GeekNotif
صرافی ارز دیجیتال Bybit روز جمعه اعلام کرد که یه حمله خیلی پیچیده باعث شد بیش از ۱.۴۶ میلیارد دلار ارز دیجیتال از یکی از کیف پولهای سرد (آفلاین) اتریوم این شرکت دزدیده بشه، این بزرگترین سرقت تاریخ کریپتوئه... از طرفی Bybit توی یه پست توییتر (X) گفت: "این…
تکمیلی :
و اما توی یه خبر FBI آمریکا رسماً تأیید کرده که گروه های هکری کره شمالی پشت هک ۱.۵ میلیارد دلاری صرافی Bybit بودن. مدیرعامل این صرافی، بن ژو، هم اعلام کرده که وارد "جنگ با لازاروس" شده.
از طرفی FBI گفته که کره شمالی مسئول دزدیدن این ارزهای دیجیتال بوده و این حمله رو به گروهی به اسم TraderTraitor نسبت داده که با اسمهای دیگهای مثل Jade Sleet، Slow Pisces و UNC4899 هم شناخته میشه.
طبق اعلام FBI، این هکرها خیلی سریع دست به کار شدن و بخشی از پولهای دزدیده شده رو به بیتکوین و ارزهای دیجیتال دیگه تبدیل کردن و حالا این پولها تو هزاران کیف پول مختلف روی چندین بلاکچین پخش شده. انتظار میره که این داراییها شسته رفته بشن و در نهایت تبدیل به پول نقد بشن، این گروه قبلاً هم توسط مقامات ژاپنی و آمریکایی متهم شده بود که در مه ۲۰۲۴، چیزی حدود ۳۰۸ میلیون دلار از صرافی DMM Bitcoin دزدیده.
این گروه معمولاً شرکتهای فعال در حوزه Web3 رو هدف قرار میده. روش کارشون هم اینه که قربانیها رو با اپلیکیشن های آلوده به بدافزار گول میزنن و ارزهاشون رو میدزدن. گاهی هم با پیشنهادات شغلی فیک، مهندسی اجتماعی انجام میدن و از طریق پکیج های npm مخرب به سیستمها نفوذ میکنن.
تو همین حین، Bybit یه برنامه جایزه (bounty) راه انداخته تا شاید بتونه بخشی از پولهای دزدیدهشده رو برگردونه. اما همزمان یه صرافی دیگه به اسم eXch رو هم به خاطر همکاری نکردن توی تحقیقات و کمک نکردن به مسدودسازی داراییهای دزدیده شده، زیر سوال برده.
و Bybit گفته که این پولهای دزدیده شده به جاهایی منتقل شدن که قابل ردگیری یا مسدودسازی نیستن، مثل صرافیها، میکسرها یا پلهای بلاکچینی. یا حتی به استیبلکوینهایی تبدیل شدن که میشه اون ها رو فریز کرد. برای همین، از همه طرف های درگیر خواسته که یا پولها رو فریز کنن یا درباره مسیر حرکتشون اطلاعات بدن تا بشه ردیابی رو ادامه داد، این شرکت که مقرش تو دبیه، نتیجه دو تا تحقیق انجامشده توسط شرکتهای Sygnia و Verichains رو منتشر کرده که حمله رو به گروه لازاروس ربط میدن.
طبق گزارش Sygnia، بررسی سیستم های سرور نشون داده که ریشه حمله، کدهای مخربیه که از زیرساخت Safe{Wallet} اومده، Verichains هم گفته که یه فایل جاوااسکریپت سالم توی وبسایت app.safe.global توی تاریخ ۱۹ فوریه ۲۰۲۵ ساعت ۱۵:۲۹:۲۵ UTC با یه کد مخرب جایگزین شده. این حمله دقیقاً برای هدف قرار دادن کیف پول سرد چندامضایی اتریومِ Bybit طراحی شده بود و درست توی زمان انجام اولین تراکنش بعدی Bybit توی ۲۱ فوریه ۲۰۲۵ ساعت ۱۴:۱۳:۳۵ UTC فعال شد.
به احتمال زیاد، کلیدهای API یا حساب AWS S3 و CloudFront سرویس Safe.Global لو رفته یا هک شده که باعث شده این حمله زنجیره تأمین (Supply Chain Attack) اتفاق بیفته، از طرف دیگه، Safe{Wallet} هم اعلام کرده که این حمله از طریق آلوده شدن یکی از سیستمهای توسعه دهنده های خودشون انجام شده که روی حسابی که Bybit ازش استفاده میکرد تأثیر گذاشته. برای جلوگیری از چنین حملاتی هم اقدامات امنیتی جدیدی اضافه کردن.
این حمله اینجوری انجام شده که هکرها سیستم یه توسعهدهنده از Safe{Wallet} رو آلوده کردن و بعدش یه تراکنش مخرب رو طوری جا زدن که عادی به نظر بیاد. لازاروس که یه گروه هکری تحت حمایت دولت کره شمالیه، تخصصش حملات پیچیده مهندسی اجتماعی روی اعتبارنامه های توسعه دهنده هاست و گاهی این حملات رو با اکسپلویت های روز صفر (Zero-day) ترکیب میکنه.
فعلاً معلوم نیست که سیستم اون توسعه دهنده چجوری هک شده، ولی طبق یه تحلیل جدید از Silent Push، گروه لازاروس یه دامنه به اسم bybit-assessment.com رو تو ۲۰ فوریه ۲۰۲۵ ساعت ۲۲:۲۱:۵۷ ثبت کرده؛ یعنی فقط چند ساعت قبل از این سرقت بزرگ، از طرفی WHOIS نشون میده که این دامنه با یه ایمیل مشکوک ثبت شده: "trevorgreer9312@gmail.com" که قبلاً هم به عنوان یه اکانت فیک مرتبط با لازاروس توی حمله دیگهای به اسم "Contagious Interview" شناخته شده بود.
به نظر میاد که سرقت Bybit کار گروه TraderTraitor (همون Jade Sleet و Slow Pisces) بوده، در حالی که اون کلاهبرداری با مصاحبههای فیک مربوط به یه گروه دیگه از کره شمالیه که با اسمهای Contagious Interview و Famous Chollima شناخته میشه ،این گروه معمولاً قربانیها رو از طریق لینکدین پیدا میکنه، با پیشنهادهای کاری قلابی به دام میندازه و توی مصاحبه های فیک، بدافزار رو روی سیستم قربانی نصب میکنه یا اطلاعات ورودشون رو سرقت میکنه تا به داراییهای مالی و شرکتی دسترسی پیدا کنه.
و اما توی یه خبر FBI آمریکا رسماً تأیید کرده که گروه های هکری کره شمالی پشت هک ۱.۵ میلیارد دلاری صرافی Bybit بودن. مدیرعامل این صرافی، بن ژو، هم اعلام کرده که وارد "جنگ با لازاروس" شده.
از طرفی FBI گفته که کره شمالی مسئول دزدیدن این ارزهای دیجیتال بوده و این حمله رو به گروهی به اسم TraderTraitor نسبت داده که با اسمهای دیگهای مثل Jade Sleet، Slow Pisces و UNC4899 هم شناخته میشه.
طبق اعلام FBI، این هکرها خیلی سریع دست به کار شدن و بخشی از پولهای دزدیده شده رو به بیتکوین و ارزهای دیجیتال دیگه تبدیل کردن و حالا این پولها تو هزاران کیف پول مختلف روی چندین بلاکچین پخش شده. انتظار میره که این داراییها شسته رفته بشن و در نهایت تبدیل به پول نقد بشن، این گروه قبلاً هم توسط مقامات ژاپنی و آمریکایی متهم شده بود که در مه ۲۰۲۴، چیزی حدود ۳۰۸ میلیون دلار از صرافی DMM Bitcoin دزدیده.
این گروه معمولاً شرکتهای فعال در حوزه Web3 رو هدف قرار میده. روش کارشون هم اینه که قربانیها رو با اپلیکیشن های آلوده به بدافزار گول میزنن و ارزهاشون رو میدزدن. گاهی هم با پیشنهادات شغلی فیک، مهندسی اجتماعی انجام میدن و از طریق پکیج های npm مخرب به سیستمها نفوذ میکنن.
تو همین حین، Bybit یه برنامه جایزه (bounty) راه انداخته تا شاید بتونه بخشی از پولهای دزدیدهشده رو برگردونه. اما همزمان یه صرافی دیگه به اسم eXch رو هم به خاطر همکاری نکردن توی تحقیقات و کمک نکردن به مسدودسازی داراییهای دزدیده شده، زیر سوال برده.
و Bybit گفته که این پولهای دزدیده شده به جاهایی منتقل شدن که قابل ردگیری یا مسدودسازی نیستن، مثل صرافیها، میکسرها یا پلهای بلاکچینی. یا حتی به استیبلکوینهایی تبدیل شدن که میشه اون ها رو فریز کرد. برای همین، از همه طرف های درگیر خواسته که یا پولها رو فریز کنن یا درباره مسیر حرکتشون اطلاعات بدن تا بشه ردیابی رو ادامه داد، این شرکت که مقرش تو دبیه، نتیجه دو تا تحقیق انجامشده توسط شرکتهای Sygnia و Verichains رو منتشر کرده که حمله رو به گروه لازاروس ربط میدن.
طبق گزارش Sygnia، بررسی سیستم های سرور نشون داده که ریشه حمله، کدهای مخربیه که از زیرساخت Safe{Wallet} اومده، Verichains هم گفته که یه فایل جاوااسکریپت سالم توی وبسایت app.safe.global توی تاریخ ۱۹ فوریه ۲۰۲۵ ساعت ۱۵:۲۹:۲۵ UTC با یه کد مخرب جایگزین شده. این حمله دقیقاً برای هدف قرار دادن کیف پول سرد چندامضایی اتریومِ Bybit طراحی شده بود و درست توی زمان انجام اولین تراکنش بعدی Bybit توی ۲۱ فوریه ۲۰۲۵ ساعت ۱۴:۱۳:۳۵ UTC فعال شد.
به احتمال زیاد، کلیدهای API یا حساب AWS S3 و CloudFront سرویس Safe.Global لو رفته یا هک شده که باعث شده این حمله زنجیره تأمین (Supply Chain Attack) اتفاق بیفته، از طرف دیگه، Safe{Wallet} هم اعلام کرده که این حمله از طریق آلوده شدن یکی از سیستمهای توسعه دهنده های خودشون انجام شده که روی حسابی که Bybit ازش استفاده میکرد تأثیر گذاشته. برای جلوگیری از چنین حملاتی هم اقدامات امنیتی جدیدی اضافه کردن.
این حمله اینجوری انجام شده که هکرها سیستم یه توسعهدهنده از Safe{Wallet} رو آلوده کردن و بعدش یه تراکنش مخرب رو طوری جا زدن که عادی به نظر بیاد. لازاروس که یه گروه هکری تحت حمایت دولت کره شمالیه، تخصصش حملات پیچیده مهندسی اجتماعی روی اعتبارنامه های توسعه دهنده هاست و گاهی این حملات رو با اکسپلویت های روز صفر (Zero-day) ترکیب میکنه.
فعلاً معلوم نیست که سیستم اون توسعه دهنده چجوری هک شده، ولی طبق یه تحلیل جدید از Silent Push، گروه لازاروس یه دامنه به اسم bybit-assessment.com رو تو ۲۰ فوریه ۲۰۲۵ ساعت ۲۲:۲۱:۵۷ ثبت کرده؛ یعنی فقط چند ساعت قبل از این سرقت بزرگ، از طرفی WHOIS نشون میده که این دامنه با یه ایمیل مشکوک ثبت شده: "trevorgreer9312@gmail.com" که قبلاً هم به عنوان یه اکانت فیک مرتبط با لازاروس توی حمله دیگهای به اسم "Contagious Interview" شناخته شده بود.
به نظر میاد که سرقت Bybit کار گروه TraderTraitor (همون Jade Sleet و Slow Pisces) بوده، در حالی که اون کلاهبرداری با مصاحبههای فیک مربوط به یه گروه دیگه از کره شمالیه که با اسمهای Contagious Interview و Famous Chollima شناخته میشه ،این گروه معمولاً قربانیها رو از طریق لینکدین پیدا میکنه، با پیشنهادهای کاری قلابی به دام میندازه و توی مصاحبه های فیک، بدافزار رو روی سیستم قربانی نصب میکنه یا اطلاعات ورودشون رو سرقت میکنه تا به داراییهای مالی و شرکتی دسترسی پیدا کنه.
🔥4🤓1
حمله ای که وای فای رو با دقت بالا از کار میندازه...
توی یه تحقیق جدید درباره امنیت شبکه های بی سیم، یه روش خیلی خفن برای از کار انداختن وای فای کشف شده که میتونه با دقت میلی متری فقط یه دستگاه خاص رو قطع کنه، بدون اینکه دستگاه های اطرافش آسیب ببینن، این روش از یه تکنولوژی جدید به اسم RIS (سطح هوشمند بازپیکربندی شونده) استفاده میکنه. این RIS در واقع یه صفحه پر از تکه های فلزی خیلی ریزه که میتونن بهصورت نرمافزاری تنظیم بشن. این صفحه ها امواج الکترومغناطیسی رو جوری تغییر میدن که توی نقاط خاصی، امواج وای فای رو قویتر یا ضعیف تر کنن.
توی آزمایش ها، محقق ها تونستن یه رزبری پای 4B که به یه مودم وایفای ۶ وصل بود رو از کار بندازن، ولی یه دستگاه دقیقاً مشابه که فقط ۵ میلیمتر اونطرف تر بود، هیچ مشکلی پیدا نکرد، این یعنی دقت این روش هزار برابر بیشتر از جمرهای معمولیه که با آنتن های همه جهته کار میکنن.
چطور انجام میشه ؟
1. شنود و تحلیل کانال ارتباطی
شخص مخرب اول، امواج وای فای دستگاه هدف رو شنود میکنه (مثلاً از پینگ های وای فای استفاده میکنه) تا بفهمه که وضعیت امواج چجوریه. این داده ها اطلاعاتی درباره کانال ارتباطی (CSI) میدن.
2. محاسبهی تنظیمات RIS برای حمله
با یه الگوریتم هوشمند که بهش الگوریتم "ژنتیکی حریصانه" میگن، RIS یه سری تنظیمات خاص پیدا میکنه که باعث میشه نسبت قدرت جَمینگ به سیگنال (JSR) روی دستگاه هدف به حداکثر برسه ولی روی بقیه دستگاهها تأثیر زیادی نذاره.
3. اجرای جَمینگ فعال
وقتی RIS تنظیم شد، هکر یه سیگنال وای فای ۵ گیگاهرتزی (با پهنای باند ۲۰ مگاهرتز) میفرسته.
این RIS این سیگنال رو جوری بازتاب میده که روی دستگاه هدف، تداخل مخرب درست کنه (یعنی امواج رو هم پوشانی بده و سیگنال رو نابود کنه) ولی توی بقیه جاها، امواجو جوری تغییر بده که تاثیری نذارن.
حمله به چند هدف همزمان هم میتونه انجام بشه طوری که این سیستم توی تست های میدانی تونسته ۴ تا دستگاه مختلف رو با هم مختل کنه بدون اینکه بقیه دستگاهها دچار مشکل بشن.
پایداری حمله اینطوره که بعد از تنظیم و بهینهسازی، این حمله تا ۲۴ ساعت بدون افت کیفیت کار میکنه، البته اگه کسی توی فاصله ۱ متری راه بره، تأثیر حمله روی دستگاههای غیرهدف تا ۶ دسی بل کم میشه.
هیچ سیستم رمزنگاری ای جلودارش نیست و این حمله کاملاً در لایه فیزیکی شبکه انجام میشه، یعنی رمزنگاری و پروتکل های امنیتی هیچ تأثیری روی جلوگیری ازش ندارن.
اهدافی که میتونیم توی این حمله درنظر بگیریم شامل کارخونههای هوشمند متونه باشه مثلا بعضی عملگرهای خاص توی خط تولید رو میشه از کار انداخت، بدون اینکه کل سیستم امنیتی کارخونه فعال بشه یا مثلا توی بیمارستان ها مثلاً میشه روی دستگاه های پزشکی (مثل پمپ تزریق دارو) جَمینگ انداخت، ولی بقیه تجهیزات مثل مانیتورهای بیمار دست نخورده بمونن یا خونه های هوشمند دزدها قبلاً هم از جمر های ساده برای از کار انداختن دوربین های امنیتی و آلارم ها استفاده میکردن، ولی این روش خیلی دقیق تر و حرفه ای تره.
از طرفی دستگاههایی که از FDD (تقسیم فرکانسی دوطرفه) استفاده میکنن یا فرستنده و گیرندهی جداگانه دارن، کمتر تحت تأثیر این حمله قرار میگیرن، یا دستگاههایی که سیگنال ارسال نمیکنن، فقط تا ۱۳ دسیبل اثر میگیرن. نکته ای که هست اینه که روشهای فعلی مثل مانیتورینگ RSSI یا تصادفیسازی آدرس MAC هیچ فایده ای ندارن.
پس چجوری جلوی این حمله رو بگیریم؟
(Randomized Beamforming):
با تغییر تصادفی جهت امواج توی سیستم های MIMO، میشه RIS رو گیج کرد و نذاشت حمله رو دقیق تنظیم کنه. یا مثلا استفاده از سختافزارهای غیرمتقارن: سیستمهایی که FDD یا ایزولاتور بین فرستنده و گیرنده دارن، مقاومت بیشتری دارن. یا بیایم نظارت چندلایه ای داشته باشیم حسگرهایی که ناهنجاری های سیگنال رو شناسایی کنن، میتونن حمله رو تشخیص بدن.
دکتر آیدین سزگین که یکی از پیشگامای تکنولوژی RIS هست، میگه که هزینه ساخت این سیستمها فعلاً حدود ۷۵۰ یورو برای یه صفحهی ۷۶۸ عنصریه، ولی با ورود 6G، این تکنولوژی ممکنه عمومی بشه و برای حمله های سایبری استفاده بشه.
توی یه تحقیق جدید درباره امنیت شبکه های بی سیم، یه روش خیلی خفن برای از کار انداختن وای فای کشف شده که میتونه با دقت میلی متری فقط یه دستگاه خاص رو قطع کنه، بدون اینکه دستگاه های اطرافش آسیب ببینن، این روش از یه تکنولوژی جدید به اسم RIS (سطح هوشمند بازپیکربندی شونده) استفاده میکنه. این RIS در واقع یه صفحه پر از تکه های فلزی خیلی ریزه که میتونن بهصورت نرمافزاری تنظیم بشن. این صفحه ها امواج الکترومغناطیسی رو جوری تغییر میدن که توی نقاط خاصی، امواج وای فای رو قویتر یا ضعیف تر کنن.
توی آزمایش ها، محقق ها تونستن یه رزبری پای 4B که به یه مودم وایفای ۶ وصل بود رو از کار بندازن، ولی یه دستگاه دقیقاً مشابه که فقط ۵ میلیمتر اونطرف تر بود، هیچ مشکلی پیدا نکرد، این یعنی دقت این روش هزار برابر بیشتر از جمرهای معمولیه که با آنتن های همه جهته کار میکنن.
چطور انجام میشه ؟
1. شنود و تحلیل کانال ارتباطی
شخص مخرب اول، امواج وای فای دستگاه هدف رو شنود میکنه (مثلاً از پینگ های وای فای استفاده میکنه) تا بفهمه که وضعیت امواج چجوریه. این داده ها اطلاعاتی درباره کانال ارتباطی (CSI) میدن.
2. محاسبهی تنظیمات RIS برای حمله
با یه الگوریتم هوشمند که بهش الگوریتم "ژنتیکی حریصانه" میگن، RIS یه سری تنظیمات خاص پیدا میکنه که باعث میشه نسبت قدرت جَمینگ به سیگنال (JSR) روی دستگاه هدف به حداکثر برسه ولی روی بقیه دستگاهها تأثیر زیادی نذاره.
3. اجرای جَمینگ فعال
وقتی RIS تنظیم شد، هکر یه سیگنال وای فای ۵ گیگاهرتزی (با پهنای باند ۲۰ مگاهرتز) میفرسته.
این RIS این سیگنال رو جوری بازتاب میده که روی دستگاه هدف، تداخل مخرب درست کنه (یعنی امواج رو هم پوشانی بده و سیگنال رو نابود کنه) ولی توی بقیه جاها، امواجو جوری تغییر بده که تاثیری نذارن.
حمله به چند هدف همزمان هم میتونه انجام بشه طوری که این سیستم توی تست های میدانی تونسته ۴ تا دستگاه مختلف رو با هم مختل کنه بدون اینکه بقیه دستگاهها دچار مشکل بشن.
پایداری حمله اینطوره که بعد از تنظیم و بهینهسازی، این حمله تا ۲۴ ساعت بدون افت کیفیت کار میکنه، البته اگه کسی توی فاصله ۱ متری راه بره، تأثیر حمله روی دستگاههای غیرهدف تا ۶ دسی بل کم میشه.
هیچ سیستم رمزنگاری ای جلودارش نیست و این حمله کاملاً در لایه فیزیکی شبکه انجام میشه، یعنی رمزنگاری و پروتکل های امنیتی هیچ تأثیری روی جلوگیری ازش ندارن.
اهدافی که میتونیم توی این حمله درنظر بگیریم شامل کارخونههای هوشمند متونه باشه مثلا بعضی عملگرهای خاص توی خط تولید رو میشه از کار انداخت، بدون اینکه کل سیستم امنیتی کارخونه فعال بشه یا مثلا توی بیمارستان ها مثلاً میشه روی دستگاه های پزشکی (مثل پمپ تزریق دارو) جَمینگ انداخت، ولی بقیه تجهیزات مثل مانیتورهای بیمار دست نخورده بمونن یا خونه های هوشمند دزدها قبلاً هم از جمر های ساده برای از کار انداختن دوربین های امنیتی و آلارم ها استفاده میکردن، ولی این روش خیلی دقیق تر و حرفه ای تره.
از طرفی دستگاههایی که از FDD (تقسیم فرکانسی دوطرفه) استفاده میکنن یا فرستنده و گیرندهی جداگانه دارن، کمتر تحت تأثیر این حمله قرار میگیرن، یا دستگاههایی که سیگنال ارسال نمیکنن، فقط تا ۱۳ دسیبل اثر میگیرن. نکته ای که هست اینه که روشهای فعلی مثل مانیتورینگ RSSI یا تصادفیسازی آدرس MAC هیچ فایده ای ندارن.
پس چجوری جلوی این حمله رو بگیریم؟
(Randomized Beamforming):
با تغییر تصادفی جهت امواج توی سیستم های MIMO، میشه RIS رو گیج کرد و نذاشت حمله رو دقیق تنظیم کنه. یا مثلا استفاده از سختافزارهای غیرمتقارن: سیستمهایی که FDD یا ایزولاتور بین فرستنده و گیرنده دارن، مقاومت بیشتری دارن. یا بیایم نظارت چندلایه ای داشته باشیم حسگرهایی که ناهنجاری های سیگنال رو شناسایی کنن، میتونن حمله رو تشخیص بدن.
دکتر آیدین سزگین که یکی از پیشگامای تکنولوژی RIS هست، میگه که هزینه ساخت این سیستمها فعلاً حدود ۷۵۰ یورو برای یه صفحهی ۷۶۸ عنصریه، ولی با ورود 6G، این تکنولوژی ممکنه عمومی بشه و برای حمله های سایبری استفاده بشه.
🤓3
محققای امنیت سایبری دارن هشدار میدن که یه کمپین مخرب جدید، اکوسیستم Go رو هدف گرفته. توی این حمله، یه سری پکیج با اسم های شبیه به کتابخونههای معروف Go منتشر شدن که در واقع برای نصب یه بدافزار لودر روی سیستمهای لینوکس و macOS طراحی شدن.
طبق گزارش «کیریل بوچنکو» از شرکت Socket، مهاجما حداقل هفت تا پکیج منتشر کردن که خودشونو جای کتابخونههای معروف Go جا زدن. یکی از این پکیجا (github.com/shallowmulti/hypert) به نظر میرسه که مخصوصاً توسعه دهنده های بخش مالی رو هدف گرفته.
"همه این پکیجا از یه الگوی مشخص برای نامگذاری فایلای مخرب و تکنیکهای مبهم سازی استفاده میکنن، که نشون میده یه گروه منسجم پشت این حملاته و میتونن خیلی سریع تغییر جهت بدن."
پکیجای آلوده که هنوز روی ریپازیتوری رسمی موجودن:
تحلیلهای Socket نشون میده که این پکیجای تقلبی، کد مخربی دارن که میتونه روی سیستم قربانی اجرای کد از راه دور (RCE) انجام بده. این کار از طریق اجرای یه دستور مخفی شده در شل انجام میشه که یه اسکریپت از سرور alturastreet.icu دانلود و اجرا میکنه.
برای سخت تر کردن شناسایی، اسکریپت مخرب بلافاصله اجرا نمیشه و حداقل یک ساعت تاخیر داره. هدف نهایی این حمله هم نصب و اجرای یه فایل اجرایی روی سیستم قربانیه که میتونه دادهها یا اطلاعات لاگین کاربر رو بدزده.
این افشاگری درست یک ماه بعد از گزارش قبلی Socket انجام شده که یه حمله زنجیره تأمین نرمافزار مشابه رو توی اکوسیستم Go کشف کرده بود. اون حمله هم از یه پکیج مخرب برای گرفتن دسترسی از راه دور به سیستمهای آلوده استفاده میکرد.
بوچنکو توی گزارشش نوشته:
"استفاده مکرر از همون اسم فایلها، تکنیکهای مبهم سازی رشتهای با آرایه، و تاخیر در اجرا، به وضوح نشون میده که این یه گروه مهاجم هماهنگه که برنامه داره برای مدت طولانی توی این فضا بمونه و خودش رو با شرایط وفق بده."
"وجود چندین پکیج مخرب با نام hypert و layout همراه با دامنههای جایگزین، نشون میده که مهاجما یه زیرساخت طولانی مدت طراحی کردن که هر وقت یه دامنه یا ریپازیتوری بلاک یا حذف بشه، سریع میتونن به یه جای دیگه منتقل بشن."
طبق گزارش «کیریل بوچنکو» از شرکت Socket، مهاجما حداقل هفت تا پکیج منتشر کردن که خودشونو جای کتابخونههای معروف Go جا زدن. یکی از این پکیجا (github.com/shallowmulti/hypert) به نظر میرسه که مخصوصاً توسعه دهنده های بخش مالی رو هدف گرفته.
"همه این پکیجا از یه الگوی مشخص برای نامگذاری فایلای مخرب و تکنیکهای مبهم سازی استفاده میکنن، که نشون میده یه گروه منسجم پشت این حملاته و میتونن خیلی سریع تغییر جهت بدن."
پکیجای آلوده که هنوز روی ریپازیتوری رسمی موجودن:
(البته به جز github.com/ornatedoctrin/layout که دیگه از گیتهاب حذف شده)
- shallowmulti/hypert - (github.com/shallowmulti/hypert)
- shadowybulk/hypert - (github.com/shadowybulk/hypert)
- belatedplanet/hypert - (github.com/belatedplanet/hypert)
- thankfulmai/hypert - (github.com/thankfulmai/hypert)
- vainreboot/layout - (github.com/vainreboot/layout)
- ornatedoctrin/layout - (github.com/ornatedoctrin/layout)
- utilizedsun/layout - (github.com/utilizedsun/layout)
تحلیلهای Socket نشون میده که این پکیجای تقلبی، کد مخربی دارن که میتونه روی سیستم قربانی اجرای کد از راه دور (RCE) انجام بده. این کار از طریق اجرای یه دستور مخفی شده در شل انجام میشه که یه اسکریپت از سرور alturastreet.icu دانلود و اجرا میکنه.
برای سخت تر کردن شناسایی، اسکریپت مخرب بلافاصله اجرا نمیشه و حداقل یک ساعت تاخیر داره. هدف نهایی این حمله هم نصب و اجرای یه فایل اجرایی روی سیستم قربانیه که میتونه دادهها یا اطلاعات لاگین کاربر رو بدزده.
این افشاگری درست یک ماه بعد از گزارش قبلی Socket انجام شده که یه حمله زنجیره تأمین نرمافزار مشابه رو توی اکوسیستم Go کشف کرده بود. اون حمله هم از یه پکیج مخرب برای گرفتن دسترسی از راه دور به سیستمهای آلوده استفاده میکرد.
بوچنکو توی گزارشش نوشته:
"استفاده مکرر از همون اسم فایلها، تکنیکهای مبهم سازی رشتهای با آرایه، و تاخیر در اجرا، به وضوح نشون میده که این یه گروه مهاجم هماهنگه که برنامه داره برای مدت طولانی توی این فضا بمونه و خودش رو با شرایط وفق بده."
"وجود چندین پکیج مخرب با نام hypert و layout همراه با دامنههای جایگزین، نشون میده که مهاجما یه زیرساخت طولانی مدت طراحی کردن که هر وقت یه دامنه یا ریپازیتوری بلاک یا حذف بشه، سریع میتونن به یه جای دیگه منتقل بشن."
👍2🤓1
محققای امنیت سایبری یه پکیج مخرب توی مخزن PyPI کشف کردن که میتونه کلید خصوصی اتریوم قربانی رو بدزده. این پکیج خودش رو جای کتابخونه های معروف جا زده تا کسی بهش شک نکنه.
اسم این پکیج set-utils بوده و تا حالا ۱۰۷۷ بار دانلود شده ، ولی دیگه از مخزن رسمی پاک شده و قابل دانلود نیست.
طبق گفتههای شرکت امنیتی Socket، این پکیج به عنوان یه ابزار ساده برای کار با مجموعههای پایتون ظاهر شده، اما در واقع تلاش میکرده خودش رو جای کتابخونه های معروفی مثل python-utils (با بیش از ۷۱۲ میلیون دانلود) و utils (با ۲۳.۵ میلیون دانلود) جا بزنه.
این کار باعث میشده که برنامه نویسای بیخبر از همه جا این پکیج آلوده رو نصب کنن و در نتیجه، مهاجما بتونن به کیف پول های اتریومشون دسترسی پیدا کنن.
تمرکز اصلی این پکیج روی توسعه دهنده های اتریوم و شرکتهایی بوده که با برنامه های بلاکچینی مبتنی بر پایتون کار میکنن، مخصوصاً کتابخونههای مدیریت کیف پول مثل eth-account .
این بدافزار نه تنها کلید عمومی RSA مهاجم رو برای رمزگذاری اطلاعات دزدیده شده توی خودش داشته، بلکه یه حساب اتریومی هم برای ارسال اطلاعات به مهاجم توی کدش قرار داده بوده.
این پکیج وقتی که کاربر یه کیف پول جدید میساخته (مثلاً با توابع from_key() و from_mnemonic() )، کلید خصوصی رو میدزدیده و از طریق تراکنش های بلاکچینی، اطلاعات رو به مهاجم ارسال میکرده.
به جای استفاده از درخواست های HTTP (که معمولاً تحت نظر قرار میگیرن)، این بدافزار از RPC شبکه Polygon برای فرستادن کلیدهای خصوصی استفاده میکرده تا شناسایی شدنش سختتر بشه.
به گفته Socket ، این روش باعث میشده که حتی اگه یه کاربر کیف پولش رو با موفقیت بسازه، کلید خصوصیش همون لحظه دزدیده بشه و بره دست مهاجم.
از طرفی، این تابع مخرب توی یه ترد بک گراند اجرا میشده که باعث میشده شناساییش حتی سخت تر هم بشه.
اسم این پکیج set-utils بوده و تا حالا ۱۰۷۷ بار دانلود شده ، ولی دیگه از مخزن رسمی پاک شده و قابل دانلود نیست.
طبق گفتههای شرکت امنیتی Socket، این پکیج به عنوان یه ابزار ساده برای کار با مجموعههای پایتون ظاهر شده، اما در واقع تلاش میکرده خودش رو جای کتابخونه های معروفی مثل python-utils (با بیش از ۷۱۲ میلیون دانلود) و utils (با ۲۳.۵ میلیون دانلود) جا بزنه.
این کار باعث میشده که برنامه نویسای بیخبر از همه جا این پکیج آلوده رو نصب کنن و در نتیجه، مهاجما بتونن به کیف پول های اتریومشون دسترسی پیدا کنن.
تمرکز اصلی این پکیج روی توسعه دهنده های اتریوم و شرکتهایی بوده که با برنامه های بلاکچینی مبتنی بر پایتون کار میکنن، مخصوصاً کتابخونههای مدیریت کیف پول مثل eth-account .
این بدافزار نه تنها کلید عمومی RSA مهاجم رو برای رمزگذاری اطلاعات دزدیده شده توی خودش داشته، بلکه یه حساب اتریومی هم برای ارسال اطلاعات به مهاجم توی کدش قرار داده بوده.
این پکیج وقتی که کاربر یه کیف پول جدید میساخته (مثلاً با توابع from_key() و from_mnemonic() )، کلید خصوصی رو میدزدیده و از طریق تراکنش های بلاکچینی، اطلاعات رو به مهاجم ارسال میکرده.
به جای استفاده از درخواست های HTTP (که معمولاً تحت نظر قرار میگیرن)، این بدافزار از RPC شبکه Polygon برای فرستادن کلیدهای خصوصی استفاده میکرده تا شناسایی شدنش سختتر بشه.
به گفته Socket ، این روش باعث میشده که حتی اگه یه کاربر کیف پولش رو با موفقیت بسازه، کلید خصوصیش همون لحظه دزدیده بشه و بره دست مهاجم.
از طرفی، این تابع مخرب توی یه ترد بک گراند اجرا میشده که باعث میشده شناساییش حتی سخت تر هم بشه.
از شهریور ۲۰۲۴ یه کمپین جدید توی خاورمیانه و شمال آفریقا راه افتاده که یه نسخه تغییر یافته از بدافزار معروف AsyncRAT رو پخش میکنه.
محققای امنیتی شرکت Positive Technologies میگن که این حمله از شبکههای اجتماعی برای پخش بدافزار استفاده میکنه و به نظر میاد که با شرایط ژئوپلیتیکی منطقه ارتباط داره. مهاجما فایل های آلوده رو توی سرویس های اشتراک گذاری فایل یا کانالهای تلگرامی مخصوص خودشون آپلود میکنن و از اونجا پخش میکنن.
تا پاییز ۲۰۲۴، حدود ۹۰۰ نفر قربانی این بدافزار شدن که نشون میده چقدر گسترده بوده. بیشتر قربانی ها توی کشورای لیبی، عربستان، مصر، ترکیه، امارات، قطر و تونس هستن.
محققای امنیتی این حمله رو به یه گروهی به اسم Desert Dexter نسبت دادن و اولین بار توی فوریه ۲۰۲۵ متوجه فعالیتش شدن.
این Desert Dexter یه سری اکانت فیک و کانال خبری موقتی توی فیسبوک میسازه و توی این صفحات تبلیغاتی با لینک به فایل های آلوده رو منتشر میکنه. این لینک ها کاربرا رو به یه نسخه از AsyncRAT میکشونه که یه سری ویژگیهای جدید بهش اضافه شده، مثل:
- یه کی لاگر آفلاین برای ثبت کلید های فشرده شده روی کیبورد
- اسکن کردن ۱۶ تا کیف پول رمزارز و برنامه های مرتبط
- ارتباط مستقیم با یه بات تلگرامی برای ارسال اطلاعات دزدیده شده
همه چی از یه فایل RAR آلوده شروع میشه که داخلش یه اسکریپت Batch یا JavaScript هست. این اسکریپت ها وقتی اجرا بشن، یه کد PowerShell رو راه میندازن که مرحله بعدی حمله رو شروع میکنه.
بدافزار توی این مرحله:
- فرآیند های مربوط به سرویسهای .NET که ممکنه جلوی اجراش رو بگیرن، میبنده
- فایلهای BAT، PS1 و VBS** رو از مسیرهای C:\ProgramData\WindowsHost و C:\Users\Public حذف میکنه
- توی C:\ProgramData\WindowsHost یه فایل VBS جدید و توی C: Users\Public چندتا فایل BAT و PS1 میسازه
- روی سیستم یه مکانیزم پایداری ایجاد میکنه که با هر بار ری استارت شدن سیستم، دوباره اجرا بشه
- اطلاعات سیستم قربانی رو جمعآوری میکنه و به بات تلگرامی مهاجم میفرسته
- یه اسکرین شات از دسکتاپ قربانی میگیره
- در نهایت، AsyncRAT رو اجرا میکنه و اونو داخل فایل اجرایی aspnet_compiler.exe تزریق میکنه
فعلاً مشخص نیست که چه کسی دقیقاً پشت این حملاته، اما یه سری کامنتهای عربی توی فایلهای JavaScript نشون میدن که ممکنه از کشورهای عربی باشن.
علاوه بر این، محققای امنیتی اسکرین شات هایی از دسکتاپ خود مهاجم پیدا کردن که توش یه فایل PowerShell مخرب و ابزار Luminosity Link RAT دیده میشه. توی همون اطلاعات، یه لینک به کانال تلگرامی "dexterlyly" هم پیدا شده که به نظر میاد مهاجم اهل لیبی باشه. این کانال تلگرامی توی ۵ اکتبر ۲۰۲۴ ساخته شده.
اکثر قربانی های این حمله کاربرای عادی بودن، ولی در کنارش کارمندای بخش های مختلف مثل صنعت نفت، ساختمانسازی، فناوری اطلاعات و کشاورزی هم آسیب دیدن.
محققای امنیتی میگن که ابزارهای استفاده شده توسط Desert Dexter خیلی پیشرفته نیستن، اما ترکیب تبلیغات فیسبوک، استفاده از سرویس های معتبر برای دانلود بدافزار و سوءاستفاده از شرایط سیاسی منطقه باعث شده تعداد زیادی از کاربرا آلوده بشن.
این ماجرا در حالی اتفاق افتاده که شرکت QiAnXin هم یه کمپین فیشینگ هدفمند به اسم Operation Sea Elephant رو کشف کرده که مراکز تحقیقاتی علمی چین رو هدف گرفته. هدف این حمله، نصب یه درب پشتی برای دزدیدن اطلاعات حساس مرتبط با علوم و فناوریهای دریایی بوده.
محققای امنیتی این حمله رو به یه گروه تهدید به اسم UTG-Q-011 نسبت دادن که یه زیرمجموعه از گروه CNC محسوب میشه. گفته میشه که CNC شباهتهایی به گروه Patchwork (که احتمالاً از هند باشن) داره.
محققای امنیتی شرکت Positive Technologies میگن که این حمله از شبکههای اجتماعی برای پخش بدافزار استفاده میکنه و به نظر میاد که با شرایط ژئوپلیتیکی منطقه ارتباط داره. مهاجما فایل های آلوده رو توی سرویس های اشتراک گذاری فایل یا کانالهای تلگرامی مخصوص خودشون آپلود میکنن و از اونجا پخش میکنن.
تا پاییز ۲۰۲۴، حدود ۹۰۰ نفر قربانی این بدافزار شدن که نشون میده چقدر گسترده بوده. بیشتر قربانی ها توی کشورای لیبی، عربستان، مصر، ترکیه، امارات، قطر و تونس هستن.
محققای امنیتی این حمله رو به یه گروهی به اسم Desert Dexter نسبت دادن و اولین بار توی فوریه ۲۰۲۵ متوجه فعالیتش شدن.
این Desert Dexter یه سری اکانت فیک و کانال خبری موقتی توی فیسبوک میسازه و توی این صفحات تبلیغاتی با لینک به فایل های آلوده رو منتشر میکنه. این لینک ها کاربرا رو به یه نسخه از AsyncRAT میکشونه که یه سری ویژگیهای جدید بهش اضافه شده، مثل:
- یه کی لاگر آفلاین برای ثبت کلید های فشرده شده روی کیبورد
- اسکن کردن ۱۶ تا کیف پول رمزارز و برنامه های مرتبط
- ارتباط مستقیم با یه بات تلگرامی برای ارسال اطلاعات دزدیده شده
همه چی از یه فایل RAR آلوده شروع میشه که داخلش یه اسکریپت Batch یا JavaScript هست. این اسکریپت ها وقتی اجرا بشن، یه کد PowerShell رو راه میندازن که مرحله بعدی حمله رو شروع میکنه.
بدافزار توی این مرحله:
- فرآیند های مربوط به سرویسهای .NET که ممکنه جلوی اجراش رو بگیرن، میبنده
- فایلهای BAT، PS1 و VBS** رو از مسیرهای C:\ProgramData\WindowsHost و C:\Users\Public حذف میکنه
- توی C:\ProgramData\WindowsHost یه فایل VBS جدید و توی C: Users\Public چندتا فایل BAT و PS1 میسازه
- روی سیستم یه مکانیزم پایداری ایجاد میکنه که با هر بار ری استارت شدن سیستم، دوباره اجرا بشه
- اطلاعات سیستم قربانی رو جمعآوری میکنه و به بات تلگرامی مهاجم میفرسته
- یه اسکرین شات از دسکتاپ قربانی میگیره
- در نهایت، AsyncRAT رو اجرا میکنه و اونو داخل فایل اجرایی aspnet_compiler.exe تزریق میکنه
فعلاً مشخص نیست که چه کسی دقیقاً پشت این حملاته، اما یه سری کامنتهای عربی توی فایلهای JavaScript نشون میدن که ممکنه از کشورهای عربی باشن.
علاوه بر این، محققای امنیتی اسکرین شات هایی از دسکتاپ خود مهاجم پیدا کردن که توش یه فایل PowerShell مخرب و ابزار Luminosity Link RAT دیده میشه. توی همون اطلاعات، یه لینک به کانال تلگرامی "dexterlyly" هم پیدا شده که به نظر میاد مهاجم اهل لیبی باشه. این کانال تلگرامی توی ۵ اکتبر ۲۰۲۴ ساخته شده.
اکثر قربانی های این حمله کاربرای عادی بودن، ولی در کنارش کارمندای بخش های مختلف مثل صنعت نفت، ساختمانسازی، فناوری اطلاعات و کشاورزی هم آسیب دیدن.
محققای امنیتی میگن که ابزارهای استفاده شده توسط Desert Dexter خیلی پیشرفته نیستن، اما ترکیب تبلیغات فیسبوک، استفاده از سرویس های معتبر برای دانلود بدافزار و سوءاستفاده از شرایط سیاسی منطقه باعث شده تعداد زیادی از کاربرا آلوده بشن.
این ماجرا در حالی اتفاق افتاده که شرکت QiAnXin هم یه کمپین فیشینگ هدفمند به اسم Operation Sea Elephant رو کشف کرده که مراکز تحقیقاتی علمی چین رو هدف گرفته. هدف این حمله، نصب یه درب پشتی برای دزدیدن اطلاعات حساس مرتبط با علوم و فناوریهای دریایی بوده.
محققای امنیتی این حمله رو به یه گروه تهدید به اسم UTG-Q-011 نسبت دادن که یه زیرمجموعه از گروه CNC محسوب میشه. گفته میشه که CNC شباهتهایی به گروه Patchwork (که احتمالاً از هند باشن) داره.
👍1
چند وقت پیش، بعد از اینکه Tarlogic اعلام کرد که یه «بک دور» توی میکروکنترلرهای معروف ESP32 شرکت Espressif پیدا کرده، کلی سروصدا به پا شد. این مشکل توی بخش بلوتوث این چیپها بود و میتونست به هکرها اجازه بده کنترل زیادی روی سیستم داشته باشن. ولی همونطور که Xeno Kovah توضیح میده، این ادعاها زیادی بزرگ نمایی شدن و اینکه بهش بگیم «بک دور» خیلی بیشتر از چیزی که واقعاً کشف شده، غلوآمیزه.
حالا اصل ماجرا چیه؟ محقق ها یه سری دستورات مخصوص تولیدکننده (VSC) رو توی ROM عمومی ESP32 پیدا کردن. این دستورات از طریق رابط HCI بین نرمافزار و بخش فیزیکی بلوتوث رد و بدل میشن. این VSCها میتونن کارهایی مثل خوندن و نوشتن روی فریمور بلوتوث و ارسال پکت های سطح پایین انجام بدن.
ولی یه چیزی که باید بدونیم اینه که VSCها توی همه کنترلرهای بلوتوث یه قابلیت استاندارد محسوب میشن و هر شرکت سازنده، یه سری از این دستورات رو برای استفاده توی SDK خودش پیادهسازی میکنه. این دستورات معمولاً برای آپدیت فریمور، گزارش دما و دیباگ استفاده میشن و معمولاً هم مستند هستن (به جز Broadcom که یه کم مرموزه).
در واقع، Xeno میگه که VSCها یه ویژگی استاندارد توی کنترلرهای بلوتوث هستن و مثل خیلی از قابلیتهای دیگه، میتونن سوءاستفاده بشن. بعد از این جنجالها، Tarlogic مقاله اش رو آپدیت کرد و گفت که به جای «بک دور»، بهتره بهش بگیم «ویژگی مخفی». با این حال، اگه این VSCها توی چیپ های ESP32 یه تهدید امنیتی حساب بشن، پس همون طور که Xeno اشاره میکنه، میلیونها کنترلر بلوتوث از شرکتهایی مثل Texas Instruments و Broadcom که همین قابلیت رو دارن، هم باید یه تهدید امنیتی باشن.
حالا اصل ماجرا چیه؟ محقق ها یه سری دستورات مخصوص تولیدکننده (VSC) رو توی ROM عمومی ESP32 پیدا کردن. این دستورات از طریق رابط HCI بین نرمافزار و بخش فیزیکی بلوتوث رد و بدل میشن. این VSCها میتونن کارهایی مثل خوندن و نوشتن روی فریمور بلوتوث و ارسال پکت های سطح پایین انجام بدن.
ولی یه چیزی که باید بدونیم اینه که VSCها توی همه کنترلرهای بلوتوث یه قابلیت استاندارد محسوب میشن و هر شرکت سازنده، یه سری از این دستورات رو برای استفاده توی SDK خودش پیادهسازی میکنه. این دستورات معمولاً برای آپدیت فریمور، گزارش دما و دیباگ استفاده میشن و معمولاً هم مستند هستن (به جز Broadcom که یه کم مرموزه).
در واقع، Xeno میگه که VSCها یه ویژگی استاندارد توی کنترلرهای بلوتوث هستن و مثل خیلی از قابلیتهای دیگه، میتونن سوءاستفاده بشن. بعد از این جنجالها، Tarlogic مقاله اش رو آپدیت کرد و گفت که به جای «بک دور»، بهتره بهش بگیم «ویژگی مخفی». با این حال، اگه این VSCها توی چیپ های ESP32 یه تهدید امنیتی حساب بشن، پس همون طور که Xeno اشاره میکنه، میلیونها کنترلر بلوتوث از شرکتهایی مثل Texas Instruments و Broadcom که همین قابلیت رو دارن، هم باید یه تهدید امنیتی باشن.
یه کمپین جدید بدافزاری پیدا شده که با استفاده از مهندسی اجتماعی، یه روت کیت اوپن سورس به اسم r77 رو روی سیستم قربانی نصب میکنه، این حمله که توسط شرکت Securonix با اسم OBSCURE#BAT شناخته شده، به هکرها اجازه میده توی سیستم های آلوده موندگار بشن و از دید آنتی ویروسها مخفی بمونن. فعلاً معلوم نیست چه کسی یا گروهی پشت این ماجراست.
طبق گزارش امنیتی که توسط Den Iuzvyk و Tim Peck منتشر شده، این روت کیت میتونه هر فایل، کلید رجیستری، یا پردازشی که یه پیشوند خاص داشته باشه رو مخفی کنه. هکرها هم دارن از این قابلیت سوءاستفاده میکنن و بدافزارشون رو یا به اسم یه نرمافزار معتبر جا میزنن یا از ترفندهای مهندسی اجتماعی مثل کپچای تقلبی استفاده میکنن. هدف اصلی این حمله، کاربران انگلیسی زبان هستن، مخصوصاً توی آمریکا، کانادا، آلمان و بریتانیا.
حمله از طریق یه اسکریپت Batch شروع میشه که بهصورت مبهم و رمزگذاری شده (obfuscated) نوشته شده. این اسکریپت بعد از اجرا، دستورات PowerShell رو اجرا میکنه تا مراحل مختلف نصب بدافزار رو طی کنه و در نهایت روتکیت اصلی رو روی سیستم قربانی بندازه.
تا حالا دو روش اصلی برای اجرای این اسکریپت شناسایی شده:
1. فریب کاربران با کپچای جعلی : هکرها یه صفحه تقلبی شبیه به کپچای Cloudflare میسازن که وقتی کاربر روش کلیک میکنه، اسکریپت آلوده رو اجرا میکنه.
2. وانمود کردن به عنوان یه نرمافزار معروف : بدافزار رو بهعنوان نرمافزارهای معتبر مثل مرورگر Tor، برنامههای VoIP یا کلاینتهای پیامرسان تبلیغ میکنن.
معلوم نیست دقیقاً چطوری قربانیها رو به سمت این لینکهای آلوده میکشونن، ولی احتمالاً از روشهای مرسوم مثل تبلیغات مخرب (malvertising) یا دستکاری نتایج موتور جستجو (SEO poisoning) استفاده میکنن.
بعد از اینکه کاربر فایل آلوده رو دانلود و اجرا کنه، یه آرشیو حاوی اسکریپت مخرب باز میشه که به کمک PowerShell، کارهای زیر رو انجام میده:
- ساخت و اجرای اسکریپت های بیشتر
- تغییرات در رجیستری ویندوز
- ایجاد Task زمانبندی شده برای اجرای مداوم بدافزار
محققان امنیتی میگن:
"بدافزار اسکریپت های خودش رو بهصورت رمزگذاری شده توی رجیستری ویندوز ذخیره میکنه و با استفاده از Taskهای زمانبندی شده، خودش رو اجرا میکنه تا توی پس زمینه مخفی بمونه. همچنین یه درایور تقلبی به اسم ACPIx86.sys ثبت میکنه تا خودش رو بیشتر توی سیستم جا بندازه."
روشهای دور زدن آنتیویروس
توی این حمله اینطوره که، یه Payload .NET هم اجرا میشه که با کلی حقههای امنیتی مثل مبهم سازی جریان کنترل (control-flow obfuscation)، رمزگذاری رشته ها (string encryption) و استفاده از اسامی ترکیبی شامل کاراکترهای عربی، چینی و خاص از شناسایی شدن فرار میکنه.
یکی دیگه از Payload ها که از طریق PowerShell اجرا میشه، یه فایل اجرایی مخربه که از تکنیک AMSI patching برای دور زدن آنتی ویروس ها استفاده میکنه.
در نهایت، بدافزار یه روت کیت سطح سیستم به اسم ACPIx86.sys رو توی پوشه C:\Windows\System32\Drivers\ ذخیره و بهعنوان یه سرویس ویندوز اجرا میکنه. همچنین یه روتکیت سطح کاربری (user-mode) به اسم r77 نصب میشه که کارش مخفی کردن فایلها، پردازشها و کلیدهای رجیستری با الگوی خاص ($nya-) هست.
این بدافزار بهصورت دورهای فعالیت کلیپبورد و تاریخچه دستورات سیستم رو زیر نظر میگیره و توی فایلهای مخفی ذخیره میکنه، احتمالاً برای ارسال به سرور هکرها.
محققای امنیتی میگن:
"این OBSCURE#BAT یه زنجیره حمله فوقالعاده مخفیکارانه داره که از تکنیکهایی مثل مبهمسازی، روشهای مخفی شدن و Hook کردن APIهای ویندوز برای پایداری در سیستم استفاده میکنه و شناسایی اون رو سخت میکنه."
از اجرای اولین اسکریپت (install.bat) تا ایجاد Taskهای زمانبندیشده و ذخیره اسکریپتها در رجیستری، این بدافزار طوری طراحی شده که حتی بعد از ریاستارت شدن سیستم هم پاک نشه. با تزریق خودش توی پردازشهای سیستمی مثل winlogon.exe، رفتار پردازشها رو تغییر میده و شناسایی رو سختتر میکنه.
در کنار این کشف، شرکت Cofense هم یه کمپین فیشینگ جدید رو گزارش داده که با جعل Microsoft Copilot، کاربران رو به یه صفحهی جعلی میکشونه تا اطلاعات ورود و کدهای تأیید دو مرحلهای (2FA) اونها رو بدزده.
طبق گزارش امنیتی که توسط Den Iuzvyk و Tim Peck منتشر شده، این روت کیت میتونه هر فایل، کلید رجیستری، یا پردازشی که یه پیشوند خاص داشته باشه رو مخفی کنه. هکرها هم دارن از این قابلیت سوءاستفاده میکنن و بدافزارشون رو یا به اسم یه نرمافزار معتبر جا میزنن یا از ترفندهای مهندسی اجتماعی مثل کپچای تقلبی استفاده میکنن. هدف اصلی این حمله، کاربران انگلیسی زبان هستن، مخصوصاً توی آمریکا، کانادا، آلمان و بریتانیا.
حمله از طریق یه اسکریپت Batch شروع میشه که بهصورت مبهم و رمزگذاری شده (obfuscated) نوشته شده. این اسکریپت بعد از اجرا، دستورات PowerShell رو اجرا میکنه تا مراحل مختلف نصب بدافزار رو طی کنه و در نهایت روتکیت اصلی رو روی سیستم قربانی بندازه.
تا حالا دو روش اصلی برای اجرای این اسکریپت شناسایی شده:
1. فریب کاربران با کپچای جعلی : هکرها یه صفحه تقلبی شبیه به کپچای Cloudflare میسازن که وقتی کاربر روش کلیک میکنه، اسکریپت آلوده رو اجرا میکنه.
2. وانمود کردن به عنوان یه نرمافزار معروف : بدافزار رو بهعنوان نرمافزارهای معتبر مثل مرورگر Tor، برنامههای VoIP یا کلاینتهای پیامرسان تبلیغ میکنن.
معلوم نیست دقیقاً چطوری قربانیها رو به سمت این لینکهای آلوده میکشونن، ولی احتمالاً از روشهای مرسوم مثل تبلیغات مخرب (malvertising) یا دستکاری نتایج موتور جستجو (SEO poisoning) استفاده میکنن.
بعد از اینکه کاربر فایل آلوده رو دانلود و اجرا کنه، یه آرشیو حاوی اسکریپت مخرب باز میشه که به کمک PowerShell، کارهای زیر رو انجام میده:
- ساخت و اجرای اسکریپت های بیشتر
- تغییرات در رجیستری ویندوز
- ایجاد Task زمانبندی شده برای اجرای مداوم بدافزار
محققان امنیتی میگن:
"بدافزار اسکریپت های خودش رو بهصورت رمزگذاری شده توی رجیستری ویندوز ذخیره میکنه و با استفاده از Taskهای زمانبندی شده، خودش رو اجرا میکنه تا توی پس زمینه مخفی بمونه. همچنین یه درایور تقلبی به اسم ACPIx86.sys ثبت میکنه تا خودش رو بیشتر توی سیستم جا بندازه."
روشهای دور زدن آنتیویروس
توی این حمله اینطوره که، یه Payload .NET هم اجرا میشه که با کلی حقههای امنیتی مثل مبهم سازی جریان کنترل (control-flow obfuscation)، رمزگذاری رشته ها (string encryption) و استفاده از اسامی ترکیبی شامل کاراکترهای عربی، چینی و خاص از شناسایی شدن فرار میکنه.
یکی دیگه از Payload ها که از طریق PowerShell اجرا میشه، یه فایل اجرایی مخربه که از تکنیک AMSI patching برای دور زدن آنتی ویروس ها استفاده میکنه.
در نهایت، بدافزار یه روت کیت سطح سیستم به اسم ACPIx86.sys رو توی پوشه C:\Windows\System32\Drivers\ ذخیره و بهعنوان یه سرویس ویندوز اجرا میکنه. همچنین یه روتکیت سطح کاربری (user-mode) به اسم r77 نصب میشه که کارش مخفی کردن فایلها، پردازشها و کلیدهای رجیستری با الگوی خاص ($nya-) هست.
این بدافزار بهصورت دورهای فعالیت کلیپبورد و تاریخچه دستورات سیستم رو زیر نظر میگیره و توی فایلهای مخفی ذخیره میکنه، احتمالاً برای ارسال به سرور هکرها.
محققای امنیتی میگن:
"این OBSCURE#BAT یه زنجیره حمله فوقالعاده مخفیکارانه داره که از تکنیکهایی مثل مبهمسازی، روشهای مخفی شدن و Hook کردن APIهای ویندوز برای پایداری در سیستم استفاده میکنه و شناسایی اون رو سخت میکنه."
از اجرای اولین اسکریپت (install.bat) تا ایجاد Taskهای زمانبندیشده و ذخیره اسکریپتها در رجیستری، این بدافزار طوری طراحی شده که حتی بعد از ریاستارت شدن سیستم هم پاک نشه. با تزریق خودش توی پردازشهای سیستمی مثل winlogon.exe، رفتار پردازشها رو تغییر میده و شناسایی رو سختتر میکنه.
در کنار این کشف، شرکت Cofense هم یه کمپین فیشینگ جدید رو گزارش داده که با جعل Microsoft Copilot، کاربران رو به یه صفحهی جعلی میکشونه تا اطلاعات ورود و کدهای تأیید دو مرحلهای (2FA) اونها رو بدزده.
CVE-2025-24813.py
7 KB
apache tomcat
RCE
آسیب پذیری امنیتی با شناسه CVE-2025-24813 در Apache Tomcat اصلاح شده که امکان RCE، افشای اطلاعات حساس و دستکاری داده ها رو به مهاجم میده.
RCE
آسیب پذیری امنیتی با شناسه CVE-2025-24813 در Apache Tomcat اصلاح شده که امکان RCE، افشای اطلاعات حساس و دستکاری داده ها رو به مهاجم میده.
GeekNotif
CVE-2025-24813.py
همه دیگه خبردار شدیم که یه باگ امنیتی توی Apache Tomcat کشف شده که بعد از عمومی شدن، خیلی زود مورد سوءاستفاده قرار گرفته ،فقط ۳۰ ساعت بعد از اعلام عمومی، یه نفر PoC این باگ رو منتشر کرد و از اون موقع دیگه قضیه حسابی جدی شده.
این باگ که با کد CVE-2025-24813 شناخته میشه، روی ورژن های زیر از Tomcat تأثیر میذاره:
- Tomcat 11.0.0-M1 تا 11.0.2
- Tomcat 10.1.0-M1 تا 10.1.34
- Tomcat 9.0.0-M1 تا 9.0.98
اگه شرایط خاصی برقرار باشه، هکر میتونه از این باگ برای اجرای کد از راه دور (RCE) یا دزدیدن اطلاعات حساس استفاده کنه. اون شرایط هم ایناس:
1. قابلیت نوشتن برای default servlet فعال باشه (که بهطور پیشفرض خاموشه).
2. قابلیت partial PUT روشن باشه (که پیشفرض روشنه).
3. آدرس URL که فایل های امنیتی توش آپلود میشن، یه زیردایرکتوری از یه آدرس عمومی باشه.
4. مهاجم اسم فایلهای حساس رو بدونه.
5. فایلهای حساس از طریق partial PUT آپلود بشن.
در نتیجه یه فرد مخرب میتونه فایل های امنیتی رو ببینه یا محتوای دلخواه خودش رو داخل اون ها تزریق کنه...
اما این تازه اولشه، اگه یه سری شرایط دیگه هم برقرار باشه، شخص مخرب میتونه روی سرور کد اجرا کنه:
- همون قابلیت نوشتن برای default servlet فعال باشه.
- همون partial PUT فعال باشه.
- اپلیکیشن، از سیستم ذخیره سازی فایل محور سشن توی Tomcat استفاده کنه.
- یه کتابخونه توی اپ باشه که بشه باهاش حمله deserialization انجام داد.
هفته پیش تیم Tomcat یه آپدیت امنیتی داد که این مشکل رو توی نسخههای 9.0.99، 10.1.35 و 11.0.3 حل کرده. ولی مشکل اینجاست که هکرها دیگه شروع کردن به استفاده از این باگ توی دنیای واقعی.
طبق گزارش Wallarm، حمله به این شکل انجام میشه:
1. مهاجم یه فایل سشن جاوا سریال شده رو با یه درخواست PUT توی سرور آپلود میکنه.
2. بعدش یه درخواست GET میفرسته که اون فایل رو لود کنه و باعث deserialization بشه.
به زبان ساده، هکر یه محتوای مخرب Base64-encoded رو توی storage سشن Tomcat میذاره و بعدش با یه درخواست GET اون رو اجرا میکنه.
طبق گفته Wallarm، این حمله خیلی آسونه و اصلاً نیازی به احراز هویت نداره تنها چیزی که لازمه اینه که Tomcat از سیستم سشن فایلمحور استفاده کنه.
حالا مشکل بزرگ تر اینه که مدیریت partial PUT توی Tomcat باعث میشه بشه هر فایلی رو هر جایی آپلود کرد ، یعنی مهاجم ها ممکنه روشهای حمله شون رو تغییر بدن، مثلاً:
- فایلهای JSP مخرب آپلود کنن.
- تنظیمات رو تغییر بدن.
- بک دور جا بذارن.
راه حل ؟ آپدیت
این باگ که با کد CVE-2025-24813 شناخته میشه، روی ورژن های زیر از Tomcat تأثیر میذاره:
- Tomcat 11.0.0-M1 تا 11.0.2
- Tomcat 10.1.0-M1 تا 10.1.34
- Tomcat 9.0.0-M1 تا 9.0.98
اگه شرایط خاصی برقرار باشه، هکر میتونه از این باگ برای اجرای کد از راه دور (RCE) یا دزدیدن اطلاعات حساس استفاده کنه. اون شرایط هم ایناس:
1. قابلیت نوشتن برای default servlet فعال باشه (که بهطور پیشفرض خاموشه).
2. قابلیت partial PUT روشن باشه (که پیشفرض روشنه).
3. آدرس URL که فایل های امنیتی توش آپلود میشن، یه زیردایرکتوری از یه آدرس عمومی باشه.
4. مهاجم اسم فایلهای حساس رو بدونه.
5. فایلهای حساس از طریق partial PUT آپلود بشن.
در نتیجه یه فرد مخرب میتونه فایل های امنیتی رو ببینه یا محتوای دلخواه خودش رو داخل اون ها تزریق کنه...
اما این تازه اولشه، اگه یه سری شرایط دیگه هم برقرار باشه، شخص مخرب میتونه روی سرور کد اجرا کنه:
- همون قابلیت نوشتن برای default servlet فعال باشه.
- همون partial PUT فعال باشه.
- اپلیکیشن، از سیستم ذخیره سازی فایل محور سشن توی Tomcat استفاده کنه.
- یه کتابخونه توی اپ باشه که بشه باهاش حمله deserialization انجام داد.
هفته پیش تیم Tomcat یه آپدیت امنیتی داد که این مشکل رو توی نسخههای 9.0.99، 10.1.35 و 11.0.3 حل کرده. ولی مشکل اینجاست که هکرها دیگه شروع کردن به استفاده از این باگ توی دنیای واقعی.
طبق گزارش Wallarm، حمله به این شکل انجام میشه:
1. مهاجم یه فایل سشن جاوا سریال شده رو با یه درخواست PUT توی سرور آپلود میکنه.
2. بعدش یه درخواست GET میفرسته که اون فایل رو لود کنه و باعث deserialization بشه.
به زبان ساده، هکر یه محتوای مخرب Base64-encoded رو توی storage سشن Tomcat میذاره و بعدش با یه درخواست GET اون رو اجرا میکنه.
طبق گفته Wallarm، این حمله خیلی آسونه و اصلاً نیازی به احراز هویت نداره تنها چیزی که لازمه اینه که Tomcat از سیستم سشن فایلمحور استفاده کنه.
حالا مشکل بزرگ تر اینه که مدیریت partial PUT توی Tomcat باعث میشه بشه هر فایلی رو هر جایی آپلود کرد ، یعنی مهاجم ها ممکنه روشهای حمله شون رو تغییر بدن، مثلاً:
- فایلهای JSP مخرب آپلود کنن.
- تنظیمات رو تغییر بدن.
- بک دور جا بذارن.
راه حل ؟ آپدیت
هکرها دارن از Cascading Style Sheets (CSS) که همون زبان استایل دهی صفحات وبه، به عنوان یه ترفند برای دور زدن فیلترهای، اسپم و ردیابی فعالیت های کاربران استفاده میکنن.
طبق گزارش جدید Cisco Talos، این نوع حملات میتونن امنیت و حریم خصوصی قربانیها رو به خطر بندازن.
امید میرزایی، محقق Talos، توی گزارشی که هفته پیش منتشر شد، گفت:
"ویژگیهای موجود توی CSS به مهاجم ها و اسپمرها اجازه میده که فعالیت ها و ترجیحات کاربران رو ردیابی کنن، حتی با وجود اینکه ویژگی های مربوط به محتوای داینامیک (مثل JavaScript) توی کلاینتهای ایمیل نسبت به مرورگرها محدودتره."
این تحقیق، در ادامه یافتههای قبلی Cisco Talos در مورد افزایش تهدیدهای ایمیلی با استفاده از تکنیک “hidden text salting” توی نیمه دوم ۲۰۲۴ انجام شده. مهاجمها با این روش سعی میکنن فیلترهای اسپم و سیستم های امنیتی ایمیل رو دور بزنن.
محقق های Talos فهمیدن که هکرها از یه سری ویژگی های CSS مثل text-indent و opacity برای مخفی کردن محتوای غیرضروری توی ایمیل ها استفاده میکنن.
هدف نهایی بعضی از این حملات اینه که گیرنده ایمیل رو به یه صفحه فیشینگ بکشونن، اما این تازه اولشه CSS حتی به هکرها اجازه میده که از طریق ایمیلهای اسپم، رفتار کاربر رو ردیابی کنن.
مهاجم ها میتونن با استفاده از ویژگیهایی مثل @media at-rule توی CSS، اطلاعات مختلفی از کاربر جمع کنن. این موضوع یه راه جدید برای انجام حملات fingerprinting باز میکنه.
میرزایی توضیح میده که:
"این سوءاستفاده میتونه شامل تشخیص فونت و رنگبندی موردعلاقه گیرنده، زبان کلاینت ایمیلش و حتی دنبال کردن اقداماتش (مثل باز کردن یا پرینت گرفتن از ایمیل) باشه."
در واقع، CSS یه سری ویژگی ها داره که به اسپمرها و مهاجمها کمک میکنه تا کاربر، کلاینت ایمیل یا سیستمش رو fingerprint کنن.
مثلاً، با @media at-rule میشه چیزایی مثل:
- اندازهی صفحه نمایش
- رزولوشن
- عمق رنگ (color depth)
رو فهمید و این اطلاعات برای شخصی سازی حملات فیشینگ یا دور زدن سیستم های امنیتی خیلی مفیده.
برای مقابله با این تهدید، پیشنهاد میشه که از مکانیزم های فیلترینگ پیشرفته برای شناسایی hidden text salting و تکنیکهای مخفیسازی محتوا استفاده بشه. همچنین، پراکسیهای مخصوص ایمیل میتونن یه لایه امنیتی اضافه ایجاد کنن.
طبق گزارش جدید Cisco Talos، این نوع حملات میتونن امنیت و حریم خصوصی قربانیها رو به خطر بندازن.
امید میرزایی، محقق Talos، توی گزارشی که هفته پیش منتشر شد، گفت:
"ویژگیهای موجود توی CSS به مهاجم ها و اسپمرها اجازه میده که فعالیت ها و ترجیحات کاربران رو ردیابی کنن، حتی با وجود اینکه ویژگی های مربوط به محتوای داینامیک (مثل JavaScript) توی کلاینتهای ایمیل نسبت به مرورگرها محدودتره."
این تحقیق، در ادامه یافتههای قبلی Cisco Talos در مورد افزایش تهدیدهای ایمیلی با استفاده از تکنیک “hidden text salting” توی نیمه دوم ۲۰۲۴ انجام شده. مهاجمها با این روش سعی میکنن فیلترهای اسپم و سیستم های امنیتی ایمیل رو دور بزنن.
محقق های Talos فهمیدن که هکرها از یه سری ویژگی های CSS مثل text-indent و opacity برای مخفی کردن محتوای غیرضروری توی ایمیل ها استفاده میکنن.
هدف نهایی بعضی از این حملات اینه که گیرنده ایمیل رو به یه صفحه فیشینگ بکشونن، اما این تازه اولشه CSS حتی به هکرها اجازه میده که از طریق ایمیلهای اسپم، رفتار کاربر رو ردیابی کنن.
مهاجم ها میتونن با استفاده از ویژگیهایی مثل @media at-rule توی CSS، اطلاعات مختلفی از کاربر جمع کنن. این موضوع یه راه جدید برای انجام حملات fingerprinting باز میکنه.
میرزایی توضیح میده که:
"این سوءاستفاده میتونه شامل تشخیص فونت و رنگبندی موردعلاقه گیرنده، زبان کلاینت ایمیلش و حتی دنبال کردن اقداماتش (مثل باز کردن یا پرینت گرفتن از ایمیل) باشه."
در واقع، CSS یه سری ویژگی ها داره که به اسپمرها و مهاجمها کمک میکنه تا کاربر، کلاینت ایمیل یا سیستمش رو fingerprint کنن.
مثلاً، با @media at-rule میشه چیزایی مثل:
- اندازهی صفحه نمایش
- رزولوشن
- عمق رنگ (color depth)
رو فهمید و این اطلاعات برای شخصی سازی حملات فیشینگ یا دور زدن سیستم های امنیتی خیلی مفیده.
برای مقابله با این تهدید، پیشنهاد میشه که از مکانیزم های فیلترینگ پیشرفته برای شناسایی hidden text salting و تکنیکهای مخفیسازی محتوا استفاده بشه. همچنین، پراکسیهای مخصوص ایمیل میتونن یه لایه امنیتی اضافه ایجاد کنن.
یه سازنده به اسم رایان واکر یه افزونه خفن ساخته واسه ابزار معروف Flipper Zero که باهاش میتونی تست امنیت شبکه ها رو انجام بدی، اونم با استفاده از سه تا رادیو مختلف. اسم این افزونه جدیدش هست Flipper Blackhat.
فلیپر زیرو که از سال ۲۰۲۱ به تولید انبوه رسید، اولش به عنوان یه "چندکاره برای هکرها" معروف شد، ولی بعد شرکت سازنده یعنی Flipper Devices گفت: نه بابا، این واسه "گیکها"هست ولی دیگه اون موقع دیر شده بود، چون دولت کانادا دست به کار شده بود و میخواست جلو فروشش رو بگیره.
این فلیپر یه گجت بیسیم و باسیم چندکاره در اختیارت میذاره تا بتونی با کلی چیز حال کنی؛ مثل سیگنال های زیر گیگاهرتز، مادون قرمز، RFID، NFC و کلی چیز دیگه.
ولی یه چیزی که فلیپر زیرو به صورت پیش فرض نداره، wifi هست . البته یه سری افزونه ها، حتی یکی هم خود شرکت Flipper Devices داده بیرون، این قابلیت وای فای رو بهش اضافه میکنن؛ ولی چیزی که واکر ساخته یه چیز دیگه هست: در واقع یه کامپیوتر تکبُردی قوی که خودش به تنهایی کلی کار ازش برمیاد. فلپر زیرو تو اینجا بیشتر نقش نمایشگر، کیبورد و باتری رو داره.
این برد دور یه چیپ قدیمی به اسم Allwinner A33 ساخته شده که توی سال ۲۰۱۴ برای تبلتهای اندرویدی طراحی شده بود. این چیپ چهار هسته پردازنده Cortex-A7 داره که با توان ۱.۸ گیگاهرتز ، به همراه یه پردازنده گرافیکی Mali-400MP2.
واکر به این برد یه چیپ وای فای Realtek RTL8723DS هم اضافه کرده که روی فرکانس ۲.۴ گیگاهرتز کار میکنه. دوتا پورت USB Type-A هم گذاشته که یکیش به صورت پیش فرض یه دانگل وایفای ۵ گیگاهرتزی Realtek RTL8821CU داره، و اگه بخوای، میتونی یه رادیوی سوم هم به دلخواه خودت بهش بزنی، سیستمعاملی که روش نصبه یه دیسترو لینوکسیه.
واکر درباره این دستگاه میگه:
"این Flipper Blackhat یه افزونه صد در صد متنباز (هم سختافزار هم نرمافزار) بر پایه لینوکسه که اجازه میده با فلیپر بیای و روی وای فای هم کار کنی"
میگه در آینده میخواد این دستگاه مستقل بشه و یه کیبورد مثل گوشیهای بلک بری براش بذاره، ولی فعلاً از خود فلپر برای باتری، ورودی/خروجی، و صفحهنمایش استفاده میکنه.
بعدشم خیلی شفاف میگه:
"این دستگاه هنوز نسخه بتاست. من هیچ باگ سخت افزاری ای نمیشناسم و تا حد خوبی تستش کردم. صفحه نمایشش رو هنوز تست نکردم. نرمافزارش هنوز کامل نشده؛ الان دارم دستگاه هایی میفروشم که نرمافزارشون صد در صد بدون باگ نیست. شما اگه بخری، جزو اولین کسایی هستی که داری ازش استفاده میکنی و تو چند ماه آینده آپدیت نرمافزاری میگیری. اگه اهل لینوکسی و با چیزایی مثل Raspberry Pi حال میکنی، احتمالاً این گجت مال توئه."
اطلاعات بیشتر رو میتونی توی فروشگاه Rootkit Labs واکر پیدا کنی. قیمتش ۶۹ فرانک سوئیس (حدود ۷۹ دلار) هست. البته موقع نوشتن این متن، سری اولش کاملاً فروش رفته بود، ولی واکر گفته تولید رو داره زیاد میکنه که بتونه تقاضا رو جواب بده.
فایل های طراحی برد رو توی گیت هاب گذاشته تحت لایسنس Creative Commons Attribution-NonCommercial-ShareA like 4.0 (یعنی میتونی استفاده کنی، ولی نه تجاری، و باید شِیرش کنی). نرمافزارش هم تو یه ریپوی جداست، ولی هنوز دقیقاً نگفته با چه لایسنسی.
فلیپر زیرو که از سال ۲۰۲۱ به تولید انبوه رسید، اولش به عنوان یه "چندکاره برای هکرها" معروف شد، ولی بعد شرکت سازنده یعنی Flipper Devices گفت: نه بابا، این واسه "گیکها"هست ولی دیگه اون موقع دیر شده بود، چون دولت کانادا دست به کار شده بود و میخواست جلو فروشش رو بگیره.
این فلیپر یه گجت بیسیم و باسیم چندکاره در اختیارت میذاره تا بتونی با کلی چیز حال کنی؛ مثل سیگنال های زیر گیگاهرتز، مادون قرمز، RFID، NFC و کلی چیز دیگه.
ولی یه چیزی که فلیپر زیرو به صورت پیش فرض نداره، wifi هست . البته یه سری افزونه ها، حتی یکی هم خود شرکت Flipper Devices داده بیرون، این قابلیت وای فای رو بهش اضافه میکنن؛ ولی چیزی که واکر ساخته یه چیز دیگه هست: در واقع یه کامپیوتر تکبُردی قوی که خودش به تنهایی کلی کار ازش برمیاد. فلپر زیرو تو اینجا بیشتر نقش نمایشگر، کیبورد و باتری رو داره.
این برد دور یه چیپ قدیمی به اسم Allwinner A33 ساخته شده که توی سال ۲۰۱۴ برای تبلتهای اندرویدی طراحی شده بود. این چیپ چهار هسته پردازنده Cortex-A7 داره که با توان ۱.۸ گیگاهرتز ، به همراه یه پردازنده گرافیکی Mali-400MP2.
واکر به این برد یه چیپ وای فای Realtek RTL8723DS هم اضافه کرده که روی فرکانس ۲.۴ گیگاهرتز کار میکنه. دوتا پورت USB Type-A هم گذاشته که یکیش به صورت پیش فرض یه دانگل وایفای ۵ گیگاهرتزی Realtek RTL8821CU داره، و اگه بخوای، میتونی یه رادیوی سوم هم به دلخواه خودت بهش بزنی، سیستمعاملی که روش نصبه یه دیسترو لینوکسیه.
واکر درباره این دستگاه میگه:
"این Flipper Blackhat یه افزونه صد در صد متنباز (هم سختافزار هم نرمافزار) بر پایه لینوکسه که اجازه میده با فلیپر بیای و روی وای فای هم کار کنی"
میگه در آینده میخواد این دستگاه مستقل بشه و یه کیبورد مثل گوشیهای بلک بری براش بذاره، ولی فعلاً از خود فلپر برای باتری، ورودی/خروجی، و صفحهنمایش استفاده میکنه.
بعدشم خیلی شفاف میگه:
"این دستگاه هنوز نسخه بتاست. من هیچ باگ سخت افزاری ای نمیشناسم و تا حد خوبی تستش کردم. صفحه نمایشش رو هنوز تست نکردم. نرمافزارش هنوز کامل نشده؛ الان دارم دستگاه هایی میفروشم که نرمافزارشون صد در صد بدون باگ نیست. شما اگه بخری، جزو اولین کسایی هستی که داری ازش استفاده میکنی و تو چند ماه آینده آپدیت نرمافزاری میگیری. اگه اهل لینوکسی و با چیزایی مثل Raspberry Pi حال میکنی، احتمالاً این گجت مال توئه."
اطلاعات بیشتر رو میتونی توی فروشگاه Rootkit Labs واکر پیدا کنی. قیمتش ۶۹ فرانک سوئیس (حدود ۷۹ دلار) هست. البته موقع نوشتن این متن، سری اولش کاملاً فروش رفته بود، ولی واکر گفته تولید رو داره زیاد میکنه که بتونه تقاضا رو جواب بده.
فایل های طراحی برد رو توی گیت هاب گذاشته تحت لایسنس Creative Commons Attribution-NonCommercial-ShareA like 4.0 (یعنی میتونی استفاده کنی، ولی نه تجاری، و باید شِیرش کنی). نرمافزارش هم تو یه ریپوی جداست، ولی هنوز دقیقاً نگفته با چه لایسنسی.
ماجرای حمله supply chain با GitHub Action به اسم tj-actions/changed-files اولش یه حمله خیلی هدفمند به یکی از پروژههای open source شرکت Coinbase بود، ولی کم کم گسترش پیدا کرد و وسیع تر شد ... توی گزارشی از شرکت Palo Alto Networks (تیم امنیتی Unit 42)، گفته شده:
«کدی که توی حمله استفاده شده بود، هدفش این بود که از جریان CI/CD (یعنی فرآیند خودکار ساخت و تست پروژه ها) یکی از پروژههای open source کوین بیس به اسم agentkit سوء استفاده کنه. احتمالاً برای اینکه بتونن از این طریق به چیزهای دیگه ای هم نفوذ کنن. ولی خوشبختانه هکرها نتونستن به رمزها یا اطلاعات محرمانه کوین بیس دسترسی پیدا کنن یا پکیج مخرب منتشر کنن.»
ماجرا وقتی لو رفت که توی تاریخ ۱۴ مارس ۲۰۲۵ معلوم شد GitHub Action مربوط به
طبق بررسی شرکت Endor Labs، حدوداً ۲۱۸ مخزن گیتهاب تحت تأثیر این حمله قرار گرفتن و اطلاعاتی مثل چند ده تا رمز عبور برای سرویسهایی مثل DockerHub، npm و AWS، بهعلاوه توکن های دسترسی GitHub لو رفته.
تحلیلگر امنیتی Henrik Plate گفت:
«وقتی اول شنیدیم که این حمله supply chain چقدر گسترده هست، واقعا ترسیدیم؛ چون این GitHub Action توی هزاران پروژه استفاده میشه. ولی وقتی دقیق تر بررسی کردیم دیدیم خوشبختانه فقط ۲۱۸ مخزن اطلاعاتشون لو رفته، و بیشتر این اطلاعات هم توکن های موقتی GITHUB_TOKEN بودن که بعد از پایان اجرای workflow خودشون باطل میشن.»
از اون موقع مشخص شده که یه اکشن دیگه توی گیت هاب به اسم
ماجرا از این قراره: مهاجم یه توکن دسترسی شخصی (PAT) برای
طبق گزارش پژوهشگران Unit 42:
«وقتی اکشن
فعلاً فرض بر اینه که هکر somehow به توکنی دسترسی پیدا کرده که اجازه نوشتن توی سازمان reviewdog رو داشته. ولی اینکه چطوری این توکن بهدستش رسیده، هنوز مشخص نیست.
حالا جالبه بدونین که هکر اول یه fork از مخزن
پژوهشگر امنیتی "Gil" از شرکت Palo Alto میگه:
«هکر واقعاً حرفهای بوده؛ چون از روش های مختلفی برای قایم کردن ردپاش استفاده کرده، مثل استفاده از dangling commit، ساخت چند تا اکانت موقتی توی گیتهاب، و پنهانکاری توی لاگهای workflow، مخصوصاً توی همون حمله اول به Coinbase.»
تیم Unit 42 حدس میزنه که کاربری که درخواست pull رو داده با یوزرنیم
این باعث شده کل فعالیت هاش توی گیت هاب مخفی بمونه. گیت هاب هم وقتی در موردش سؤال شد، نه تأیید کرد نه رد، فقط گفت که داره موضوع رو بررسی میکنه.
سخنگوی گیتهاب گفت:
«هیچ نشونه ای از نفوذ به خود GitHub یا سیستم های ما وجود نداره. پروژههایی که تحت تأثیر قرار گرفتن، همگی توسط کاربران نگهداری میشن. GitHub همچنان گزارش های کاربران درباره محتوای مخرب رو بررسی و بر اساس قوانین استفاده مجازش اقدام میکنه. کاربران باید قبل از آپدیت هر پکیج یا GitHub Action، بررسی کنن که چی داره به پروژهشون اضافه میشه.»
جستجوی عمیق تر روی فورک های
«کدی که توی حمله استفاده شده بود، هدفش این بود که از جریان CI/CD (یعنی فرآیند خودکار ساخت و تست پروژه ها) یکی از پروژههای open source کوین بیس به اسم agentkit سوء استفاده کنه. احتمالاً برای اینکه بتونن از این طریق به چیزهای دیگه ای هم نفوذ کنن. ولی خوشبختانه هکرها نتونستن به رمزها یا اطلاعات محرمانه کوین بیس دسترسی پیدا کنن یا پکیج مخرب منتشر کنن.»
ماجرا وقتی لو رفت که توی تاریخ ۱۴ مارس ۲۰۲۵ معلوم شد GitHub Action مربوط به
tj-actions/changed-files دستکاری شده و کدی بهش تزریق شده که باعث نشت اطلاعات حساس مثل رمزها از مخزن هایی میشده که از این اکشن استفاده میکردن. برای این باگ شماره CVE-2025-30066 با امتیاز امنیتی ۸.۶ از ۱۰ ثبت شده.طبق بررسی شرکت Endor Labs، حدوداً ۲۱۸ مخزن گیتهاب تحت تأثیر این حمله قرار گرفتن و اطلاعاتی مثل چند ده تا رمز عبور برای سرویسهایی مثل DockerHub، npm و AWS، بهعلاوه توکن های دسترسی GitHub لو رفته.
تحلیلگر امنیتی Henrik Plate گفت:
«وقتی اول شنیدیم که این حمله supply chain چقدر گسترده هست، واقعا ترسیدیم؛ چون این GitHub Action توی هزاران پروژه استفاده میشه. ولی وقتی دقیق تر بررسی کردیم دیدیم خوشبختانه فقط ۲۱۸ مخزن اطلاعاتشون لو رفته، و بیشتر این اطلاعات هم توکن های موقتی GITHUB_TOKEN بودن که بعد از پایان اجرای workflow خودشون باطل میشن.»
از اون موقع مشخص شده که یه اکشن دیگه توی گیت هاب به اسم
reviewdog/action-setup هم که به صورت غیرمستقیم توسط همون tj-actions/changed-files استفاده میشه، قبل از این حمله به روشی مشابه آلوده شده بوده. این آسیبپذیری جدید هم با شماره CVE-2025-30154 و امتیاز ۸.۶ ثبت شده.ماجرا از این قراره: مهاجم یه توکن دسترسی شخصی (PAT) برای
tj-actions/changed-files بهدست آورده. با استفاده از اون، میتونسته مخزن رو تغییر بده و کد مخرب رو وارد کنه. یعنی هر پروژه ای که به این اکشن وابسته بوده، بهطور خودکار آلوده شده.طبق گزارش پژوهشگران Unit 42:
«وقتی اکشن
tj-actions/eslint-changed-files اجرا میشده، رمزهای runner مربوط به tj-actions/changed-files لو میرفتن، و این شامل توکن دسترسی شخصی کاربر tj-bot-actions هم میشده.»فعلاً فرض بر اینه که هکر somehow به توکنی دسترسی پیدا کرده که اجازه نوشتن توی سازمان reviewdog رو داشته. ولی اینکه چطوری این توکن بهدستش رسیده، هنوز مشخص نیست.
حالا جالبه بدونین که هکر اول یه fork از مخزن
reviewdog/action-setup ساخته، بعد توش کد مخرب رو اضافه کرده، و در آخر یه pull request زده تا اون تغییرات بیاد توی مخزن اصلی. این حرکت، یه تکنیک معروف به dangling commit هست، که توش commit هایی به پروژه اصلی لینک داده میشن ولی به راحتی قابل شناسایی نیستن.پژوهشگر امنیتی "Gil" از شرکت Palo Alto میگه:
«هکر واقعاً حرفهای بوده؛ چون از روش های مختلفی برای قایم کردن ردپاش استفاده کرده، مثل استفاده از dangling commit، ساخت چند تا اکانت موقتی توی گیتهاب، و پنهانکاری توی لاگهای workflow، مخصوصاً توی همون حمله اول به Coinbase.»
تیم Unit 42 حدس میزنه که کاربری که درخواست pull رو داده با یوزرنیم
iLrmKCu86tjwp8 ، بعد از اینکه ایمیل اصلیش رو با یه ایمیل موقت و ناشناس عوض کرده، دیگه از دید عموم پنهان شده. این باعث شده کل فعالیت هاش توی گیت هاب مخفی بمونه. گیت هاب هم وقتی در موردش سؤال شد، نه تأیید کرد نه رد، فقط گفت که داره موضوع رو بررسی میکنه.
سخنگوی گیتهاب گفت:
«هیچ نشونه ای از نفوذ به خود GitHub یا سیستم های ما وجود نداره. پروژههایی که تحت تأثیر قرار گرفتن، همگی توسط کاربران نگهداری میشن. GitHub همچنان گزارش های کاربران درباره محتوای مخرب رو بررسی و بر اساس قوانین استفاده مجازش اقدام میکنه. کاربران باید قبل از آپدیت هر پکیج یا GitHub Action، بررسی کنن که چی داره به پروژهشون اضافه میشه.»
جستجوی عمیق تر روی فورک های
tj-actions/changed-files نشون داده که دو اکانت دیگه به اسم 2ft2dKo28UazTZ و mmvojwip هم در این حمله نقش داشتن. هر دو اکانت الان پاک شدن، ولی بررسی ها نشون داده این دو اکانت فورک هایی از پروژه های مرتبط با Coinbase مثل onchainkit، agentkit و x402 ساخته بودن.
GeekNotif
ماجرای حمله supply chain با GitHub Action به اسم tj-actions/changed-files اولش یه حمله خیلی هدفمند به یکی از پروژههای open source شرکت Coinbase بود، ولی کم کم گسترش پیدا کرد و وسیع تر شد ... توی گزارشی از شرکت Palo Alto Networks (تیم امنیتی Unit 42)، گفته…
در ادامه همین خبر :
همچنین مشخص شده که این اکانت ها فایل
به احتمال زیاد، هکر یه توکن GitHub با دسترسی نوشتن روی پروژه agentkit بهدست آورده، که از طریق اجرای همین GitHub Action مخرب بهش دست پیدا کرده بوده.
نکته مهم دیگه ای که باید بهش اشاره کرد، اینه که هکر از payload های مختلف توی مراحل مختلف استفاده کرده تا مخفی بمونه مثلاً Gil میگه: «توی حمله گسترده، هکر اطلاعات حافظه runner رو dump میکرد و متغیر های محیطی (env vars) که حاوی رمز بودن رو توی لاگ ها چاپ میکرد، فارغ از اینکه workflow چی بود. ولی توی حمله خاص به Coinbase، فقط
الان هنوز دقیق نمیدونیم هدف نهایی این کمپین چی بوده، ولی احتمال خیلی زیاد هدفش مالی بوده مثلاً سرقت رمزارز چون هدف اولیه Coinbase بوده. خوشبختانه تا تاریخ ۱۹ مارس ۲۰۲۵، Coinbase این حمله رو مهار و اصلاح کرده. ولی با این حال هنوزم مشخص نیست چرا هکر تصمیم گرفت از یه حمله کاملاً هدفمند و مخفی، به یه حمله گسترده و پرریسک رو بیاره، Gil یه حدس جالب زده: «شاید وقتی دید نمیتونه پروژه های Coinbase رو با اون توکن آلوده کنه و فهمید که Coinbase حمله رو شناسایی و خنثی کرده، ترسید که دستش رو بشه و دیگه به tj-actions/changed-files دسترسی نداشته باشه. برای همین تصمیم گرفت سریع عمل کنه و حمله گسترده رو فقط ۲۰ دقیقه بعد از اصلاح Coinbase شروع کرد ، با وجود اینکه خطر شناسایی خیلی بالا رفته بود.»
همچنین مشخص شده که این اکانت ها فایل
changelog.yml توی مخزن agentkit رو طوری تغییر دادن که به نسخه آلوده tj-actions/changed-files اشاره کنه. این تغییرات هم با استفاده از یه pull request و توکن دسترسی انجام شده.به احتمال زیاد، هکر یه توکن GitHub با دسترسی نوشتن روی پروژه agentkit بهدست آورده، که از طریق اجرای همین GitHub Action مخرب بهش دست پیدا کرده بوده.
نکته مهم دیگه ای که باید بهش اشاره کرد، اینه که هکر از payload های مختلف توی مراحل مختلف استفاده کرده تا مخفی بمونه مثلاً Gil میگه: «توی حمله گسترده، هکر اطلاعات حافظه runner رو dump میکرد و متغیر های محیطی (env vars) که حاوی رمز بودن رو توی لاگ ها چاپ میکرد، فارغ از اینکه workflow چی بود. ولی توی حمله خاص به Coinbase، فقط
GITHUB_TOKEN رو میگرفت و فقط زمانی اجرا میشد که مخزن متعلق به Coinbase بود.»الان هنوز دقیق نمیدونیم هدف نهایی این کمپین چی بوده، ولی احتمال خیلی زیاد هدفش مالی بوده مثلاً سرقت رمزارز چون هدف اولیه Coinbase بوده. خوشبختانه تا تاریخ ۱۹ مارس ۲۰۲۵، Coinbase این حمله رو مهار و اصلاح کرده. ولی با این حال هنوزم مشخص نیست چرا هکر تصمیم گرفت از یه حمله کاملاً هدفمند و مخفی، به یه حمله گسترده و پرریسک رو بیاره، Gil یه حدس جالب زده: «شاید وقتی دید نمیتونه پروژه های Coinbase رو با اون توکن آلوده کنه و فهمید که Coinbase حمله رو شناسایی و خنثی کرده، ترسید که دستش رو بشه و دیگه به tj-actions/changed-files دسترسی نداشته باشه. برای همین تصمیم گرفت سریع عمل کنه و حمله گسترده رو فقط ۲۰ دقیقه بعد از اصلاح Coinbase شروع کرد ، با وجود اینکه خطر شناسایی خیلی بالا رفته بود.»
تو یه سناریوی حمله آزمایشی، یه هکر میتونه یه فایل مخرب رو به شکل یه کتابخونه اشتراکی توی پاد Kubernetes آپلود کنه. این کار با استفاده از قابلیت client-body buffer توی NGINX انجام میشه. بعد از این کار، هکر یه درخواست AdmissionReview به کنترلر پذیرش (admission controller) میفرسته.
حالا این درخواست شامل یکی از تزریقهای مخرب توی تنظیمات NGINX هست که باعث میشه اون کتابخونه مخرب لود بشه و کد مخرب از راه دور اجرا بشه.
یه محقق امنیت کلود به نام Hillai Ben-Sasson از شرکت Wiz به Hacker News گفته که این حمله با دستکاری تنظیمات NGINX انجام میشه و به هکر اجازه میده که:
1- فایلهای حساس رو بخونه
2- هر دستوری که میخواد اجرا کنه
حتی از اینجا به بعد، هکر میتونه از یه Service Account قوی سوءاستفاده کنه و به اطلاعات مهم Kubernetes مثل secrets دسترسی پیدا کنه. در نهایت، این کار میتونه باعث تصاحب کامل کلاستر بشه.
طبق اعلام کمیته امنیتی Kubernetes، اکثر مشکلاتی که کشف شده مربوط به نحوه پردازش Ingress NGINX برای پارامترهای تنظیماتشه. ولی یه آسیبپذیری به اسم CVE-2025-1974 هست که اگه با این باگ ها ترکیب بشه، میتونه باعث تسخیر کامل کلاستر Kubernetes بشه، اونم بدون نیاز به دسترسی ادمین یا اطلاعات ورود.
راهحل چیه؟ بعد از گزارش این باگها، مشکل توی نسخه های جدید Ingress NGINX Controller برطرف شده:
نسخه 1.12.1
نسخه 1.11.5
نسخه 1.10.7
اگه از این کنترلر استفاده میکنی، فوراً برو و به آخرین نسخه آپدیت کن.
چطور از این حمله جلوگیری کنیم؟ مطمئن شو که endpoint مربوط به admission webhook از بیرون در دسترس نیست.
دسترسی به Kubernetes API Server رو محدود کن تا فقط به admission controller وصل بشه.
اگه نیازی به admission controller نداری، موقتاً غیرفعالش کن.
پس اگه نمیخوای یه فرد مخرب ، کلاستر Kubernetes تو رو به دست بگیره و به تمام اطلاعات حساس دسترسی پیدا کنه، سریع آپدیت کن و تنظیمات امنیتی رو چک کن...
حالا این درخواست شامل یکی از تزریقهای مخرب توی تنظیمات NGINX هست که باعث میشه اون کتابخونه مخرب لود بشه و کد مخرب از راه دور اجرا بشه.
یه محقق امنیت کلود به نام Hillai Ben-Sasson از شرکت Wiz به Hacker News گفته که این حمله با دستکاری تنظیمات NGINX انجام میشه و به هکر اجازه میده که:
1- فایلهای حساس رو بخونه
2- هر دستوری که میخواد اجرا کنه
حتی از اینجا به بعد، هکر میتونه از یه Service Account قوی سوءاستفاده کنه و به اطلاعات مهم Kubernetes مثل secrets دسترسی پیدا کنه. در نهایت، این کار میتونه باعث تصاحب کامل کلاستر بشه.
طبق اعلام کمیته امنیتی Kubernetes، اکثر مشکلاتی که کشف شده مربوط به نحوه پردازش Ingress NGINX برای پارامترهای تنظیماتشه. ولی یه آسیبپذیری به اسم CVE-2025-1974 هست که اگه با این باگ ها ترکیب بشه، میتونه باعث تسخیر کامل کلاستر Kubernetes بشه، اونم بدون نیاز به دسترسی ادمین یا اطلاعات ورود.
راهحل چیه؟ بعد از گزارش این باگها، مشکل توی نسخه های جدید Ingress NGINX Controller برطرف شده:
نسخه 1.12.1
نسخه 1.11.5
نسخه 1.10.7
اگه از این کنترلر استفاده میکنی، فوراً برو و به آخرین نسخه آپدیت کن.
چطور از این حمله جلوگیری کنیم؟ مطمئن شو که endpoint مربوط به admission webhook از بیرون در دسترس نیست.
دسترسی به Kubernetes API Server رو محدود کن تا فقط به admission controller وصل بشه.
اگه نیازی به admission controller نداری، موقتاً غیرفعالش کن.
پس اگه نمیخوای یه فرد مخرب ، کلاستر Kubernetes تو رو به دست بگیره و به تمام اطلاعات حساس دسترسی پیدا کنه، سریع آپدیت کن و تنظیمات امنیتی رو چک کن...
هکری به اسم EncryptHub از یه باگ امنیتی که تازه تو ویندوز پچ شده بود، سوءاستفاده کرده و قبل از اینکه کسی بفهمه، کلی بدافزار مختلف روی سیستم ها نصب کرده. این بدافزارها شامل backdoor و... بودن، مثل Rhadamanthys و StealC.
طبق گفتهی "علیاکبر زهراوی"، یکی از محقق های شرکت امنیتی Trend Micro:
"توی این حمله، هکر با دستکاری فایلهای .msc و یه چیزی به اسم MUIPath (مسیر رابط کاربری چند زبانه ویندوز)، کاری میکنه که سیستم بره یه فایل مخرب دانلود و اجرا کنه. بعدش هم روی سیستم میمونه و اطلاعات حساس رو به سرقت میبره."
اون باگی که باعث این ماجرا شده بود، یه آسیبپذیریه به اسم CVE-2025-26633 با امتیاز خطر ۷ از ۱۰. مایکروسافت اینو اینجوری توصیف کرده: یه مشکل تو بی اثر کردن درست دستورات تو Microsoft Management Console (MMC) که اجازه میده هکر بتونه بهصورت لوکال از یه قابلیت امنیتی رد بشه. این باگ اوایل همین ماه تو آپدیتهای Patch Tuesday فیکس شده.
شرکت Trend Micro به این روش حمله اسم MSC EvilTwin رو داده و گروه هکری پشتش که احتمالاً روسی هستن، با اسم Water Gamayun پیگیری میکنه. این گروه اخیراً هم توسط دو تا شرکت امنیتی دیگه، یعنی PRODAFT و Outpost24 بررسی شده بودن و یه اسم دیگه هم براشون گذاشتن: LARVA-208.
حالا بیایم سر اصل ماجرا:
این باگ (CVE-2025-26633) به هکر اجازه میده از ساختار Microsoft Management Console سوءاستفاده کنه و یه فایل مخرب .msc رو با پاورشل (PowerShell) اجرا کنه، که اسم این لودر هم شده MSC EvilTwin Loader.
تکنیکش اینجوریه که میاد دو تا فایل .msc با یه اسم درست میکنه:
یکی سالم، یکی هم آلوده.
اون فایل آلوده رو توی یه پوشه به اسم en-US میذاره (که همون پوشه زبان انگلیسی ویندوزه). وقتی فایل سالم رو اجرا میکنی، MMC بهجای اون، فایل توی en-US رو باز میکنه. چرا؟ چون MMC با توجه به تنظیمات زبانی (MUIPath) اشتباهی فایل مخرب رو لود میکنه.
زهراوی میگه:
"با سوءاستفاده از روش کار mmc.exe با MUIPath، هکر میتونه توی en-US یه فایل .msc آلوده بذاره، و MMC هم موقع اجرا اون فایل مخرب رو بهجای فایل اصلی باز کنه، بدون اینکه کاربر بفهمه."
اما EncryptHub فقط به همین روش اکتفا نکرده، بلکه دوتا روش دیگه هم برای اجرای بدافزارش استفاده کرده:
استفاده از تابع ExecuteShellCommand تو MMC برای دانلود و اجرای payload بعدی (این روشو اولین بار شرکت هلندی Outflank تو آگوست ۲۰۲۴ کشف کرده بود)
استفاده از دایرکتوریهای جعلی که شبیه پوشههای سیستم واقعی هستن، مثلاً C:\Windows \System32 (ببین فاصله بین Windows و \ رو! واسه گول زدن سیستم!) برای دور زدن کنترل حساب کاربری (UAC) و انداختن فایل مخرب به اسم WmiMgmt.msc.
طبق تحلیل Trend Micro، زنجیره حمله معمولاً این طوری شروع میشه که قربانی ها یه فایل نصب کننده MSI دانلود میکنن که امضای دیجیتالی داره و خودشو جای نرمافزار های چینی معروف مثل DingTalk یا QQTalk جا زده. بعدش با همون فایل، لودر بدافزار از یه سرور خارجی دانلود و اجرا میشه.
و زهراوی هشدار میده که:
"این کمپین هنوزم فعاله و داره مدام بهتر میشه. روش های مختلفی برای تحویل بدافزار داره و از payloadهای سفارشی استفاده میکنه که بتونه رو سیستم بمونه، اطلاعات مهمو بدزده و بفرسته به سرورهای کنترل و فرمان (C&C) خودش."
طبق گفتهی "علیاکبر زهراوی"، یکی از محقق های شرکت امنیتی Trend Micro:
"توی این حمله، هکر با دستکاری فایلهای .msc و یه چیزی به اسم MUIPath (مسیر رابط کاربری چند زبانه ویندوز)، کاری میکنه که سیستم بره یه فایل مخرب دانلود و اجرا کنه. بعدش هم روی سیستم میمونه و اطلاعات حساس رو به سرقت میبره."
اون باگی که باعث این ماجرا شده بود، یه آسیبپذیریه به اسم CVE-2025-26633 با امتیاز خطر ۷ از ۱۰. مایکروسافت اینو اینجوری توصیف کرده: یه مشکل تو بی اثر کردن درست دستورات تو Microsoft Management Console (MMC) که اجازه میده هکر بتونه بهصورت لوکال از یه قابلیت امنیتی رد بشه. این باگ اوایل همین ماه تو آپدیتهای Patch Tuesday فیکس شده.
شرکت Trend Micro به این روش حمله اسم MSC EvilTwin رو داده و گروه هکری پشتش که احتمالاً روسی هستن، با اسم Water Gamayun پیگیری میکنه. این گروه اخیراً هم توسط دو تا شرکت امنیتی دیگه، یعنی PRODAFT و Outpost24 بررسی شده بودن و یه اسم دیگه هم براشون گذاشتن: LARVA-208.
حالا بیایم سر اصل ماجرا:
این باگ (CVE-2025-26633) به هکر اجازه میده از ساختار Microsoft Management Console سوءاستفاده کنه و یه فایل مخرب .msc رو با پاورشل (PowerShell) اجرا کنه، که اسم این لودر هم شده MSC EvilTwin Loader.
تکنیکش اینجوریه که میاد دو تا فایل .msc با یه اسم درست میکنه:
یکی سالم، یکی هم آلوده.
اون فایل آلوده رو توی یه پوشه به اسم en-US میذاره (که همون پوشه زبان انگلیسی ویندوزه). وقتی فایل سالم رو اجرا میکنی، MMC بهجای اون، فایل توی en-US رو باز میکنه. چرا؟ چون MMC با توجه به تنظیمات زبانی (MUIPath) اشتباهی فایل مخرب رو لود میکنه.
زهراوی میگه:
"با سوءاستفاده از روش کار mmc.exe با MUIPath، هکر میتونه توی en-US یه فایل .msc آلوده بذاره، و MMC هم موقع اجرا اون فایل مخرب رو بهجای فایل اصلی باز کنه، بدون اینکه کاربر بفهمه."
اما EncryptHub فقط به همین روش اکتفا نکرده، بلکه دوتا روش دیگه هم برای اجرای بدافزارش استفاده کرده:
استفاده از تابع ExecuteShellCommand تو MMC برای دانلود و اجرای payload بعدی (این روشو اولین بار شرکت هلندی Outflank تو آگوست ۲۰۲۴ کشف کرده بود)
استفاده از دایرکتوریهای جعلی که شبیه پوشههای سیستم واقعی هستن، مثلاً C:\Windows \System32 (ببین فاصله بین Windows و \ رو! واسه گول زدن سیستم!) برای دور زدن کنترل حساب کاربری (UAC) و انداختن فایل مخرب به اسم WmiMgmt.msc.
طبق تحلیل Trend Micro، زنجیره حمله معمولاً این طوری شروع میشه که قربانی ها یه فایل نصب کننده MSI دانلود میکنن که امضای دیجیتالی داره و خودشو جای نرمافزار های چینی معروف مثل DingTalk یا QQTalk جا زده. بعدش با همون فایل، لودر بدافزار از یه سرور خارجی دانلود و اجرا میشه.
و زهراوی هشدار میده که:
"این کمپین هنوزم فعاله و داره مدام بهتر میشه. روش های مختلفی برای تحویل بدافزار داره و از payloadهای سفارشی استفاده میکنه که بتونه رو سیستم بمونه، اطلاعات مهمو بدزده و بفرسته به سرورهای کنترل و فرمان (C&C) خودش."
🔥4
پژوهشگرای امنیت سایبری یه عالمه باگ امنیتی جدید (۴۶ تا) تو وسایل سه تا شرکت معروف که اینورتر خورشیدی میسازن یعنی Sungrow، Growatt و SMA پیدا کردن. اگه یکی از این باگها رو یه هکر استفاده کنه، میتونه کنترل دستگاهو از راه دور به دست بگیره یا روش کُد دلخواه اجرا کنه؛ خلاصه اینجوری حسابی ممکنه به شبکه برق آسیب جدی وارد بشه.
اسم این مجموعه باگها رو گذاشتن SUN:DOWN.
توی گزارشی که دادن گفتن این باگها اجازه میده که :
1- دستورهای دلخواه روی دستگاه یا سرور ابری شرکت اجرا بشه،
2- حسابای کاربرا به سرقت بره ،
3- هکر به زیرساخت های شرکت نفوذ کنه.
چندتا از باگ های جالبی که کشف کردن ایناست:
یه فایل با پسوند .aspx میفرستی به سایت SMA، سرورش اجراش میکنه و از اونجا دیگه هکر میتونه کد مخرب خودشو اجرا کنه.
بدون اینکه لاگین کنی، میتونی با یه آدرس خاص توی سایت Growatt بفهمی اسم کاربرای واقعی چیه.
همین جوری میشه فهمید کی چه دستگاه خورشیدی داره، و حتی اونارو کنترل کنی...
اگه یه نام کاربری واقعی داشته باشی، میتونی شماره سریال یه کنتور هوشمند رو بکشی بیرون و حساب اون بنده خدا رو هک کنی.
حتی میتونی اطلاعات شارژر ماشین برقی، مصرف انرژی و چیزای حساس دیگه رو بکشی بیرون و از راه دور تنظیماتشونو تغییر بدی.
اپ اندرویدی Sungrow از رمزنگاری خیلی ضعیف استفاده میکنه؛ یعنی یه هکر میتونه ارتباط بین موبایل و سرور رو شنود کنه و بخونه.
این اپ حتی اگه گواهی SSL معتبر نباشه، باز هم میگه مشکلی نیست و کارشو ادامه میوه و این یعنی وسط اون ارتباط میشه حمله کرد.
تو رابط وب WiNet هم یه رمز عبور ثابت و پیشفرض گذاشتن که هرکسی داشته باشه میتونه فریمورها رو رمزگشایی کنه.
چندتا باگ هم تو پیام های MQTT هست که میتونه باعث بشه از راه دور کُد اجرا بشه یا دستگاه هنگ کنه.
خلاصه، Forescout گفته اگه یه هکر بتونه این باگ ها رو استفاده کنه و یه عالمه از این دستگاه ها رو بگیره دست خودش، اونوقت دیگه میتونه کاری کنه شبکه برق حسابی به هم بریزه.
مثلاً تو یه سناریوی فرضی، هکر میتونه با یه API که محافظت نداره، اسم واقعی کاربرا رو حدس بزنه، رمزهاشونو با "123456" ریست کنه و بعد هم همه چی رو بههم بریزه.
بدتر اینکه، بعدش میتونه همه این دستگاه های هک شده رو یهجورایی مثل بات نت کنترل کنه و حمله بزرگی به شبکه برق بزنه که باعث خاموشی بشه. خوشبختانه شرکت ها با مسئولیتپذیری این مشکلات رو رفع کردن.
از طرفی Forescout هشدار داده اگه یه فرد مخرب بتونه این دستگاهها رو کنترل کنه، میتونه جریان برق به شبکه رو زیاد یا کم کنه و تو تولید انرژی اختلال بندازه. این یعنی ممکنه حملات ترکیبی سایبری-فیزیکی هم راه بیوفته.
رییس تحقیقاتی Forescout هم گفته برای کم کردن خطر، باید موقع خرید تجهیزات خورشیدی حواسمون حسابی جمع باشه، دائماً بررسی امنیتی انجام بدیم و شبکه ای که این دستگاهها توشن رو کامل تحت نظر داشته باشیم.
جدا از اینا، یه سری دوربین نظارتی خط تولید هم که ساخت یه شرکت ژاپنی به اسم Inaba Denki Sangyo هست، کلی باگ داره. هنوز هم پچ نشدن، ولی شرکت گفته حداقل دسترسی اینترنت بهشون قطع بشه و تو جای امن نصب بشن.
این دوربینها به هکر اجازه میدن از راه دور دوربینو ببینه یا ضبط رو قطع کنه، که خب برای کنترل کیفیت فاجعه هستش.
توی چند ماه گذشته هم چند تا مشکل امنیتی توی دستگاه های صنعتی دیگه از جمله رله GE Vernova، گیت وی Zettler و PLC شرکت Wago پیدا شده که میتونه باعث بشه یه هکر کل دستگاهو بگیره دست خودش.
اسم این مجموعه باگها رو گذاشتن SUN:DOWN.
توی گزارشی که دادن گفتن این باگها اجازه میده که :
1- دستورهای دلخواه روی دستگاه یا سرور ابری شرکت اجرا بشه،
2- حسابای کاربرا به سرقت بره ،
3- هکر به زیرساخت های شرکت نفوذ کنه.
چندتا از باگ های جالبی که کشف کردن ایناست:
یه فایل با پسوند .aspx میفرستی به سایت SMA، سرورش اجراش میکنه و از اونجا دیگه هکر میتونه کد مخرب خودشو اجرا کنه.
بدون اینکه لاگین کنی، میتونی با یه آدرس خاص توی سایت Growatt بفهمی اسم کاربرای واقعی چیه.
همین جوری میشه فهمید کی چه دستگاه خورشیدی داره، و حتی اونارو کنترل کنی...
اگه یه نام کاربری واقعی داشته باشی، میتونی شماره سریال یه کنتور هوشمند رو بکشی بیرون و حساب اون بنده خدا رو هک کنی.
حتی میتونی اطلاعات شارژر ماشین برقی، مصرف انرژی و چیزای حساس دیگه رو بکشی بیرون و از راه دور تنظیماتشونو تغییر بدی.
اپ اندرویدی Sungrow از رمزنگاری خیلی ضعیف استفاده میکنه؛ یعنی یه هکر میتونه ارتباط بین موبایل و سرور رو شنود کنه و بخونه.
این اپ حتی اگه گواهی SSL معتبر نباشه، باز هم میگه مشکلی نیست و کارشو ادامه میوه و این یعنی وسط اون ارتباط میشه حمله کرد.
تو رابط وب WiNet هم یه رمز عبور ثابت و پیشفرض گذاشتن که هرکسی داشته باشه میتونه فریمورها رو رمزگشایی کنه.
چندتا باگ هم تو پیام های MQTT هست که میتونه باعث بشه از راه دور کُد اجرا بشه یا دستگاه هنگ کنه.
خلاصه، Forescout گفته اگه یه هکر بتونه این باگ ها رو استفاده کنه و یه عالمه از این دستگاه ها رو بگیره دست خودش، اونوقت دیگه میتونه کاری کنه شبکه برق حسابی به هم بریزه.
مثلاً تو یه سناریوی فرضی، هکر میتونه با یه API که محافظت نداره، اسم واقعی کاربرا رو حدس بزنه، رمزهاشونو با "123456" ریست کنه و بعد هم همه چی رو بههم بریزه.
بدتر اینکه، بعدش میتونه همه این دستگاه های هک شده رو یهجورایی مثل بات نت کنترل کنه و حمله بزرگی به شبکه برق بزنه که باعث خاموشی بشه. خوشبختانه شرکت ها با مسئولیتپذیری این مشکلات رو رفع کردن.
از طرفی Forescout هشدار داده اگه یه فرد مخرب بتونه این دستگاهها رو کنترل کنه، میتونه جریان برق به شبکه رو زیاد یا کم کنه و تو تولید انرژی اختلال بندازه. این یعنی ممکنه حملات ترکیبی سایبری-فیزیکی هم راه بیوفته.
رییس تحقیقاتی Forescout هم گفته برای کم کردن خطر، باید موقع خرید تجهیزات خورشیدی حواسمون حسابی جمع باشه، دائماً بررسی امنیتی انجام بدیم و شبکه ای که این دستگاهها توشن رو کامل تحت نظر داشته باشیم.
جدا از اینا، یه سری دوربین نظارتی خط تولید هم که ساخت یه شرکت ژاپنی به اسم Inaba Denki Sangyo هست، کلی باگ داره. هنوز هم پچ نشدن، ولی شرکت گفته حداقل دسترسی اینترنت بهشون قطع بشه و تو جای امن نصب بشن.
این دوربینها به هکر اجازه میدن از راه دور دوربینو ببینه یا ضبط رو قطع کنه، که خب برای کنترل کیفیت فاجعه هستش.
توی چند ماه گذشته هم چند تا مشکل امنیتی توی دستگاه های صنعتی دیگه از جمله رله GE Vernova، گیت وی Zettler و PLC شرکت Wago پیدا شده که میتونه باعث بشه یه هکر کل دستگاهو بگیره دست خودش.
محقق های امنیت سایبری دو تا پکیج مخرب توی ریجستری npm پیدا کردن که هدفشون اینه که یه پکیج دیگه که روی سیستم نصب شده رو آلوده کنن. این نشون میده که حمله های Software Supply Chain Attacks همچنان دارن پیشرفت میکنن و جامعه اوپن سورس رو هدف قرار دادن.
اون دو تا پکیج که مشکل داشتن، ethers-provider2 و ethers-providerz هستن. اولی از ۱۵ مارس ۲۰۲۵ منتشر شده و تا حالا ۷۳ بار دانلود شده. اما دومی که احتمالاً خود نویسنده بدافزار حذفش کرده، هیچ دانلودی نداشته.
یه محقق از ReversingLabs به اسم Lucija Valentić گفته:
"این پکیج ها در واقع فقط یه دانلودر ساده بودن که محتوای مخربشون خیلی هوشمندانه مخفی شده بود."
قسمت جالب ماجرا اینه که این پکیجها توی مرحله دوم حمله شون، یه فایل مخرب به یه پکیج npm معتبر به اسم ethers (که روی سیستم نصب شده) اضافه میکردن. این فایل در نهایت باعث میشد که سیستم قربانی یه reverse shell داشته باشه، یعنی یه راه مخفی که هکر میتونه از راه دور وارد سیستم بشه.
این یه حرکت جدیده که نشون میده مهاجم ها دارن تاکتیک های خودشون رو ارتقا میدن. حتی اگه قربانی این پکیج های آلوده رو پاک کنه، مشکل حل نمیشه، چون تغییرات توی یه کتابخونه معتبر اعمال شده. بدتر از اون، اگه کاربر ethers رو پاک کنه ولی ethers-provider2 هنوز روی سیستم باشه، وقتی دوباره پکیج ethers رو نصب کنه، سیستمش دوباره آلوده میشه...
طبق تحلیل ReversingLabs، پکیج ethers-provider2 یه نسخه آلوده شده از ssh2 (یکی از پکیجهای معروف npm) هست. داخل فایل install.js این پکیج، یه کد مخرب هست که میره از یه سرور راه دور (5.199.166.1:31337/install) یه بدافزار دومرحله ای رو دانلود میکنه، اون رو توی یه فایل موقت مینویسه و اجراش میکنه.
بعد از اجرا، فایل موقت سریعاً حذف میشه تا ردپایی روی سیستم نمونه. این بدافزار دومرحلهای یه کار جالب دیگه هم میکنه:
یه حلقه بینهایت اجرا میشه تا چک کنه که آیا پکیج ethers روی سیستم نصب شده یا نه.
اگه این پکیج نصب شده باشه یا تازه نصب بشه، بدافزار وارد عمل میشه و یه فایلی به اسم provider-jsonrpc.js رو با یه نسخه جعلی جایگزین میکنه. این فایل جعلی یه کد اضافی داره که یه مرحله سوم بدافزار رو از همون سرور دانلود و اجرا میکنه. این مرحله جدید هم در نهایت باعث میشه که سیستم قربانی یه reverse shell روی SSH داشته باشه.
از طرفی Valentić گفته:
"این یعنی وقتی این اتصال با سرور باز بشه، سیستم قربانی به یه reverse shell تبدیل میشه و مهاجم میتونه از راه دور کنترلش کنه. حتی اگه ethers-provider2 از سیستم پاک بشه، تحت یه شرایط خاص، این کلاینت همچنان میتونه استفاده بشه و به مهاجمها یه سطحی از پایداری بده."
یه نکته مهم اینه که پکیج رسمی ethers روی ریجستری npm آلوده نشده. این تغییرات فقط بعد از نصب و بهصورت محلی اعمال میشن.
پکیج ethers-providerz هم دقیقاً همون کار رو انجام میداده و میخواسته فایل های یه پکیج npm دیگه به اسم ethersproject/providers رو تغییر بده. البته هنوز مشخص نیست که دقیقاً کدوم پکیج هدف اصلیش بوده، ولی توی کدهاش به loader.js اشاره شده...
اون دو تا پکیج که مشکل داشتن، ethers-provider2 و ethers-providerz هستن. اولی از ۱۵ مارس ۲۰۲۵ منتشر شده و تا حالا ۷۳ بار دانلود شده. اما دومی که احتمالاً خود نویسنده بدافزار حذفش کرده، هیچ دانلودی نداشته.
یه محقق از ReversingLabs به اسم Lucija Valentić گفته:
"این پکیج ها در واقع فقط یه دانلودر ساده بودن که محتوای مخربشون خیلی هوشمندانه مخفی شده بود."
قسمت جالب ماجرا اینه که این پکیجها توی مرحله دوم حمله شون، یه فایل مخرب به یه پکیج npm معتبر به اسم ethers (که روی سیستم نصب شده) اضافه میکردن. این فایل در نهایت باعث میشد که سیستم قربانی یه reverse shell داشته باشه، یعنی یه راه مخفی که هکر میتونه از راه دور وارد سیستم بشه.
این یه حرکت جدیده که نشون میده مهاجم ها دارن تاکتیک های خودشون رو ارتقا میدن. حتی اگه قربانی این پکیج های آلوده رو پاک کنه، مشکل حل نمیشه، چون تغییرات توی یه کتابخونه معتبر اعمال شده. بدتر از اون، اگه کاربر ethers رو پاک کنه ولی ethers-provider2 هنوز روی سیستم باشه، وقتی دوباره پکیج ethers رو نصب کنه، سیستمش دوباره آلوده میشه...
طبق تحلیل ReversingLabs، پکیج ethers-provider2 یه نسخه آلوده شده از ssh2 (یکی از پکیجهای معروف npm) هست. داخل فایل install.js این پکیج، یه کد مخرب هست که میره از یه سرور راه دور (5.199.166.1:31337/install) یه بدافزار دومرحله ای رو دانلود میکنه، اون رو توی یه فایل موقت مینویسه و اجراش میکنه.
بعد از اجرا، فایل موقت سریعاً حذف میشه تا ردپایی روی سیستم نمونه. این بدافزار دومرحلهای یه کار جالب دیگه هم میکنه:
یه حلقه بینهایت اجرا میشه تا چک کنه که آیا پکیج ethers روی سیستم نصب شده یا نه.
اگه این پکیج نصب شده باشه یا تازه نصب بشه، بدافزار وارد عمل میشه و یه فایلی به اسم provider-jsonrpc.js رو با یه نسخه جعلی جایگزین میکنه. این فایل جعلی یه کد اضافی داره که یه مرحله سوم بدافزار رو از همون سرور دانلود و اجرا میکنه. این مرحله جدید هم در نهایت باعث میشه که سیستم قربانی یه reverse shell روی SSH داشته باشه.
از طرفی Valentić گفته:
"این یعنی وقتی این اتصال با سرور باز بشه، سیستم قربانی به یه reverse shell تبدیل میشه و مهاجم میتونه از راه دور کنترلش کنه. حتی اگه ethers-provider2 از سیستم پاک بشه، تحت یه شرایط خاص، این کلاینت همچنان میتونه استفاده بشه و به مهاجمها یه سطحی از پایداری بده."
یه نکته مهم اینه که پکیج رسمی ethers روی ریجستری npm آلوده نشده. این تغییرات فقط بعد از نصب و بهصورت محلی اعمال میشن.
پکیج ethers-providerz هم دقیقاً همون کار رو انجام میداده و میخواسته فایل های یه پکیج npm دیگه به اسم ethersproject/providers رو تغییر بده. البته هنوز مشخص نیست که دقیقاً کدوم پکیج هدف اصلیش بوده، ولی توی کدهاش به loader.js اشاره شده...
👍3
محققای امنیت سایبری یه بدافزار بانکی جدید برای اندروید کشف کردن به اسم Crocodilus که بیشتر کاربرا توی اسپانیا و ترکیه رو هدف قرار داده.
طبق گزارش ThreatFabric، این بدافزار یه کپی ساده از بقیه تروجان های بانکی نیست، بلکه از همون اول با تکنیک های پیشرفته ای مثل کنترل از راه دور و سرقت اطلاعات از طریق لاگهای دسترسی (Accessibility Logging) وارد بازی شده.
مثل بقیه تروجان های بانکی، هدف Crocodilus اینه که کنترل کامل گوشی رو به دست بگیره و در نهایت تراکنش های جعلی انجام بده. برثی سورس کد و لاگ های دیباگ نشون داده که سازنده این بدافزار به زبان ترکی صحبت میکنه.
نحوه کار کردن این بدافزار Crocodilus اینطوریه که خودش رو جای گوگل کروم جا میزنه (با یه اسم پکیج عجیب "quizzical.washbowl.calamity") و میتونه از محدودیت های امنیتی اندروید ۱۳ به بعد رد بشه.
وقتی نصب شد، از کاربر اجازه دسترسی به سرویس های دسترسی پذیری (Accessibility Services) اندروید رو میگیره.
بعدش به یه سرور راه دور وصل میشه تا دستورات جدید بگیره، لیست اپ های مالی هدف رو دریافت کنه و صفحه های جعلی HTML رو بارگذاری کنه تا اطلاعات ورود رو سرقت کنه.
این بدافزار فقط بانک ها رو هدف قرار نمیده، بلکه به کیف پول های ارز دیجیتال هم حمله میکنه به جای نمایش یه صفحه ورود جعلی، یه پیام هشدار نشون میده که به کاربر میگه "اگه تا ۱۲ ساعت آینده عبارت بازیابی (Seed Phrase) رو ذخیره نکنی، دسترسیت به کیف پولت رو از دست میدی". اما در واقع، همین روش باعث میشه هکرها عبارت بازیابی رو بدزدن و کل دارایی های دیجیتال قربانی رو خالی کنن.
قابلیتهای مهم این بدافزار:
از طرفی ThreatFabric گفته که Crocodilus نسبت به بقیه بدافزار های تازه کشف شده خیلی حرفهای تر و خطرناک تره، چون از همون ابتدا قابلیت های پیشرفته ای مثل کنترل از راه دور و... رو داشته.
این در حالی اتفاق افتاده که محققای Forcepoint یه کمپین فیشینگ جدید رو کشف کردن که با استفاده از یه اسکریپت ویژوال بیسیک رمزنگاریشده، بدافزار بانکی Grandoreiro رو روی ویندوز پخش میکنه و کاربرای مکزیک، آرژانتین و اسپانیا رو هدف قرار داده....
طبق گزارش ThreatFabric، این بدافزار یه کپی ساده از بقیه تروجان های بانکی نیست، بلکه از همون اول با تکنیک های پیشرفته ای مثل کنترل از راه دور و سرقت اطلاعات از طریق لاگهای دسترسی (Accessibility Logging) وارد بازی شده.
مثل بقیه تروجان های بانکی، هدف Crocodilus اینه که کنترل کامل گوشی رو به دست بگیره و در نهایت تراکنش های جعلی انجام بده. برثی سورس کد و لاگ های دیباگ نشون داده که سازنده این بدافزار به زبان ترکی صحبت میکنه.
نحوه کار کردن این بدافزار Crocodilus اینطوریه که خودش رو جای گوگل کروم جا میزنه (با یه اسم پکیج عجیب "quizzical.washbowl.calamity") و میتونه از محدودیت های امنیتی اندروید ۱۳ به بعد رد بشه.
وقتی نصب شد، از کاربر اجازه دسترسی به سرویس های دسترسی پذیری (Accessibility Services) اندروید رو میگیره.
بعدش به یه سرور راه دور وصل میشه تا دستورات جدید بگیره، لیست اپ های مالی هدف رو دریافت کنه و صفحه های جعلی HTML رو بارگذاری کنه تا اطلاعات ورود رو سرقت کنه.
این بدافزار فقط بانک ها رو هدف قرار نمیده، بلکه به کیف پول های ارز دیجیتال هم حمله میکنه به جای نمایش یه صفحه ورود جعلی، یه پیام هشدار نشون میده که به کاربر میگه "اگه تا ۱۲ ساعت آینده عبارت بازیابی (Seed Phrase) رو ذخیره نکنی، دسترسیت به کیف پولت رو از دست میدی". اما در واقع، همین روش باعث میشه هکرها عبارت بازیابی رو بدزدن و کل دارایی های دیجیتال قربانی رو خالی کنن.
قابلیتهای مهم این بدافزار:
1- اجرای یه اپ مشخص
2- حذف خودش از روی دستگاه
3- ارسال نوتیفیکیشن جعلی
4- ارسال پیامک به همه یا بعضی از مخاطبین
5- دریافت لیست مخاطبین
6- گرفتن لیست اپهای نصب شده
7- خوندن پیامکها
8- درخواست مجوز مدیر دستگاه (Device Admin)
9- تغییر تنظیمات سرور (C2)
10- فعال/غیرفعال کردن صدا
11- فعال/غیرفعال کردن کی لاگر
12- تبدیلشدن به برنامه پیشفرض SMS
از طرفی ThreatFabric گفته که Crocodilus نسبت به بقیه بدافزار های تازه کشف شده خیلی حرفهای تر و خطرناک تره، چون از همون ابتدا قابلیت های پیشرفته ای مثل کنترل از راه دور و... رو داشته.
این در حالی اتفاق افتاده که محققای Forcepoint یه کمپین فیشینگ جدید رو کشف کردن که با استفاده از یه اسکریپت ویژوال بیسیک رمزنگاریشده، بدافزار بانکی Grandoreiro رو روی ویندوز پخش میکنه و کاربرای مکزیک، آرژانتین و اسپانیا رو هدف قرار داده....
👍1💯1🆒1
یه تازهکار تو دنیای جرایم سایبری دیده شده که با کمک گرفتن از یه سرویس روسی به اسم Proton66 که از اون مدل میزبان هایی هست که بهشون میگن Bulletproof Hosting (BPH) (یعنی سرورهایی که به راحتی بسته نمیشن و برای کارهای خلاف خیلی محبوبن)، داره کارهای خودش رو پیش میبره.
شرکت امنیتی DomainTools این قضیه رو فهمید، وقتی یه سایت قلابی به اسم cybersecureprotect.com رو پیدا کرد که روی همین Proton66 میزبانی میشد. این سایت وانمود میکرد یه آنتی ویروس خفن و امنه، ولی در واقع داشته بدافزار پخش میکرده.
از طرفی DomainTools گفت تو تنظیمات این سایت یه سوتی امنیتی (OPSEC failure) پیدا کرده بودن که باعث شد بشه راحت به کل زیرساخت مخرب اون نفوذ کرد و فایلهایی که روی سرور گذاشته بودن رو دید.
تو گزارششون گفتن:
این Proton66 که تازه یه سرویس مشابه دیگه به اسم PROSPERO هم بهش ربط داره، قبلاً هم تو چندتا کمپین خرابکاری دیده شده که بدافزارهایی برای دسکتاپ و اندروید مثل GootLoader، Matanbuchus، SpyNote، Coper (همون Octo) و SocGholish رو پخش کرده. بعضی از سایتهای قلابی ای که روش میزبانی میشه، از طریق پیامک برای مردم ارسال میشن تا اونارو گول بزنن که اطلاعات بانکی و کارت اعتباری شون رو وارد کنن.
و Coquettte هم یکی از همون خلافکارهاست که با استفاده از امکانات Proton66 بدافزار پخش میکنه، اونم در قالب یه ابزار آنتیویروس قلابی.
شکلش اینجوریه: یه فایل فشرده ZIP به اسم "CyberSecure Pro.zip" که توش یه نصاب برای ویندوزه، و وقتی اجراش میکنی، یه بدافزار دیگه از یه سرور دیگه دانلود میکنه. این سرور کنترلش دست خودشونه و باهاش بقیه بدافزارها رو از یه سیستم فرماندهی (C2) به اسم cia.tf میفرستن.
بدافزار دوم یه لودره به اسم Rugmi (که بهش Penguish هم میگن)، که قبلاً هم برای نصب بدافزارهایی مثل Lumma، Vidar و Raccoon استفاده شده همشون هم برای جاسوسی و سرقت اطلاعات استفاده میشن .
بعد که بیشتر بررسی کردن، ردپای دیجیتالی Coquettte رو پیدا کردن؛ یه سایت شخصی داشت که توش گفته بود:
ولی خب، همون دامنه cia.tf رو با ایمیل root@coquettte.com ثبت کرده بوده. یعنی رسماً خودش پشت همه ماجرا بوده: هم سایت قلابی، هم سرور بدافزار.
و از طرفی DomainTools گفته:
اما کاراش فقط به بدافزار ختم نمیشه...
این فرد سایبری فقط به پخش ویروس و این چیزا بسنده نکرده، بلکه یه سری سایت دیگه هم راه انداخته که توش راهنماهایی برای ساخت مواد غیرقانونی و سلاحها میفروشه.
بررسیها نشون میده که Coquettte احتمالاً عضو یه گروه بزرگ تر به اسم Horrid هست.
تو گزارش اومده:
و در آخر گفتن:
"این گروه به چندتا دامنه مرتبط با جرم و خلاف وصل میشه، و بهنظر میرسه مثل یه نوع مرکز رشد برای خلافکارای سایبری تازه کار عمل میکنه؛ هم ابزار بهشون میده، هم زیرساخت لازم...."
شرکت امنیتی DomainTools این قضیه رو فهمید، وقتی یه سایت قلابی به اسم cybersecureprotect.com رو پیدا کرد که روی همین Proton66 میزبانی میشد. این سایت وانمود میکرد یه آنتی ویروس خفن و امنه، ولی در واقع داشته بدافزار پخش میکرده.
از طرفی DomainTools گفت تو تنظیمات این سایت یه سوتی امنیتی (OPSEC failure) پیدا کرده بودن که باعث شد بشه راحت به کل زیرساخت مخرب اون نفوذ کرد و فایلهایی که روی سرور گذاشته بودن رو دید.
تو گزارششون گفتن:
"این کشف ما رو برد توی لونه خرگوش و باعث شد برسیم به کارای یه هکر تازه کار که اسمش رو گذاشتن Coquettte، یه خلافکار سایبری آماتور که با استفاده از Proton66 داره بدافزار پخش میکنه و خلافای دیگه هم انجام میده."
این Proton66 که تازه یه سرویس مشابه دیگه به اسم PROSPERO هم بهش ربط داره، قبلاً هم تو چندتا کمپین خرابکاری دیده شده که بدافزارهایی برای دسکتاپ و اندروید مثل GootLoader، Matanbuchus، SpyNote، Coper (همون Octo) و SocGholish رو پخش کرده. بعضی از سایتهای قلابی ای که روش میزبانی میشه، از طریق پیامک برای مردم ارسال میشن تا اونارو گول بزنن که اطلاعات بانکی و کارت اعتباری شون رو وارد کنن.
و Coquettte هم یکی از همون خلافکارهاست که با استفاده از امکانات Proton66 بدافزار پخش میکنه، اونم در قالب یه ابزار آنتیویروس قلابی.
شکلش اینجوریه: یه فایل فشرده ZIP به اسم "CyberSecure Pro.zip" که توش یه نصاب برای ویندوزه، و وقتی اجراش میکنی، یه بدافزار دیگه از یه سرور دیگه دانلود میکنه. این سرور کنترلش دست خودشونه و باهاش بقیه بدافزارها رو از یه سیستم فرماندهی (C2) به اسم cia.tf میفرستن.
بدافزار دوم یه لودره به اسم Rugmi (که بهش Penguish هم میگن)، که قبلاً هم برای نصب بدافزارهایی مثل Lumma، Vidar و Raccoon استفاده شده همشون هم برای جاسوسی و سرقت اطلاعات استفاده میشن .
بعد که بیشتر بررسی کردن، ردپای دیجیتالی Coquettte رو پیدا کردن؛ یه سایت شخصی داشت که توش گفته بود:
"من یه مهندس نرمافزار ۱۹ سالهام، دارم رشته توسعه نرمافزار میخونم."
ولی خب، همون دامنه cia.tf رو با ایمیل root@coquettte.com ثبت کرده بوده. یعنی رسماً خودش پشت همه ماجرا بوده: هم سایت قلابی، هم سرور بدافزار.
و از طرفی DomainTools گفته:
"احتمال زیاد Coquettte یه جوون دانشجوئه که چون هنوز آماتوره، تو کاراش اشتباههای ساده میکنه (مثل باز گذاشتن دایرکتوری توی سرور)."
اما کاراش فقط به بدافزار ختم نمیشه...
این فرد سایبری فقط به پخش ویروس و این چیزا بسنده نکرده، بلکه یه سری سایت دیگه هم راه انداخته که توش راهنماهایی برای ساخت مواد غیرقانونی و سلاحها میفروشه.
بررسیها نشون میده که Coquettte احتمالاً عضو یه گروه بزرگ تر به اسم Horrid هست.
تو گزارش اومده:
"ساختار مشترک این سایت ها نشون میده که افرادی که پشتش هستن، خودشونو با اسم 'Horrid' معرفی میکنن، و Coquettte احتمالاً اسم مستعار یکی از اعضای این گروهه، نه اینکه تنها بازیگر ماجرا باشه."
و در آخر گفتن:
"این گروه به چندتا دامنه مرتبط با جرم و خلاف وصل میشه، و بهنظر میرسه مثل یه نوع مرکز رشد برای خلافکارای سایبری تازه کار عمل میکنه؛ هم ابزار بهشون میده، هم زیرساخت لازم...."
👍3