مبتنی بر IP موقعیت جغرافیایی دقیقتری را ارائه میدهد. اطلاعات گسترده سیستم و شبکه از جمله شناسههای سختافزار، وضعیتهای فایروال، پیکربندی شبکه و فرآیندهای در حال اجرا از طریق پاورشل جمعآوری میشوند. در داخل تولکیت نیز یک Beacon Havoc C2 تعبیه شده است که به پتانسیل عامل تهدید برای حفظ دسترسی طولانی مدت یا انجام فعالیتهای اضافی پس از رمزگذاری اشاره دارد.
https://cyble.com/blog/doge-big-balls-ransomware-edward-coristine/
