هکری به اسم EncryptHub از یه باگ امنیتی که تازه تو ویندوز پچ شده بود، سوءاستفاده کرده و قبل از اینکه کسی بفهمه، کلی بدافزار مختلف روی سیستم ها نصب کرده. این بدافزارها شامل backdoor و... بودن، مثل Rhadamanthys و StealC.
طبق گفتهی "علیاکبر زهراوی"، یکی از محقق های شرکت امنیتی Trend Micro:
"توی این حمله، هکر با دستکاری فایلهای .msc و یه چیزی به اسم MUIPath (مسیر رابط کاربری چند زبانه ویندوز)، کاری میکنه که سیستم بره یه فایل مخرب دانلود و اجرا کنه. بعدش هم روی سیستم میمونه و اطلاعات حساس رو به سرقت میبره."
اون باگی که باعث این ماجرا شده بود، یه آسیبپذیریه به اسم CVE-2025-26633 با امتیاز خطر ۷ از ۱۰. مایکروسافت اینو اینجوری توصیف کرده: یه مشکل تو بی اثر کردن درست دستورات تو Microsoft Management Console (MMC) که اجازه میده هکر بتونه بهصورت لوکال از یه قابلیت امنیتی رد بشه. این باگ اوایل همین ماه تو آپدیتهای Patch Tuesday فیکس شده.
شرکت Trend Micro به این روش حمله اسم MSC EvilTwin رو داده و گروه هکری پشتش که احتمالاً روسی هستن، با اسم Water Gamayun پیگیری میکنه. این گروه اخیراً هم توسط دو تا شرکت امنیتی دیگه، یعنی PRODAFT و Outpost24 بررسی شده بودن و یه اسم دیگه هم براشون گذاشتن: LARVA-208.
حالا بیایم سر اصل ماجرا:
این باگ (CVE-2025-26633) به هکر اجازه میده از ساختار Microsoft Management Console سوءاستفاده کنه و یه فایل مخرب .msc رو با پاورشل (PowerShell) اجرا کنه، که اسم این لودر هم شده MSC EvilTwin Loader.
تکنیکش اینجوریه که میاد دو تا فایل .msc با یه اسم درست میکنه:
یکی سالم، یکی هم آلوده.
اون فایل آلوده رو توی یه پوشه به اسم en-US میذاره (که همون پوشه زبان انگلیسی ویندوزه). وقتی فایل سالم رو اجرا میکنی، MMC بهجای اون، فایل توی en-US رو باز میکنه. چرا؟ چون MMC با توجه به تنظیمات زبانی (MUIPath) اشتباهی فایل مخرب رو لود میکنه.
زهراوی میگه:
"با سوءاستفاده از روش کار mmc.exe با MUIPath، هکر میتونه توی en-US یه فایل .msc آلوده بذاره، و MMC هم موقع اجرا اون فایل مخرب رو بهجای فایل اصلی باز کنه، بدون اینکه کاربر بفهمه."
اما EncryptHub فقط به همین روش اکتفا نکرده، بلکه دوتا روش دیگه هم برای اجرای بدافزارش استفاده کرده:
استفاده از تابع ExecuteShellCommand تو MMC برای دانلود و اجرای payload بعدی (این روشو اولین بار شرکت هلندی Outflank تو آگوست ۲۰۲۴ کشف کرده بود)
استفاده از دایرکتوریهای جعلی که شبیه پوشههای سیستم واقعی هستن، مثلاً C:\Windows \System32 (ببین فاصله بین Windows و \ رو! واسه گول زدن سیستم!) برای دور زدن کنترل حساب کاربری (UAC) و انداختن فایل مخرب به اسم WmiMgmt.msc.
طبق تحلیل Trend Micro، زنجیره حمله معمولاً این طوری شروع میشه که قربانی ها یه فایل نصب کننده MSI دانلود میکنن که امضای دیجیتالی داره و خودشو جای نرمافزار های چینی معروف مثل DingTalk یا QQTalk جا زده. بعدش با همون فایل، لودر بدافزار از یه سرور خارجی دانلود و اجرا میشه.
و زهراوی هشدار میده که:
"این کمپین هنوزم فعاله و داره مدام بهتر میشه. روش های مختلفی برای تحویل بدافزار داره و از payloadهای سفارشی استفاده میکنه که بتونه رو سیستم بمونه، اطلاعات مهمو بدزده و بفرسته به سرورهای کنترل و فرمان (C&C) خودش."
طبق گفتهی "علیاکبر زهراوی"، یکی از محقق های شرکت امنیتی Trend Micro:
"توی این حمله، هکر با دستکاری فایلهای .msc و یه چیزی به اسم MUIPath (مسیر رابط کاربری چند زبانه ویندوز)، کاری میکنه که سیستم بره یه فایل مخرب دانلود و اجرا کنه. بعدش هم روی سیستم میمونه و اطلاعات حساس رو به سرقت میبره."
اون باگی که باعث این ماجرا شده بود، یه آسیبپذیریه به اسم CVE-2025-26633 با امتیاز خطر ۷ از ۱۰. مایکروسافت اینو اینجوری توصیف کرده: یه مشکل تو بی اثر کردن درست دستورات تو Microsoft Management Console (MMC) که اجازه میده هکر بتونه بهصورت لوکال از یه قابلیت امنیتی رد بشه. این باگ اوایل همین ماه تو آپدیتهای Patch Tuesday فیکس شده.
شرکت Trend Micro به این روش حمله اسم MSC EvilTwin رو داده و گروه هکری پشتش که احتمالاً روسی هستن، با اسم Water Gamayun پیگیری میکنه. این گروه اخیراً هم توسط دو تا شرکت امنیتی دیگه، یعنی PRODAFT و Outpost24 بررسی شده بودن و یه اسم دیگه هم براشون گذاشتن: LARVA-208.
حالا بیایم سر اصل ماجرا:
این باگ (CVE-2025-26633) به هکر اجازه میده از ساختار Microsoft Management Console سوءاستفاده کنه و یه فایل مخرب .msc رو با پاورشل (PowerShell) اجرا کنه، که اسم این لودر هم شده MSC EvilTwin Loader.
تکنیکش اینجوریه که میاد دو تا فایل .msc با یه اسم درست میکنه:
یکی سالم، یکی هم آلوده.
اون فایل آلوده رو توی یه پوشه به اسم en-US میذاره (که همون پوشه زبان انگلیسی ویندوزه). وقتی فایل سالم رو اجرا میکنی، MMC بهجای اون، فایل توی en-US رو باز میکنه. چرا؟ چون MMC با توجه به تنظیمات زبانی (MUIPath) اشتباهی فایل مخرب رو لود میکنه.
زهراوی میگه:
"با سوءاستفاده از روش کار mmc.exe با MUIPath، هکر میتونه توی en-US یه فایل .msc آلوده بذاره، و MMC هم موقع اجرا اون فایل مخرب رو بهجای فایل اصلی باز کنه، بدون اینکه کاربر بفهمه."
اما EncryptHub فقط به همین روش اکتفا نکرده، بلکه دوتا روش دیگه هم برای اجرای بدافزارش استفاده کرده:
استفاده از تابع ExecuteShellCommand تو MMC برای دانلود و اجرای payload بعدی (این روشو اولین بار شرکت هلندی Outflank تو آگوست ۲۰۲۴ کشف کرده بود)
استفاده از دایرکتوریهای جعلی که شبیه پوشههای سیستم واقعی هستن، مثلاً C:\Windows \System32 (ببین فاصله بین Windows و \ رو! واسه گول زدن سیستم!) برای دور زدن کنترل حساب کاربری (UAC) و انداختن فایل مخرب به اسم WmiMgmt.msc.
طبق تحلیل Trend Micro، زنجیره حمله معمولاً این طوری شروع میشه که قربانی ها یه فایل نصب کننده MSI دانلود میکنن که امضای دیجیتالی داره و خودشو جای نرمافزار های چینی معروف مثل DingTalk یا QQTalk جا زده. بعدش با همون فایل، لودر بدافزار از یه سرور خارجی دانلود و اجرا میشه.
و زهراوی هشدار میده که:
"این کمپین هنوزم فعاله و داره مدام بهتر میشه. روش های مختلفی برای تحویل بدافزار داره و از payloadهای سفارشی استفاده میکنه که بتونه رو سیستم بمونه، اطلاعات مهمو بدزده و بفرسته به سرورهای کنترل و فرمان (C&C) خودش."
🔥4
پژوهشگرای امنیت سایبری یه عالمه باگ امنیتی جدید (۴۶ تا) تو وسایل سه تا شرکت معروف که اینورتر خورشیدی میسازن یعنی Sungrow، Growatt و SMA پیدا کردن. اگه یکی از این باگها رو یه هکر استفاده کنه، میتونه کنترل دستگاهو از راه دور به دست بگیره یا روش کُد دلخواه اجرا کنه؛ خلاصه اینجوری حسابی ممکنه به شبکه برق آسیب جدی وارد بشه.
اسم این مجموعه باگها رو گذاشتن SUN:DOWN.
توی گزارشی که دادن گفتن این باگها اجازه میده که :
1- دستورهای دلخواه روی دستگاه یا سرور ابری شرکت اجرا بشه،
2- حسابای کاربرا به سرقت بره ،
3- هکر به زیرساخت های شرکت نفوذ کنه.
چندتا از باگ های جالبی که کشف کردن ایناست:
یه فایل با پسوند .aspx میفرستی به سایت SMA، سرورش اجراش میکنه و از اونجا دیگه هکر میتونه کد مخرب خودشو اجرا کنه.
بدون اینکه لاگین کنی، میتونی با یه آدرس خاص توی سایت Growatt بفهمی اسم کاربرای واقعی چیه.
همین جوری میشه فهمید کی چه دستگاه خورشیدی داره، و حتی اونارو کنترل کنی...
اگه یه نام کاربری واقعی داشته باشی، میتونی شماره سریال یه کنتور هوشمند رو بکشی بیرون و حساب اون بنده خدا رو هک کنی.
حتی میتونی اطلاعات شارژر ماشین برقی، مصرف انرژی و چیزای حساس دیگه رو بکشی بیرون و از راه دور تنظیماتشونو تغییر بدی.
اپ اندرویدی Sungrow از رمزنگاری خیلی ضعیف استفاده میکنه؛ یعنی یه هکر میتونه ارتباط بین موبایل و سرور رو شنود کنه و بخونه.
این اپ حتی اگه گواهی SSL معتبر نباشه، باز هم میگه مشکلی نیست و کارشو ادامه میوه و این یعنی وسط اون ارتباط میشه حمله کرد.
تو رابط وب WiNet هم یه رمز عبور ثابت و پیشفرض گذاشتن که هرکسی داشته باشه میتونه فریمورها رو رمزگشایی کنه.
چندتا باگ هم تو پیام های MQTT هست که میتونه باعث بشه از راه دور کُد اجرا بشه یا دستگاه هنگ کنه.
خلاصه، Forescout گفته اگه یه هکر بتونه این باگ ها رو استفاده کنه و یه عالمه از این دستگاه ها رو بگیره دست خودش، اونوقت دیگه میتونه کاری کنه شبکه برق حسابی به هم بریزه.
مثلاً تو یه سناریوی فرضی، هکر میتونه با یه API که محافظت نداره، اسم واقعی کاربرا رو حدس بزنه، رمزهاشونو با "123456" ریست کنه و بعد هم همه چی رو بههم بریزه.
بدتر اینکه، بعدش میتونه همه این دستگاه های هک شده رو یهجورایی مثل بات نت کنترل کنه و حمله بزرگی به شبکه برق بزنه که باعث خاموشی بشه. خوشبختانه شرکت ها با مسئولیتپذیری این مشکلات رو رفع کردن.
از طرفی Forescout هشدار داده اگه یه فرد مخرب بتونه این دستگاهها رو کنترل کنه، میتونه جریان برق به شبکه رو زیاد یا کم کنه و تو تولید انرژی اختلال بندازه. این یعنی ممکنه حملات ترکیبی سایبری-فیزیکی هم راه بیوفته.
رییس تحقیقاتی Forescout هم گفته برای کم کردن خطر، باید موقع خرید تجهیزات خورشیدی حواسمون حسابی جمع باشه، دائماً بررسی امنیتی انجام بدیم و شبکه ای که این دستگاهها توشن رو کامل تحت نظر داشته باشیم.
جدا از اینا، یه سری دوربین نظارتی خط تولید هم که ساخت یه شرکت ژاپنی به اسم Inaba Denki Sangyo هست، کلی باگ داره. هنوز هم پچ نشدن، ولی شرکت گفته حداقل دسترسی اینترنت بهشون قطع بشه و تو جای امن نصب بشن.
این دوربینها به هکر اجازه میدن از راه دور دوربینو ببینه یا ضبط رو قطع کنه، که خب برای کنترل کیفیت فاجعه هستش.
توی چند ماه گذشته هم چند تا مشکل امنیتی توی دستگاه های صنعتی دیگه از جمله رله GE Vernova، گیت وی Zettler و PLC شرکت Wago پیدا شده که میتونه باعث بشه یه هکر کل دستگاهو بگیره دست خودش.
اسم این مجموعه باگها رو گذاشتن SUN:DOWN.
توی گزارشی که دادن گفتن این باگها اجازه میده که :
1- دستورهای دلخواه روی دستگاه یا سرور ابری شرکت اجرا بشه،
2- حسابای کاربرا به سرقت بره ،
3- هکر به زیرساخت های شرکت نفوذ کنه.
چندتا از باگ های جالبی که کشف کردن ایناست:
یه فایل با پسوند .aspx میفرستی به سایت SMA، سرورش اجراش میکنه و از اونجا دیگه هکر میتونه کد مخرب خودشو اجرا کنه.
بدون اینکه لاگین کنی، میتونی با یه آدرس خاص توی سایت Growatt بفهمی اسم کاربرای واقعی چیه.
همین جوری میشه فهمید کی چه دستگاه خورشیدی داره، و حتی اونارو کنترل کنی...
اگه یه نام کاربری واقعی داشته باشی، میتونی شماره سریال یه کنتور هوشمند رو بکشی بیرون و حساب اون بنده خدا رو هک کنی.
حتی میتونی اطلاعات شارژر ماشین برقی، مصرف انرژی و چیزای حساس دیگه رو بکشی بیرون و از راه دور تنظیماتشونو تغییر بدی.
اپ اندرویدی Sungrow از رمزنگاری خیلی ضعیف استفاده میکنه؛ یعنی یه هکر میتونه ارتباط بین موبایل و سرور رو شنود کنه و بخونه.
این اپ حتی اگه گواهی SSL معتبر نباشه، باز هم میگه مشکلی نیست و کارشو ادامه میوه و این یعنی وسط اون ارتباط میشه حمله کرد.
تو رابط وب WiNet هم یه رمز عبور ثابت و پیشفرض گذاشتن که هرکسی داشته باشه میتونه فریمورها رو رمزگشایی کنه.
چندتا باگ هم تو پیام های MQTT هست که میتونه باعث بشه از راه دور کُد اجرا بشه یا دستگاه هنگ کنه.
خلاصه، Forescout گفته اگه یه هکر بتونه این باگ ها رو استفاده کنه و یه عالمه از این دستگاه ها رو بگیره دست خودش، اونوقت دیگه میتونه کاری کنه شبکه برق حسابی به هم بریزه.
مثلاً تو یه سناریوی فرضی، هکر میتونه با یه API که محافظت نداره، اسم واقعی کاربرا رو حدس بزنه، رمزهاشونو با "123456" ریست کنه و بعد هم همه چی رو بههم بریزه.
بدتر اینکه، بعدش میتونه همه این دستگاه های هک شده رو یهجورایی مثل بات نت کنترل کنه و حمله بزرگی به شبکه برق بزنه که باعث خاموشی بشه. خوشبختانه شرکت ها با مسئولیتپذیری این مشکلات رو رفع کردن.
از طرفی Forescout هشدار داده اگه یه فرد مخرب بتونه این دستگاهها رو کنترل کنه، میتونه جریان برق به شبکه رو زیاد یا کم کنه و تو تولید انرژی اختلال بندازه. این یعنی ممکنه حملات ترکیبی سایبری-فیزیکی هم راه بیوفته.
رییس تحقیقاتی Forescout هم گفته برای کم کردن خطر، باید موقع خرید تجهیزات خورشیدی حواسمون حسابی جمع باشه، دائماً بررسی امنیتی انجام بدیم و شبکه ای که این دستگاهها توشن رو کامل تحت نظر داشته باشیم.
جدا از اینا، یه سری دوربین نظارتی خط تولید هم که ساخت یه شرکت ژاپنی به اسم Inaba Denki Sangyo هست، کلی باگ داره. هنوز هم پچ نشدن، ولی شرکت گفته حداقل دسترسی اینترنت بهشون قطع بشه و تو جای امن نصب بشن.
این دوربینها به هکر اجازه میدن از راه دور دوربینو ببینه یا ضبط رو قطع کنه، که خب برای کنترل کیفیت فاجعه هستش.
توی چند ماه گذشته هم چند تا مشکل امنیتی توی دستگاه های صنعتی دیگه از جمله رله GE Vernova، گیت وی Zettler و PLC شرکت Wago پیدا شده که میتونه باعث بشه یه هکر کل دستگاهو بگیره دست خودش.
محقق های امنیت سایبری دو تا پکیج مخرب توی ریجستری npm پیدا کردن که هدفشون اینه که یه پکیج دیگه که روی سیستم نصب شده رو آلوده کنن. این نشون میده که حمله های Software Supply Chain Attacks همچنان دارن پیشرفت میکنن و جامعه اوپن سورس رو هدف قرار دادن.
اون دو تا پکیج که مشکل داشتن، ethers-provider2 و ethers-providerz هستن. اولی از ۱۵ مارس ۲۰۲۵ منتشر شده و تا حالا ۷۳ بار دانلود شده. اما دومی که احتمالاً خود نویسنده بدافزار حذفش کرده، هیچ دانلودی نداشته.
یه محقق از ReversingLabs به اسم Lucija Valentić گفته:
"این پکیج ها در واقع فقط یه دانلودر ساده بودن که محتوای مخربشون خیلی هوشمندانه مخفی شده بود."
قسمت جالب ماجرا اینه که این پکیجها توی مرحله دوم حمله شون، یه فایل مخرب به یه پکیج npm معتبر به اسم ethers (که روی سیستم نصب شده) اضافه میکردن. این فایل در نهایت باعث میشد که سیستم قربانی یه reverse shell داشته باشه، یعنی یه راه مخفی که هکر میتونه از راه دور وارد سیستم بشه.
این یه حرکت جدیده که نشون میده مهاجم ها دارن تاکتیک های خودشون رو ارتقا میدن. حتی اگه قربانی این پکیج های آلوده رو پاک کنه، مشکل حل نمیشه، چون تغییرات توی یه کتابخونه معتبر اعمال شده. بدتر از اون، اگه کاربر ethers رو پاک کنه ولی ethers-provider2 هنوز روی سیستم باشه، وقتی دوباره پکیج ethers رو نصب کنه، سیستمش دوباره آلوده میشه...
طبق تحلیل ReversingLabs، پکیج ethers-provider2 یه نسخه آلوده شده از ssh2 (یکی از پکیجهای معروف npm) هست. داخل فایل install.js این پکیج، یه کد مخرب هست که میره از یه سرور راه دور (5.199.166.1:31337/install) یه بدافزار دومرحله ای رو دانلود میکنه، اون رو توی یه فایل موقت مینویسه و اجراش میکنه.
بعد از اجرا، فایل موقت سریعاً حذف میشه تا ردپایی روی سیستم نمونه. این بدافزار دومرحلهای یه کار جالب دیگه هم میکنه:
یه حلقه بینهایت اجرا میشه تا چک کنه که آیا پکیج ethers روی سیستم نصب شده یا نه.
اگه این پکیج نصب شده باشه یا تازه نصب بشه، بدافزار وارد عمل میشه و یه فایلی به اسم provider-jsonrpc.js رو با یه نسخه جعلی جایگزین میکنه. این فایل جعلی یه کد اضافی داره که یه مرحله سوم بدافزار رو از همون سرور دانلود و اجرا میکنه. این مرحله جدید هم در نهایت باعث میشه که سیستم قربانی یه reverse shell روی SSH داشته باشه.
از طرفی Valentić گفته:
"این یعنی وقتی این اتصال با سرور باز بشه، سیستم قربانی به یه reverse shell تبدیل میشه و مهاجم میتونه از راه دور کنترلش کنه. حتی اگه ethers-provider2 از سیستم پاک بشه، تحت یه شرایط خاص، این کلاینت همچنان میتونه استفاده بشه و به مهاجمها یه سطحی از پایداری بده."
یه نکته مهم اینه که پکیج رسمی ethers روی ریجستری npm آلوده نشده. این تغییرات فقط بعد از نصب و بهصورت محلی اعمال میشن.
پکیج ethers-providerz هم دقیقاً همون کار رو انجام میداده و میخواسته فایل های یه پکیج npm دیگه به اسم ethersproject/providers رو تغییر بده. البته هنوز مشخص نیست که دقیقاً کدوم پکیج هدف اصلیش بوده، ولی توی کدهاش به loader.js اشاره شده...
اون دو تا پکیج که مشکل داشتن، ethers-provider2 و ethers-providerz هستن. اولی از ۱۵ مارس ۲۰۲۵ منتشر شده و تا حالا ۷۳ بار دانلود شده. اما دومی که احتمالاً خود نویسنده بدافزار حذفش کرده، هیچ دانلودی نداشته.
یه محقق از ReversingLabs به اسم Lucija Valentić گفته:
"این پکیج ها در واقع فقط یه دانلودر ساده بودن که محتوای مخربشون خیلی هوشمندانه مخفی شده بود."
قسمت جالب ماجرا اینه که این پکیجها توی مرحله دوم حمله شون، یه فایل مخرب به یه پکیج npm معتبر به اسم ethers (که روی سیستم نصب شده) اضافه میکردن. این فایل در نهایت باعث میشد که سیستم قربانی یه reverse shell داشته باشه، یعنی یه راه مخفی که هکر میتونه از راه دور وارد سیستم بشه.
این یه حرکت جدیده که نشون میده مهاجم ها دارن تاکتیک های خودشون رو ارتقا میدن. حتی اگه قربانی این پکیج های آلوده رو پاک کنه، مشکل حل نمیشه، چون تغییرات توی یه کتابخونه معتبر اعمال شده. بدتر از اون، اگه کاربر ethers رو پاک کنه ولی ethers-provider2 هنوز روی سیستم باشه، وقتی دوباره پکیج ethers رو نصب کنه، سیستمش دوباره آلوده میشه...
طبق تحلیل ReversingLabs، پکیج ethers-provider2 یه نسخه آلوده شده از ssh2 (یکی از پکیجهای معروف npm) هست. داخل فایل install.js این پکیج، یه کد مخرب هست که میره از یه سرور راه دور (5.199.166.1:31337/install) یه بدافزار دومرحله ای رو دانلود میکنه، اون رو توی یه فایل موقت مینویسه و اجراش میکنه.
بعد از اجرا، فایل موقت سریعاً حذف میشه تا ردپایی روی سیستم نمونه. این بدافزار دومرحلهای یه کار جالب دیگه هم میکنه:
یه حلقه بینهایت اجرا میشه تا چک کنه که آیا پکیج ethers روی سیستم نصب شده یا نه.
اگه این پکیج نصب شده باشه یا تازه نصب بشه، بدافزار وارد عمل میشه و یه فایلی به اسم provider-jsonrpc.js رو با یه نسخه جعلی جایگزین میکنه. این فایل جعلی یه کد اضافی داره که یه مرحله سوم بدافزار رو از همون سرور دانلود و اجرا میکنه. این مرحله جدید هم در نهایت باعث میشه که سیستم قربانی یه reverse shell روی SSH داشته باشه.
از طرفی Valentić گفته:
"این یعنی وقتی این اتصال با سرور باز بشه، سیستم قربانی به یه reverse shell تبدیل میشه و مهاجم میتونه از راه دور کنترلش کنه. حتی اگه ethers-provider2 از سیستم پاک بشه، تحت یه شرایط خاص، این کلاینت همچنان میتونه استفاده بشه و به مهاجمها یه سطحی از پایداری بده."
یه نکته مهم اینه که پکیج رسمی ethers روی ریجستری npm آلوده نشده. این تغییرات فقط بعد از نصب و بهصورت محلی اعمال میشن.
پکیج ethers-providerz هم دقیقاً همون کار رو انجام میداده و میخواسته فایل های یه پکیج npm دیگه به اسم ethersproject/providers رو تغییر بده. البته هنوز مشخص نیست که دقیقاً کدوم پکیج هدف اصلیش بوده، ولی توی کدهاش به loader.js اشاره شده...
👍3
محققای امنیت سایبری یه بدافزار بانکی جدید برای اندروید کشف کردن به اسم Crocodilus که بیشتر کاربرا توی اسپانیا و ترکیه رو هدف قرار داده.
طبق گزارش ThreatFabric، این بدافزار یه کپی ساده از بقیه تروجان های بانکی نیست، بلکه از همون اول با تکنیک های پیشرفته ای مثل کنترل از راه دور و سرقت اطلاعات از طریق لاگهای دسترسی (Accessibility Logging) وارد بازی شده.
مثل بقیه تروجان های بانکی، هدف Crocodilus اینه که کنترل کامل گوشی رو به دست بگیره و در نهایت تراکنش های جعلی انجام بده. برثی سورس کد و لاگ های دیباگ نشون داده که سازنده این بدافزار به زبان ترکی صحبت میکنه.
نحوه کار کردن این بدافزار Crocodilus اینطوریه که خودش رو جای گوگل کروم جا میزنه (با یه اسم پکیج عجیب "quizzical.washbowl.calamity") و میتونه از محدودیت های امنیتی اندروید ۱۳ به بعد رد بشه.
وقتی نصب شد، از کاربر اجازه دسترسی به سرویس های دسترسی پذیری (Accessibility Services) اندروید رو میگیره.
بعدش به یه سرور راه دور وصل میشه تا دستورات جدید بگیره، لیست اپ های مالی هدف رو دریافت کنه و صفحه های جعلی HTML رو بارگذاری کنه تا اطلاعات ورود رو سرقت کنه.
این بدافزار فقط بانک ها رو هدف قرار نمیده، بلکه به کیف پول های ارز دیجیتال هم حمله میکنه به جای نمایش یه صفحه ورود جعلی، یه پیام هشدار نشون میده که به کاربر میگه "اگه تا ۱۲ ساعت آینده عبارت بازیابی (Seed Phrase) رو ذخیره نکنی، دسترسیت به کیف پولت رو از دست میدی". اما در واقع، همین روش باعث میشه هکرها عبارت بازیابی رو بدزدن و کل دارایی های دیجیتال قربانی رو خالی کنن.
قابلیتهای مهم این بدافزار:
از طرفی ThreatFabric گفته که Crocodilus نسبت به بقیه بدافزار های تازه کشف شده خیلی حرفهای تر و خطرناک تره، چون از همون ابتدا قابلیت های پیشرفته ای مثل کنترل از راه دور و... رو داشته.
این در حالی اتفاق افتاده که محققای Forcepoint یه کمپین فیشینگ جدید رو کشف کردن که با استفاده از یه اسکریپت ویژوال بیسیک رمزنگاریشده، بدافزار بانکی Grandoreiro رو روی ویندوز پخش میکنه و کاربرای مکزیک، آرژانتین و اسپانیا رو هدف قرار داده....
طبق گزارش ThreatFabric، این بدافزار یه کپی ساده از بقیه تروجان های بانکی نیست، بلکه از همون اول با تکنیک های پیشرفته ای مثل کنترل از راه دور و سرقت اطلاعات از طریق لاگهای دسترسی (Accessibility Logging) وارد بازی شده.
مثل بقیه تروجان های بانکی، هدف Crocodilus اینه که کنترل کامل گوشی رو به دست بگیره و در نهایت تراکنش های جعلی انجام بده. برثی سورس کد و لاگ های دیباگ نشون داده که سازنده این بدافزار به زبان ترکی صحبت میکنه.
نحوه کار کردن این بدافزار Crocodilus اینطوریه که خودش رو جای گوگل کروم جا میزنه (با یه اسم پکیج عجیب "quizzical.washbowl.calamity") و میتونه از محدودیت های امنیتی اندروید ۱۳ به بعد رد بشه.
وقتی نصب شد، از کاربر اجازه دسترسی به سرویس های دسترسی پذیری (Accessibility Services) اندروید رو میگیره.
بعدش به یه سرور راه دور وصل میشه تا دستورات جدید بگیره، لیست اپ های مالی هدف رو دریافت کنه و صفحه های جعلی HTML رو بارگذاری کنه تا اطلاعات ورود رو سرقت کنه.
این بدافزار فقط بانک ها رو هدف قرار نمیده، بلکه به کیف پول های ارز دیجیتال هم حمله میکنه به جای نمایش یه صفحه ورود جعلی، یه پیام هشدار نشون میده که به کاربر میگه "اگه تا ۱۲ ساعت آینده عبارت بازیابی (Seed Phrase) رو ذخیره نکنی، دسترسیت به کیف پولت رو از دست میدی". اما در واقع، همین روش باعث میشه هکرها عبارت بازیابی رو بدزدن و کل دارایی های دیجیتال قربانی رو خالی کنن.
قابلیتهای مهم این بدافزار:
1- اجرای یه اپ مشخص
2- حذف خودش از روی دستگاه
3- ارسال نوتیفیکیشن جعلی
4- ارسال پیامک به همه یا بعضی از مخاطبین
5- دریافت لیست مخاطبین
6- گرفتن لیست اپهای نصب شده
7- خوندن پیامکها
8- درخواست مجوز مدیر دستگاه (Device Admin)
9- تغییر تنظیمات سرور (C2)
10- فعال/غیرفعال کردن صدا
11- فعال/غیرفعال کردن کی لاگر
12- تبدیلشدن به برنامه پیشفرض SMS
از طرفی ThreatFabric گفته که Crocodilus نسبت به بقیه بدافزار های تازه کشف شده خیلی حرفهای تر و خطرناک تره، چون از همون ابتدا قابلیت های پیشرفته ای مثل کنترل از راه دور و... رو داشته.
این در حالی اتفاق افتاده که محققای Forcepoint یه کمپین فیشینگ جدید رو کشف کردن که با استفاده از یه اسکریپت ویژوال بیسیک رمزنگاریشده، بدافزار بانکی Grandoreiro رو روی ویندوز پخش میکنه و کاربرای مکزیک، آرژانتین و اسپانیا رو هدف قرار داده....
👍1💯1🆒1
یه تازهکار تو دنیای جرایم سایبری دیده شده که با کمک گرفتن از یه سرویس روسی به اسم Proton66 که از اون مدل میزبان هایی هست که بهشون میگن Bulletproof Hosting (BPH) (یعنی سرورهایی که به راحتی بسته نمیشن و برای کارهای خلاف خیلی محبوبن)، داره کارهای خودش رو پیش میبره.
شرکت امنیتی DomainTools این قضیه رو فهمید، وقتی یه سایت قلابی به اسم cybersecureprotect.com رو پیدا کرد که روی همین Proton66 میزبانی میشد. این سایت وانمود میکرد یه آنتی ویروس خفن و امنه، ولی در واقع داشته بدافزار پخش میکرده.
از طرفی DomainTools گفت تو تنظیمات این سایت یه سوتی امنیتی (OPSEC failure) پیدا کرده بودن که باعث شد بشه راحت به کل زیرساخت مخرب اون نفوذ کرد و فایلهایی که روی سرور گذاشته بودن رو دید.
تو گزارششون گفتن:
این Proton66 که تازه یه سرویس مشابه دیگه به اسم PROSPERO هم بهش ربط داره، قبلاً هم تو چندتا کمپین خرابکاری دیده شده که بدافزارهایی برای دسکتاپ و اندروید مثل GootLoader، Matanbuchus، SpyNote، Coper (همون Octo) و SocGholish رو پخش کرده. بعضی از سایتهای قلابی ای که روش میزبانی میشه، از طریق پیامک برای مردم ارسال میشن تا اونارو گول بزنن که اطلاعات بانکی و کارت اعتباری شون رو وارد کنن.
و Coquettte هم یکی از همون خلافکارهاست که با استفاده از امکانات Proton66 بدافزار پخش میکنه، اونم در قالب یه ابزار آنتیویروس قلابی.
شکلش اینجوریه: یه فایل فشرده ZIP به اسم "CyberSecure Pro.zip" که توش یه نصاب برای ویندوزه، و وقتی اجراش میکنی، یه بدافزار دیگه از یه سرور دیگه دانلود میکنه. این سرور کنترلش دست خودشونه و باهاش بقیه بدافزارها رو از یه سیستم فرماندهی (C2) به اسم cia.tf میفرستن.
بدافزار دوم یه لودره به اسم Rugmi (که بهش Penguish هم میگن)، که قبلاً هم برای نصب بدافزارهایی مثل Lumma، Vidar و Raccoon استفاده شده همشون هم برای جاسوسی و سرقت اطلاعات استفاده میشن .
بعد که بیشتر بررسی کردن، ردپای دیجیتالی Coquettte رو پیدا کردن؛ یه سایت شخصی داشت که توش گفته بود:
ولی خب، همون دامنه cia.tf رو با ایمیل root@coquettte.com ثبت کرده بوده. یعنی رسماً خودش پشت همه ماجرا بوده: هم سایت قلابی، هم سرور بدافزار.
و از طرفی DomainTools گفته:
اما کاراش فقط به بدافزار ختم نمیشه...
این فرد سایبری فقط به پخش ویروس و این چیزا بسنده نکرده، بلکه یه سری سایت دیگه هم راه انداخته که توش راهنماهایی برای ساخت مواد غیرقانونی و سلاحها میفروشه.
بررسیها نشون میده که Coquettte احتمالاً عضو یه گروه بزرگ تر به اسم Horrid هست.
تو گزارش اومده:
و در آخر گفتن:
"این گروه به چندتا دامنه مرتبط با جرم و خلاف وصل میشه، و بهنظر میرسه مثل یه نوع مرکز رشد برای خلافکارای سایبری تازه کار عمل میکنه؛ هم ابزار بهشون میده، هم زیرساخت لازم...."
شرکت امنیتی DomainTools این قضیه رو فهمید، وقتی یه سایت قلابی به اسم cybersecureprotect.com رو پیدا کرد که روی همین Proton66 میزبانی میشد. این سایت وانمود میکرد یه آنتی ویروس خفن و امنه، ولی در واقع داشته بدافزار پخش میکرده.
از طرفی DomainTools گفت تو تنظیمات این سایت یه سوتی امنیتی (OPSEC failure) پیدا کرده بودن که باعث شد بشه راحت به کل زیرساخت مخرب اون نفوذ کرد و فایلهایی که روی سرور گذاشته بودن رو دید.
تو گزارششون گفتن:
"این کشف ما رو برد توی لونه خرگوش و باعث شد برسیم به کارای یه هکر تازه کار که اسمش رو گذاشتن Coquettte، یه خلافکار سایبری آماتور که با استفاده از Proton66 داره بدافزار پخش میکنه و خلافای دیگه هم انجام میده."
این Proton66 که تازه یه سرویس مشابه دیگه به اسم PROSPERO هم بهش ربط داره، قبلاً هم تو چندتا کمپین خرابکاری دیده شده که بدافزارهایی برای دسکتاپ و اندروید مثل GootLoader، Matanbuchus، SpyNote، Coper (همون Octo) و SocGholish رو پخش کرده. بعضی از سایتهای قلابی ای که روش میزبانی میشه، از طریق پیامک برای مردم ارسال میشن تا اونارو گول بزنن که اطلاعات بانکی و کارت اعتباری شون رو وارد کنن.
و Coquettte هم یکی از همون خلافکارهاست که با استفاده از امکانات Proton66 بدافزار پخش میکنه، اونم در قالب یه ابزار آنتیویروس قلابی.
شکلش اینجوریه: یه فایل فشرده ZIP به اسم "CyberSecure Pro.zip" که توش یه نصاب برای ویندوزه، و وقتی اجراش میکنی، یه بدافزار دیگه از یه سرور دیگه دانلود میکنه. این سرور کنترلش دست خودشونه و باهاش بقیه بدافزارها رو از یه سیستم فرماندهی (C2) به اسم cia.tf میفرستن.
بدافزار دوم یه لودره به اسم Rugmi (که بهش Penguish هم میگن)، که قبلاً هم برای نصب بدافزارهایی مثل Lumma، Vidar و Raccoon استفاده شده همشون هم برای جاسوسی و سرقت اطلاعات استفاده میشن .
بعد که بیشتر بررسی کردن، ردپای دیجیتالی Coquettte رو پیدا کردن؛ یه سایت شخصی داشت که توش گفته بود:
"من یه مهندس نرمافزار ۱۹ سالهام، دارم رشته توسعه نرمافزار میخونم."
ولی خب، همون دامنه cia.tf رو با ایمیل root@coquettte.com ثبت کرده بوده. یعنی رسماً خودش پشت همه ماجرا بوده: هم سایت قلابی، هم سرور بدافزار.
و از طرفی DomainTools گفته:
"احتمال زیاد Coquettte یه جوون دانشجوئه که چون هنوز آماتوره، تو کاراش اشتباههای ساده میکنه (مثل باز گذاشتن دایرکتوری توی سرور)."
اما کاراش فقط به بدافزار ختم نمیشه...
این فرد سایبری فقط به پخش ویروس و این چیزا بسنده نکرده، بلکه یه سری سایت دیگه هم راه انداخته که توش راهنماهایی برای ساخت مواد غیرقانونی و سلاحها میفروشه.
بررسیها نشون میده که Coquettte احتمالاً عضو یه گروه بزرگ تر به اسم Horrid هست.
تو گزارش اومده:
"ساختار مشترک این سایت ها نشون میده که افرادی که پشتش هستن، خودشونو با اسم 'Horrid' معرفی میکنن، و Coquettte احتمالاً اسم مستعار یکی از اعضای این گروهه، نه اینکه تنها بازیگر ماجرا باشه."
و در آخر گفتن:
"این گروه به چندتا دامنه مرتبط با جرم و خلاف وصل میشه، و بهنظر میرسه مثل یه نوع مرکز رشد برای خلافکارای سایبری تازه کار عمل میکنه؛ هم ابزار بهشون میده، هم زیرساخت لازم...."
👍3
یه باگ جدید توی WinRAR پیدا شده که به هکرها این امکان رو میده از یکی از ویژگی های امنیتی اصلی ویندوز رد بشن و هر کدی که بخوان روی سیستم قربانی اجرا کنن.
این باگ با کد CVE-2025-31334 شناخته میشه و روی تمام نسخه های WinRAR قبل از نسخه ۷.۱۱ اثر میذاره. امتیاز امنیتی ای که براش در نظر گرفتن ۶.۸ از ۱۰ هست، یعنی باگ خطرناکیه و پتانسیل حمله جدی داره.
این باگ، سیستم امنیتی «Mark of the Web (MotW)» توی ویندوز رو هدف گرفته. این سیستم، فایلهایی که از منابع مشکوک (مثلاً اینترنت) دانلود شدن رو علامتگذاری میکنه و اجازه نمیده راحت اجرا بشن.
هکرها میتونن از یه نقطه ضعف تو نحوه برخورد WinRAR با Symbolic Link ها سوءاستفاده کنن. این لینک ها درواقع مثل میانبرهایی هستن که به فایل یا فولدر دیگه ای اشاره میکنن. با یه ترفند خاص، هکرها میتونن هشدارهای امنیتی ویندوز رو دور بزنن.
چجوری حمله اتفاق میوفته؟
کافیه کاربر یه فایل فشرده آلوده رو باز کنه، یا وارد یه صفحه آلوده بشه که اون فایل فشرده رو میزبانی میکنه. اگه حمله موفق باشه، هکر میتونه سیستم قربانی رو تو همون سطح دسترسیای که کاربر وارد شده، کنترل کنه.
فعلاً مدرکی از سوءاستفادهی فعال از این باگ دیده نشده، ولی باگ های مشابه (مثل CVE-2023-38831 تو سال ۲۰۲۳) قبلاً برای پخش بدافزارهایی مثل DarkMe و Agent Tesla استفاده شدن.
هر نسخهای از WinRAR که قدیمی تر از نسخه ۷.۱۱ باشه این باگ رو داره. خوشبختانه شرکت RARLAB که WinRAR رو توسعه میده، تو آخرین آپدیتش این باگ رو درست کرده. پس توصیه اکید اینه که همین الآن WinRAR رو آپدیت کنین...
بیاید و WinRAR رو حتماً به نسخه ۷.۱۱ یا بالاتر از سایت رسمی RARLAB آپدیت کنین.
وقتی یه کاربر یه فایل فشرده آلوده رو باز میکنه که توش یه Symbolic Link خاص طراحی شده، WinRAR اون تگ امنیتی MotW رو به فایل مقصد لینک اعمال نمیکنه. این یعنی بدافزار میتونه بدون اینکه ویندوز اخطار بده اجرا بشه.
ایجاد Symbolic Link بهصورت پیش فرض تو ویندوز نیاز به دسترسی مدیر (Administrator) داره، که باعث میشه همه سیستمها به راحتی قابل نفوذ نباشن. ولی اگه سیستم قبلاً هک شده باشه یا دسترسیها باز باشه، خطر هنوز پابرجاست.
یه سری پیشنهاد های امنیتی هست :
محدود کردن ساخت Symbolic Link: فقط ادمینهای مورد اعتماد باید اجازه ساخت چنین لینکهایی رو داشته باشن، مخصوصاً تو شرکتها.
مراقب باشین چه فایلی رو باز میکنین: فایل فشردهای که از جای مشکوک اومده رو اصلاً باز نکنین، حتی اگه ظاهرش خیلی بیآزاره.
این باگ توسط Taihei Shimamine از شرکت Mitsui Bussan Secure Directions کشف شده، با هماهنگی JPCERT/CC و مرکز هشدار سریع امنیت اطلاعات.
این ماجرا نشون میده که نرمافزارهای فشردهسازی مثل WinRAR که کاربرد خیلی زیادی دارن، چقدر باید مراقب باشن که بین راحتیِ کاربر و امنیت، تعادل ایجاد کنن. چون هکرها بیشتر دنبال نرمافزارهاییان که میلیونها نفر استفاده میکنن — مثل همین WinRAR که بالای ۵۰۰ میلیون کاربر داره...
این باگ یه زنگ خطر جدیه درباره مشکلاتی که باعث دور زدن سیستم MotW میشن. قبلاً هم نرمافزارهایی مثل 7-Zip با باگی مثل CVE-2025-0411 همین بلا سرشون اومده بود. این جور حملات باعث میشن ویروس یا بدافزار بدون اینکه حتی آنتیویروس متوجه بشه، اجرا بشه؛ به اینا میگن "حملات بدون فایل" (Fileless Attacks).
رفتار سریع شرکت RARLAB برای رفع این مشکل، شبیه واکنشی بود که به باگ مهم CVE-2023-38831 تو سال قبل نشون داده بود. ولی اینکه هی این باگها تکرار میشن، نشون میده که باید همیشه نرمافزارها رو بررسی کرد و بهروز نگه داشت.
درسته که این باگ به خاطر نیاز به دسترسی ادمین و شرایط خاص، فوراً قابل سواستفاده نیست، ولی نباید شوخی گرفتش.
این باگ با کد CVE-2025-31334 شناخته میشه و روی تمام نسخه های WinRAR قبل از نسخه ۷.۱۱ اثر میذاره. امتیاز امنیتی ای که براش در نظر گرفتن ۶.۸ از ۱۰ هست، یعنی باگ خطرناکیه و پتانسیل حمله جدی داره.
این باگ، سیستم امنیتی «Mark of the Web (MotW)» توی ویندوز رو هدف گرفته. این سیستم، فایلهایی که از منابع مشکوک (مثلاً اینترنت) دانلود شدن رو علامتگذاری میکنه و اجازه نمیده راحت اجرا بشن.
هکرها میتونن از یه نقطه ضعف تو نحوه برخورد WinRAR با Symbolic Link ها سوءاستفاده کنن. این لینک ها درواقع مثل میانبرهایی هستن که به فایل یا فولدر دیگه ای اشاره میکنن. با یه ترفند خاص، هکرها میتونن هشدارهای امنیتی ویندوز رو دور بزنن.
چجوری حمله اتفاق میوفته؟
کافیه کاربر یه فایل فشرده آلوده رو باز کنه، یا وارد یه صفحه آلوده بشه که اون فایل فشرده رو میزبانی میکنه. اگه حمله موفق باشه، هکر میتونه سیستم قربانی رو تو همون سطح دسترسیای که کاربر وارد شده، کنترل کنه.
فعلاً مدرکی از سوءاستفادهی فعال از این باگ دیده نشده، ولی باگ های مشابه (مثل CVE-2023-38831 تو سال ۲۰۲۳) قبلاً برای پخش بدافزارهایی مثل DarkMe و Agent Tesla استفاده شدن.
هر نسخهای از WinRAR که قدیمی تر از نسخه ۷.۱۱ باشه این باگ رو داره. خوشبختانه شرکت RARLAB که WinRAR رو توسعه میده، تو آخرین آپدیتش این باگ رو درست کرده. پس توصیه اکید اینه که همین الآن WinRAR رو آپدیت کنین...
بیاید و WinRAR رو حتماً به نسخه ۷.۱۱ یا بالاتر از سایت رسمی RARLAB آپدیت کنین.
وقتی یه کاربر یه فایل فشرده آلوده رو باز میکنه که توش یه Symbolic Link خاص طراحی شده، WinRAR اون تگ امنیتی MotW رو به فایل مقصد لینک اعمال نمیکنه. این یعنی بدافزار میتونه بدون اینکه ویندوز اخطار بده اجرا بشه.
ایجاد Symbolic Link بهصورت پیش فرض تو ویندوز نیاز به دسترسی مدیر (Administrator) داره، که باعث میشه همه سیستمها به راحتی قابل نفوذ نباشن. ولی اگه سیستم قبلاً هک شده باشه یا دسترسیها باز باشه، خطر هنوز پابرجاست.
یه سری پیشنهاد های امنیتی هست :
محدود کردن ساخت Symbolic Link: فقط ادمینهای مورد اعتماد باید اجازه ساخت چنین لینکهایی رو داشته باشن، مخصوصاً تو شرکتها.
مراقب باشین چه فایلی رو باز میکنین: فایل فشردهای که از جای مشکوک اومده رو اصلاً باز نکنین، حتی اگه ظاهرش خیلی بیآزاره.
این باگ توسط Taihei Shimamine از شرکت Mitsui Bussan Secure Directions کشف شده، با هماهنگی JPCERT/CC و مرکز هشدار سریع امنیت اطلاعات.
این ماجرا نشون میده که نرمافزارهای فشردهسازی مثل WinRAR که کاربرد خیلی زیادی دارن، چقدر باید مراقب باشن که بین راحتیِ کاربر و امنیت، تعادل ایجاد کنن. چون هکرها بیشتر دنبال نرمافزارهاییان که میلیونها نفر استفاده میکنن — مثل همین WinRAR که بالای ۵۰۰ میلیون کاربر داره...
این باگ یه زنگ خطر جدیه درباره مشکلاتی که باعث دور زدن سیستم MotW میشن. قبلاً هم نرمافزارهایی مثل 7-Zip با باگی مثل CVE-2025-0411 همین بلا سرشون اومده بود. این جور حملات باعث میشن ویروس یا بدافزار بدون اینکه حتی آنتیویروس متوجه بشه، اجرا بشه؛ به اینا میگن "حملات بدون فایل" (Fileless Attacks).
رفتار سریع شرکت RARLAB برای رفع این مشکل، شبیه واکنشی بود که به باگ مهم CVE-2023-38831 تو سال قبل نشون داده بود. ولی اینکه هی این باگها تکرار میشن، نشون میده که باید همیشه نرمافزارها رو بررسی کرد و بهروز نگه داشت.
درسته که این باگ به خاطر نیاز به دسترسی ادمین و شرایط خاص، فوراً قابل سواستفاده نیست، ولی نباید شوخی گرفتش.
👍5
آژانس های امنیت سایبری از کشور های استرالیا، کانادا، نیوزیلند و آمریکا یه اخطاریه مشترک دادن درباره یه روش دردسرساز به اسم «فَست فلوکس» که بعضی هکرها ازش استفاده میکنن تا مخفی بمونن و سرور C2 رو قایم کنن.
"فَست فلوکس یه تکنیکه که برای مخفی کردن مکان سرور های مخرب استفاده میشه، اونم با عوض کردن سریع رکورد های DNS که به یه دامین خاص وصلن"، اینو آژانس ها گفتن. "این تهدید از یه نقطه ضعف معمول تو سیستم های دفاعی شبکه سوء استفاده میکنه، واسه همین هم ردگیری و بستن این فعالیت های مخرب خیلی سخت میشه."
این هشدار توسط سازمانهای بزرگی منتشر شده مثل: سازمان امنیت سایبری و زیرساخت آمریکا (CISA)، آژانس امنیت ملی آمریکا (NSA)، افبیآی، مرکز امنیت سایبری استرالیا، مرکز امنیت سایبری کانادا و مرکز امنیت سایبری نیوزیلند.
تو چند سال اخیر، کلی گروه هکری از این روش استفاده کردن، مخصوصاً اونایی که به گروه های مثل Gamaredon، CryptoChameleon و Raspberry Robin وصلن، تا سرورهای مخرب شون راحت تر از دست سیستم های امنیتی و پلیس فرار کنن.
ماجرا چیه؟ طرف میاد کلی آی پی مختلف رو استفاده میکنه و سریع سریع اونا رو عوض میکنه، ولی همشون به یه دامین مخرب اشاره دارن. اولین بار سال ۲۰۰۷ این روش تو پروژه ای به اسم Honeynet کشف شد.
این کار یا به صورت «سینگل فلوکس» انجام میشه، یعنی یه دامین به کلی آیپی مختلف وصله، یا به صورت «دابل فلوکس»، که توش هم آی پی ها و هم سرور های DNS که وظیفه پاسخ به اون دامین رو دارن، دائم عوض میشن. اینجوری هم بیشتر پنهون میشن، هم محکم تر.
آژانس ها گفتن این فست فلوکس فقط واسه قایم کردن سرورها نیست، بلکه یه زیرساخت با دوام و مقاوم واسه C2 درست میکنه که در برابر تلاش های شناسایی و نابود کردن، سرسخت بمونه.
ولی تموم ماجرا این نیست. فست فلوکس تو خیلی کارای دیگه هم نقش داره، مثلا واسه میزبانی سایت های فیشینگ یا حتی پخش کردن بدافزارها.
حالا واسه مقابله با این قضیه، آژانس ها پیشنهاد دادن که سازمان ها بیان آی پی ها رو بلاک کنن، دامین های مشکوک رو به اصطلاح «سینک هول» کنن (یعنی یه جورایی بندازن تو یه چاه بی ته که دیگه کار نکنن)، ترافیک رفت و آمد به دامین ها و آی پی هایی که مشکوک هستن رو فیلتر کنن، سیستم های مانیتورینگ قوی تر راه بندازن و آموزش های ضد فیشینگ بدن.
در نهایت، آژانس ها گفتن: "فست فلوکس یه تهدید همیشگی برای امنیت شبکه هاست که با زیرساخت های در حال تغییر سریع، فعالیت های مخرب رو قایم میکنه. با اجرای استراتژی های درست برای تشخیص و مقابله، سازمان ها میتونن تا حد زیادی جلوی آسیب دیدن از تهدیدهای مبتنی بر فست فلوکس رو بگیرن."
"فَست فلوکس یه تکنیکه که برای مخفی کردن مکان سرور های مخرب استفاده میشه، اونم با عوض کردن سریع رکورد های DNS که به یه دامین خاص وصلن"، اینو آژانس ها گفتن. "این تهدید از یه نقطه ضعف معمول تو سیستم های دفاعی شبکه سوء استفاده میکنه، واسه همین هم ردگیری و بستن این فعالیت های مخرب خیلی سخت میشه."
این هشدار توسط سازمانهای بزرگی منتشر شده مثل: سازمان امنیت سایبری و زیرساخت آمریکا (CISA)، آژانس امنیت ملی آمریکا (NSA)، افبیآی، مرکز امنیت سایبری استرالیا، مرکز امنیت سایبری کانادا و مرکز امنیت سایبری نیوزیلند.
تو چند سال اخیر، کلی گروه هکری از این روش استفاده کردن، مخصوصاً اونایی که به گروه های مثل Gamaredon، CryptoChameleon و Raspberry Robin وصلن، تا سرورهای مخرب شون راحت تر از دست سیستم های امنیتی و پلیس فرار کنن.
ماجرا چیه؟ طرف میاد کلی آی پی مختلف رو استفاده میکنه و سریع سریع اونا رو عوض میکنه، ولی همشون به یه دامین مخرب اشاره دارن. اولین بار سال ۲۰۰۷ این روش تو پروژه ای به اسم Honeynet کشف شد.
این کار یا به صورت «سینگل فلوکس» انجام میشه، یعنی یه دامین به کلی آیپی مختلف وصله، یا به صورت «دابل فلوکس»، که توش هم آی پی ها و هم سرور های DNS که وظیفه پاسخ به اون دامین رو دارن، دائم عوض میشن. اینجوری هم بیشتر پنهون میشن، هم محکم تر.
آژانس ها گفتن این فست فلوکس فقط واسه قایم کردن سرورها نیست، بلکه یه زیرساخت با دوام و مقاوم واسه C2 درست میکنه که در برابر تلاش های شناسایی و نابود کردن، سرسخت بمونه.
ولی تموم ماجرا این نیست. فست فلوکس تو خیلی کارای دیگه هم نقش داره، مثلا واسه میزبانی سایت های فیشینگ یا حتی پخش کردن بدافزارها.
حالا واسه مقابله با این قضیه، آژانس ها پیشنهاد دادن که سازمان ها بیان آی پی ها رو بلاک کنن، دامین های مشکوک رو به اصطلاح «سینک هول» کنن (یعنی یه جورایی بندازن تو یه چاه بی ته که دیگه کار نکنن)، ترافیک رفت و آمد به دامین ها و آی پی هایی که مشکوک هستن رو فیلتر کنن، سیستم های مانیتورینگ قوی تر راه بندازن و آموزش های ضد فیشینگ بدن.
در نهایت، آژانس ها گفتن: "فست فلوکس یه تهدید همیشگی برای امنیت شبکه هاست که با زیرساخت های در حال تغییر سریع، فعالیت های مخرب رو قایم میکنه. با اجرای استراتژی های درست برای تشخیص و مقابله، سازمان ها میتونن تا حد زیادی جلوی آسیب دیدن از تهدیدهای مبتنی بر فست فلوکس رو بگیرن."
یه سری افزونه (extension) مرورگر هستن که واقعاً کارای ناجوری میکنن ...
بعضیاشون نهتنها کار خاصی انجام نمیدن، بلکه کاربر رو یواشکی میفرستن تو سایت های شرطبندی، یا هشدار جعلی ویروس اپل نشون میدن، یا اینکه خریدای کاربر رو میدزدن و از طریق لینکهای افیلیت (همونهایی که پورسانت میدن) میفرستن تا پول به جیب بزنن.
بدتر از همه اینه که بعضیاشون حتی یواشکی یه آی فریم نامرئی تو صفحه جا میندازن که یه آیدی مخصوص توش هست و میتونه کاربر رو شناسایی و ردیابی کنه، بدون اینکه بفهمه...
همه این افزونهها توسط یه آدم خرابکار با اسم کاربری "mre1903" منتشر شدن. اسامیشون ایناست:
CalSyncMaster
VPN - Grab a Proxy - Free
GimmeGimme
Five Nights at Freddy's
Little Alchemy 2
Bubble Spinner
1v1.LOL
Krunker io Game
تحقیقگر امنیتی به اسم Kush Pandya از شرکت Socket گفته:
"افزونههای مرورگر هنوزم یکی از مسیرهای محبوب برای حمله هستن، چون هم از نظر کاربرا قابل اعتمادن، هم دسترسیهای خیلی زیادی دارن، و هم میتونن تو همون محیط امن مرورگر اجرا بشن."
بعدش اضافه کرده: "ما داریم میبینیم که تهدیدها از یه چیز ساده مثل ریدایرکت های الکی، سریع پیشرفت میکنن و میرسن به دزدیدن اطلاعات لاگین با استفاده از OAuth. این نشون میده که چقدر سریع این حملات دارن پیشرفت میکنن و بزرگ میشن."
و از همه بدتر، اون زیرساخت ریدایرکت کردن (که اولش فقط برای پرتکردن کاربر به سایت شرطبندی استفاده میشد)، خیلی راحت میتونه برای کارای بدتری هم استفاده بشه مثل ردیابی کامل کاربر، دزدیدن رمز و اطلاعات حسابهاش، یا حتی پخش بدافزار و ویروس.
بعضیاشون نهتنها کار خاصی انجام نمیدن، بلکه کاربر رو یواشکی میفرستن تو سایت های شرطبندی، یا هشدار جعلی ویروس اپل نشون میدن، یا اینکه خریدای کاربر رو میدزدن و از طریق لینکهای افیلیت (همونهایی که پورسانت میدن) میفرستن تا پول به جیب بزنن.
بدتر از همه اینه که بعضیاشون حتی یواشکی یه آی فریم نامرئی تو صفحه جا میندازن که یه آیدی مخصوص توش هست و میتونه کاربر رو شناسایی و ردیابی کنه، بدون اینکه بفهمه...
همه این افزونهها توسط یه آدم خرابکار با اسم کاربری "mre1903" منتشر شدن. اسامیشون ایناست:
CalSyncMaster
VPN - Grab a Proxy - Free
GimmeGimme
Five Nights at Freddy's
Little Alchemy 2
Bubble Spinner
1v1.LOL
Krunker io Game
تحقیقگر امنیتی به اسم Kush Pandya از شرکت Socket گفته:
"افزونههای مرورگر هنوزم یکی از مسیرهای محبوب برای حمله هستن، چون هم از نظر کاربرا قابل اعتمادن، هم دسترسیهای خیلی زیادی دارن، و هم میتونن تو همون محیط امن مرورگر اجرا بشن."
بعدش اضافه کرده: "ما داریم میبینیم که تهدیدها از یه چیز ساده مثل ریدایرکت های الکی، سریع پیشرفت میکنن و میرسن به دزدیدن اطلاعات لاگین با استفاده از OAuth. این نشون میده که چقدر سریع این حملات دارن پیشرفت میکنن و بزرگ میشن."
و از همه بدتر، اون زیرساخت ریدایرکت کردن (که اولش فقط برای پرتکردن کاربر به سایت شرطبندی استفاده میشد)، خیلی راحت میتونه برای کارای بدتری هم استفاده بشه مثل ردیابی کامل کاربر، دزدیدن رمز و اطلاعات حسابهاش، یا حتی پخش بدافزار و ویروس.
❤🔥3
هکرها دارن وارد یه فاز جدیدی تو ساخت بات نتها میشن؛ جایی که از دراپرهای چندمعماری، ارتباط با سرور کنترل از طریق DoH و پِیلودهای رمز شده با XOR استفاده میکنن تا از دست IDS های قدیمی در برن.
تو این دسته، بدافزار RondoDox کنار تهدیدهایی مثل RustoBot و Mozi قرار میگیره؛ همگی ساخته شدن تا از ضعف امنیتی تو دستگاههای IoT و مودم ها سوءاستفاده کنن.
از طرفی RondoDox میاد چند پوشه مهم لینوکسی مثل /usr/bin و /usr/sbin رو اسکن میکنه و فایل های اجرایی حساسی مثل iptables, passwd, reboot و ... رو با اسمهایی مثل jsuJpf یا gaajct تغییر میده تا بازیابیشون سخت بشه.
بعد از نصب، با سرور 83.150.218.93 تماس میگیره تا دستور حملات DDoS با پروتکل های HTTP، UDP و TCP رو بگیره.
برای اینکه ترافیکش شناسایی نشه، خودش رو جا میزنه جای برنامه هایی مثل:
Minecraft
Fortnite
GTA
Roblox
Discord
OpenVPN
WireGuard
RakNet
STUN، DTLS و RTC
ایدهش اینه که توی ترافیک طبیعی گم بشه و شناسایی نشه.
طبق گفته "Li"، RondoDox یه بدافزار پیشرفته هست با ویژگی هایی مثل:
ضدمکانیزم تحلیل
کانفیگ رمز شده با XOR
لایبرریهای اختصاصی
سیستم موندگاری قوی
که باعث میشن راحت مخفی بمونه و کنترل بلندمدت روی سیستم داشته باشه.
تو این دسته، بدافزار RondoDox کنار تهدیدهایی مثل RustoBot و Mozi قرار میگیره؛ همگی ساخته شدن تا از ضعف امنیتی تو دستگاههای IoT و مودم ها سوءاستفاده کنن.
از طرفی RondoDox میاد چند پوشه مهم لینوکسی مثل /usr/bin و /usr/sbin رو اسکن میکنه و فایل های اجرایی حساسی مثل iptables, passwd, reboot و ... رو با اسمهایی مثل jsuJpf یا gaajct تغییر میده تا بازیابیشون سخت بشه.
بعد از نصب، با سرور 83.150.218.93 تماس میگیره تا دستور حملات DDoS با پروتکل های HTTP، UDP و TCP رو بگیره.
برای اینکه ترافیکش شناسایی نشه، خودش رو جا میزنه جای برنامه هایی مثل:
Minecraft
Fortnite
GTA
Roblox
Discord
OpenVPN
WireGuard
RakNet
STUN، DTLS و RTC
ایدهش اینه که توی ترافیک طبیعی گم بشه و شناسایی نشه.
طبق گفته "Li"، RondoDox یه بدافزار پیشرفته هست با ویژگی هایی مثل:
ضدمکانیزم تحلیل
کانفیگ رمز شده با XOR
لایبرریهای اختصاصی
سیستم موندگاری قوی
که باعث میشن راحت مخفی بمونه و کنترل بلندمدت روی سیستم داشته باشه.
یه گروه هکری معروف که فکر میکنن ریشه اون برمیگرده به هند، دیده شده که یکی از وزارتخانه های امور خارجه اروپا رو با یه بدافزار هدف گرفته که توانایی داره اطلاعات حساس رو از سیستم قربانی بکشه بیرون.
مرکز تحقیقات پیشرفته Trellix گفته این حمله توسط یه گروه APT پیشرفته به اسم DoNot Team انجام شده. این گروه اسم های دیگهای هم داره، مثل APT‑C‑35، Mint Tempest، Origami Elephant، SECTOR02 و Viceroy Tiger، و از سال ۲۰۱۶ تا الان فعاله.
محقق های Trellix گفتن که این گروه عادت داره از بدافزارهای مخصوص ویندوز استفاده کنه که خودشون نوشتنش، مثل بک دور هایی با اسم YTY و GEdit. این بدافزارها معمولاً با ایمیل های فیشینگ هدفمند (spear phishing) یا فایل های مخرب پخش میشن. هدف اصلیشون معمولاً سازمانهای دولتی، وزارتخانه ها، ارتش و سازمانهای غیردولتی توی جنوب آسیا و اروپا هستن.
تو این حمله، طرف مقابل یه ایمیل دریافت کرده از یه حساب جعلی Gmail با اسم مشکوک، که مثلاً خودش رو زده به عنوان تیم دفاعی. موضوع ایمیل هم یه چیزی بوده مثل "بازدید وابسته نظامی ایتالیا از داکا، بنگلادش" تا قشنگ رسمی و واقعی به نظر برسه. توی ایمیل یه لینک Google Drive گذاشتن که وقتی روش کلیک میکنی، یه فایل RAR به اسم SyClrLtr.rar دانلود میکنی.
داخل این فایل RAR، یه فایل اجرایی هست به اسم notflog.exe که آیکونش شبیه فایل PDF طراحی شده تا کسی شک نکنه. وقتی این فایل اجرا بشه، یه اسکریپت batch میسازه و توی پوشه Temp ذخیره میکنه و بعد یه scheduled task به اسم "PerformTaskMaintain" درست میکنه که هر ۱۰ دقیقه یهبار اجرا میشه. این بدافزار همون چیزیه که بهش میگن LoptikMod، که از سال ۲۰۱۸ تا حالا فقط گروه DoNot ازش استفاده کرده.
محققها بررسی کردن و دیدن توی فایل اجرایی یه استرینگ وجود داره که نوشته "Loptik" که نشون میده این همون بدافزار LoptikMod هست. از بین ۶۵۳ تابع داخل این فایل، حداقل ۱۹ تا از اونا قبلاً به عنوان بخشهای مخرب شناسایی شدن. خیلی از رشتهها به صورت رمز شده بودن و بعضی قسمت ها هم به شکل packed بودن، که اینا همش برای سخت تر کردن تحلیل انجام شده.
این فایل بدافزار همچنین از تابعهای runtime مثل LoadLibrary و GetProcAddress استفاده میکنه تا APIهای لازم رو از سیستم فراخوانی کنه بدون اینکه مستقیم توی کد دیده بشه. DLLهایی مثل wininet.dll، advapi32.dll، winhttp.dll، urlmon.dll و ws2_32.dll هم بارگذاری میشن.
وقتی بدافزار اجرا میشه، اول یه mutex به اسم "08808" میسازه تا مطمئن بشه فقط یه نمونه از برنامه در حال اجراست. بعد با استفاده از یه دستور سطح پایین (IN instruction) بررسی میکنه که آیا توی یه ماشین مجازی داره اجرا میشه یا نه. بعد یه پوشه موقتی به اسم %LocalAppdata%\TEMP\FROX\ درست میکنه و یه فایل batch داخل اون میریزه.
برای اینکه مطمئن بشه بعد از ری استارت سیستم هم میتونه اجرا بشه، یه task دیگه هم درست میکنه به اسم "MicorsoftVelocity" (که خیلی شبیه Microsoft نوشته شده ولی عمداً اشتباهه تا گمراه کنه) که وظیفه اون اجرای یه DLL مخرب به اسم socker.dll هست.
این بدافزار اطلاعات سیستم رو هم جمعآوری میکنه، مثل مدل CPU، نسخه ویندوز، اسم کاربر، اسم دستگاه، شناسه پردازنده، لیست نرمافزارهای نصب شده و ... بعد این اطلاعات رو با الگوریتم AES رمزگذاری میکنه و تبدیلشون میکنه به Base64 و از طریق HTTP POST میفرسته به سرور فرماندهی که آدرسش هست totalservices[.]info.
ارتباط با این سرور از طریق HTTPS انجام میشه و آی پیش هم 64.52.80.252 هست. احتمال داره از این طریق دستورهای بیشتری هم به بدافزار فرستاده بشه، یا فایلهای جدیدی مثل socker.dll دانلود و اجرا بشن.
البته در زمان بررسی Trellix، این سرور C2 (فرماندهی و کنترل) از کار افتاده بوده. این میتونه به این معنی باشه که یا موقتاً خاموشش کردن یا اینکه هکرها کلاً رفتن سراغ یه سرور جدید.
این گروه APT که به اسم DoNot شناخته میشن، از سال ۲۰۱۶ تا حالا فعال بوده و بیشتر توی منطقهی جنوب آسیا هدفگذاری میکردن. ولی این حمله جدید که مربوط به یه نهاد دولتی اروپاییه، نشون میده که هدف هاشون حالا گسترده تر شده و دیگه فقط به آسیا محدود نمیشن.
تاکتیک هاشون هم به روز شده. از spear-phishing پیشرفته، فایلهای آرشیو شده فریبنده، و بدافزارهای سفارشی شده استفاده میکنن. همچنین از سرویسهایی مثل Google Drive برای پخش بدافزار استفاده میکنن که این نشون میده چقدر زرنگ و خلاق هستن .
مرکز تحقیقات پیشرفته Trellix گفته این حمله توسط یه گروه APT پیشرفته به اسم DoNot Team انجام شده. این گروه اسم های دیگهای هم داره، مثل APT‑C‑35، Mint Tempest، Origami Elephant، SECTOR02 و Viceroy Tiger، و از سال ۲۰۱۶ تا الان فعاله.
محقق های Trellix گفتن که این گروه عادت داره از بدافزارهای مخصوص ویندوز استفاده کنه که خودشون نوشتنش، مثل بک دور هایی با اسم YTY و GEdit. این بدافزارها معمولاً با ایمیل های فیشینگ هدفمند (spear phishing) یا فایل های مخرب پخش میشن. هدف اصلیشون معمولاً سازمانهای دولتی، وزارتخانه ها، ارتش و سازمانهای غیردولتی توی جنوب آسیا و اروپا هستن.
تو این حمله، طرف مقابل یه ایمیل دریافت کرده از یه حساب جعلی Gmail با اسم مشکوک، که مثلاً خودش رو زده به عنوان تیم دفاعی. موضوع ایمیل هم یه چیزی بوده مثل "بازدید وابسته نظامی ایتالیا از داکا، بنگلادش" تا قشنگ رسمی و واقعی به نظر برسه. توی ایمیل یه لینک Google Drive گذاشتن که وقتی روش کلیک میکنی، یه فایل RAR به اسم SyClrLtr.rar دانلود میکنی.
داخل این فایل RAR، یه فایل اجرایی هست به اسم notflog.exe که آیکونش شبیه فایل PDF طراحی شده تا کسی شک نکنه. وقتی این فایل اجرا بشه، یه اسکریپت batch میسازه و توی پوشه Temp ذخیره میکنه و بعد یه scheduled task به اسم "PerformTaskMaintain" درست میکنه که هر ۱۰ دقیقه یهبار اجرا میشه. این بدافزار همون چیزیه که بهش میگن LoptikMod، که از سال ۲۰۱۸ تا حالا فقط گروه DoNot ازش استفاده کرده.
محققها بررسی کردن و دیدن توی فایل اجرایی یه استرینگ وجود داره که نوشته "Loptik" که نشون میده این همون بدافزار LoptikMod هست. از بین ۶۵۳ تابع داخل این فایل، حداقل ۱۹ تا از اونا قبلاً به عنوان بخشهای مخرب شناسایی شدن. خیلی از رشتهها به صورت رمز شده بودن و بعضی قسمت ها هم به شکل packed بودن، که اینا همش برای سخت تر کردن تحلیل انجام شده.
این فایل بدافزار همچنین از تابعهای runtime مثل LoadLibrary و GetProcAddress استفاده میکنه تا APIهای لازم رو از سیستم فراخوانی کنه بدون اینکه مستقیم توی کد دیده بشه. DLLهایی مثل wininet.dll، advapi32.dll، winhttp.dll، urlmon.dll و ws2_32.dll هم بارگذاری میشن.
وقتی بدافزار اجرا میشه، اول یه mutex به اسم "08808" میسازه تا مطمئن بشه فقط یه نمونه از برنامه در حال اجراست. بعد با استفاده از یه دستور سطح پایین (IN instruction) بررسی میکنه که آیا توی یه ماشین مجازی داره اجرا میشه یا نه. بعد یه پوشه موقتی به اسم %LocalAppdata%\TEMP\FROX\ درست میکنه و یه فایل batch داخل اون میریزه.
برای اینکه مطمئن بشه بعد از ری استارت سیستم هم میتونه اجرا بشه، یه task دیگه هم درست میکنه به اسم "MicorsoftVelocity" (که خیلی شبیه Microsoft نوشته شده ولی عمداً اشتباهه تا گمراه کنه) که وظیفه اون اجرای یه DLL مخرب به اسم socker.dll هست.
این بدافزار اطلاعات سیستم رو هم جمعآوری میکنه، مثل مدل CPU، نسخه ویندوز، اسم کاربر، اسم دستگاه، شناسه پردازنده، لیست نرمافزارهای نصب شده و ... بعد این اطلاعات رو با الگوریتم AES رمزگذاری میکنه و تبدیلشون میکنه به Base64 و از طریق HTTP POST میفرسته به سرور فرماندهی که آدرسش هست totalservices[.]info.
ارتباط با این سرور از طریق HTTPS انجام میشه و آی پیش هم 64.52.80.252 هست. احتمال داره از این طریق دستورهای بیشتری هم به بدافزار فرستاده بشه، یا فایلهای جدیدی مثل socker.dll دانلود و اجرا بشن.
البته در زمان بررسی Trellix، این سرور C2 (فرماندهی و کنترل) از کار افتاده بوده. این میتونه به این معنی باشه که یا موقتاً خاموشش کردن یا اینکه هکرها کلاً رفتن سراغ یه سرور جدید.
این گروه APT که به اسم DoNot شناخته میشن، از سال ۲۰۱۶ تا حالا فعال بوده و بیشتر توی منطقهی جنوب آسیا هدفگذاری میکردن. ولی این حمله جدید که مربوط به یه نهاد دولتی اروپاییه، نشون میده که هدف هاشون حالا گسترده تر شده و دیگه فقط به آسیا محدود نمیشن.
تاکتیک هاشون هم به روز شده. از spear-phishing پیشرفته، فایلهای آرشیو شده فریبنده، و بدافزارهای سفارشی شده استفاده میکنن. همچنین از سرویسهایی مثل Google Drive برای پخش بدافزار استفاده میکنن که این نشون میده چقدر زرنگ و خلاق هستن .
❤4🆒2
توی یه خبر لینوکسی جدید wayland که یه جایگزین اوپن سورس برای پروتکل و معماری سیستم پنجرهای X11 هست، یکی دو روز پیش به نسخهٔ ۱.۲۴ آپدیت شده و کلی ویژگی و بهبود جدید بهش اضافه شده.
تو نسخهٔ Wayland 1.24 یه رابط جدید به اسم wl_fixes اضافه شده که اجازه میده بتونی یه شیٔ wl_registry رو با یه درخواست جدید حذف کنی. همین طور تو این نسخه، دوتا تابع جدید به اسم های wl_proxy_get_interface() و wl_resource_get_interface() معرفی شدن که بهت اجازه میدن رابط شیٔ (یعنی wl_interface) رو دریافت کنی. دوتا تابع دیگه به اسمهای wl_display_dispatch_queue_timeout() و wl_display_dispatch_timeout() هم اضافه شدن که باهاشون میتونی برای dispatch کردن eventها یه timeout تنظیم کنی.
نسخهٔ جدید Wayland همینطور یه وضعیت جدید برای wl_keyboard.key معرفی کرده به اسم repeated state که باعث میشه کامپوزیتور (مدیر پنجرهها) خودش مسئول تکرار کلیدها بشه. این موضوع توی سشن های دسکتاپ از راه دور خیلی کاربردیه. همچنین یه تابع دیگه هم به اسم wl_resource_post_error_vargs() معرفی شده که یه جایگزین برای wl_resource_post_error() هست، مخصوص وقتی که کامپوزیتور از قبل یه va_list داشته باشه.
علاوه بر اینها، تو این نسخه دوتا تابع جدید به اسمهای wl_shm_buffer_ref() و wl_shm_buffer_unref() هم اضافه شدن که بهت این امکان رو میدن به حافظهٔ پشت صحنهٔ wl_shm_buffer دسترسی داشته باشی حتی بعد از اینکه اون شیٔ پروتکلی از بین رفته باشه. مثلاً وقتی یه کلاینت (برنامهٔ کاربر) داره بسته میشه، این توابع خیلی به کارت میان.
همونطور که از یه نسخهٔ جدید Wayland انتظار میره، کلی باگ فیکس شده و بهبود توی تعریفهای پروتکل هم توش هست. اگه خواستی جزئیات بیشتر رو بخونی، میتونی بری سراغ اعلامیهٔ رسمی انتشار. همچنین اگه حال و حوصله داشتی، میتونی سورس Wayland 1.24 رو از سایت رسمی دانلود کنی و خودت از صفر کامپایلش کنی.
البته برای بیشتر کاربرا اصلاً نیازی نیست Wayland رو خودشون کامپایل کنن، چون معمولاً بهصورت پیش فرض روی توزیع لینوکسیشون نصب شده، حتی اگه خودشون ازش استفاده نکنن بنابراین فقط حواست باشه که نسخهٔ جدیدش کی وارد مخزن پایدار توزیعت میشه تا بتونی با یه آپدیت ساده از همهٔ ویژگیها و بهبودهای جدید لذت ببری.
تو نسخهٔ Wayland 1.24 یه رابط جدید به اسم wl_fixes اضافه شده که اجازه میده بتونی یه شیٔ wl_registry رو با یه درخواست جدید حذف کنی. همین طور تو این نسخه، دوتا تابع جدید به اسم های wl_proxy_get_interface() و wl_resource_get_interface() معرفی شدن که بهت اجازه میدن رابط شیٔ (یعنی wl_interface) رو دریافت کنی. دوتا تابع دیگه به اسمهای wl_display_dispatch_queue_timeout() و wl_display_dispatch_timeout() هم اضافه شدن که باهاشون میتونی برای dispatch کردن eventها یه timeout تنظیم کنی.
نسخهٔ جدید Wayland همینطور یه وضعیت جدید برای wl_keyboard.key معرفی کرده به اسم repeated state که باعث میشه کامپوزیتور (مدیر پنجرهها) خودش مسئول تکرار کلیدها بشه. این موضوع توی سشن های دسکتاپ از راه دور خیلی کاربردیه. همچنین یه تابع دیگه هم به اسم wl_resource_post_error_vargs() معرفی شده که یه جایگزین برای wl_resource_post_error() هست، مخصوص وقتی که کامپوزیتور از قبل یه va_list داشته باشه.
علاوه بر اینها، تو این نسخه دوتا تابع جدید به اسمهای wl_shm_buffer_ref() و wl_shm_buffer_unref() هم اضافه شدن که بهت این امکان رو میدن به حافظهٔ پشت صحنهٔ wl_shm_buffer دسترسی داشته باشی حتی بعد از اینکه اون شیٔ پروتکلی از بین رفته باشه. مثلاً وقتی یه کلاینت (برنامهٔ کاربر) داره بسته میشه، این توابع خیلی به کارت میان.
همونطور که از یه نسخهٔ جدید Wayland انتظار میره، کلی باگ فیکس شده و بهبود توی تعریفهای پروتکل هم توش هست. اگه خواستی جزئیات بیشتر رو بخونی، میتونی بری سراغ اعلامیهٔ رسمی انتشار. همچنین اگه حال و حوصله داشتی، میتونی سورس Wayland 1.24 رو از سایت رسمی دانلود کنی و خودت از صفر کامپایلش کنی.
البته برای بیشتر کاربرا اصلاً نیازی نیست Wayland رو خودشون کامپایل کنن، چون معمولاً بهصورت پیش فرض روی توزیع لینوکسیشون نصب شده، حتی اگه خودشون ازش استفاده نکنن بنابراین فقط حواست باشه که نسخهٔ جدیدش کی وارد مخزن پایدار توزیعت میشه تا بتونی با یه آپدیت ساده از همهٔ ویژگیها و بهبودهای جدید لذت ببری.
9to5Linux
Sway 1.11 Tiling Wayland Compositor Adds Support for Explicit Synchronization - 9to5Linux
Sway 1.11 tiling window manager and Wayland compositor is now available for download with explicit sync support and other changes.
👍1
۷ جولای ۲۰۲۵ گزارش شد دو تا نقص بحرانی این امکان رو به کاربرا میده که به سطح دسترسی root دست پیدا کنن.
همه توزیعهای اصلی لینوکس در برابر دو تا باگ توی sudo آسیبپذیر هستن. این دو آسیبپذیری به ترتیب این شناسهها رو دارن: CVE-2025-32462 و CVE-2025-32463. هرچند اون باگ اول امتیاز پایینی توی سیستم امتیازدهی آسیبپذیریها (CVSS) داره و فقط ۲.۸ هست، ولی دومی امتیاز ۹.۳ گرفته، که یعنی خیلی بحرانیه.
هر دو آسیبپذیری رو واحد تحقیقات امنیت سایبری شرکت Stratascale کشف کرده و میتونید گزارش کامل رو اینجا بخونید. یه نکته خیلی جالب توی این گزارش اینه که گفته شده: «CVE-2025-32462 بیش از ۱۲ ساله که توی کد وجود داشته بدون اینکه کسی متوجهش بشه.»
توی گزارش اومده که این CVE-2025-32462 «یه مشکله که از زمانی که گزینه host اضافه شده، یعنی ۱۲ سال پیش، جلوی چشم همه بوده ولی هیچکس ندیده. چون یه گزینه داخلیه، هیچ اکسپلویتی هم لازم نیست برای بالا بردن سطح دسترسی.» توی ادامه گزارش گفته میشه: «با این حال، این مشکل فقط در شرایطی قابل بهرهبرداریه که کانفیگهای خاصی استفاده شده باشن، مثلاً از دستورات Host یا Host_Alias، که معمولاً توی محیطهای شرکتی استفاده میشن.»
گزینه --host در sudo این امکان رو به کاربر میده که قوانین sudo مربوط به یه هاست خاص رو ببینه، و گزارش به جزئیات نشون میده که این گزینه چطور با اون باگها در تعامل قرار میگیره.
در مورد راه مقابله با این باگها، تنها کاری که باید بکنید اینه که مطمئن بشید نسخه sudo روی سیستمتون حداقل 1.9.17p1 یا بالاتر باشه. برای بررسی نسخه میتونید این دستور رو بزنید:
اگه نسخهتون پایینتر از 1.9.17p1 بود، فوراً بهروزرسانی کنید.
همه توزیعهای اصلی لینوکس در برابر دو تا باگ توی sudo آسیبپذیر هستن. این دو آسیبپذیری به ترتیب این شناسهها رو دارن: CVE-2025-32462 و CVE-2025-32463. هرچند اون باگ اول امتیاز پایینی توی سیستم امتیازدهی آسیبپذیریها (CVSS) داره و فقط ۲.۸ هست، ولی دومی امتیاز ۹.۳ گرفته، که یعنی خیلی بحرانیه.
هر دو آسیبپذیری رو واحد تحقیقات امنیت سایبری شرکت Stratascale کشف کرده و میتونید گزارش کامل رو اینجا بخونید. یه نکته خیلی جالب توی این گزارش اینه که گفته شده: «CVE-2025-32462 بیش از ۱۲ ساله که توی کد وجود داشته بدون اینکه کسی متوجهش بشه.»
توی گزارش اومده که این CVE-2025-32462 «یه مشکله که از زمانی که گزینه host اضافه شده، یعنی ۱۲ سال پیش، جلوی چشم همه بوده ولی هیچکس ندیده. چون یه گزینه داخلیه، هیچ اکسپلویتی هم لازم نیست برای بالا بردن سطح دسترسی.» توی ادامه گزارش گفته میشه: «با این حال، این مشکل فقط در شرایطی قابل بهرهبرداریه که کانفیگهای خاصی استفاده شده باشن، مثلاً از دستورات Host یا Host_Alias، که معمولاً توی محیطهای شرکتی استفاده میشن.»
گزینه --host در sudo این امکان رو به کاربر میده که قوانین sudo مربوط به یه هاست خاص رو ببینه، و گزارش به جزئیات نشون میده که این گزینه چطور با اون باگها در تعامل قرار میگیره.
در مورد راه مقابله با این باگها، تنها کاری که باید بکنید اینه که مطمئن بشید نسخه sudo روی سیستمتون حداقل 1.9.17p1 یا بالاتر باشه. برای بررسی نسخه میتونید این دستور رو بزنید:
sudo -V اگه نسخهتون پایینتر از 1.9.17p1 بود، فوراً بهروزرسانی کنید.
هکرهای چینی با Cobalt Strike و بکدورهای اختصاصی به صنعت نیمه رسانای تایوان حمله کردن. ۱۷ جولای ۲۰۲۵
صنعت نیمه رسانای تایوان هدف حمله فیشینگ سازمانیافته توسط سه گروه هکری چینی شده که پشتشون دولت چین هست.
شرکت امنیتی Proofpoint تو گزارشش نوشته: «هدف این حملات شامل شرکت های سازنده، طراح و تست کننده نیمه رساناها و مدارهای مجتمع میشه، حتی زنجیرهٔ تأمین تجهیزات و خدمات این صنعت و همینطور تحلیلگران مالی که تو بازار نیمه رسانای تایوان فعالیت دارن.»
این حملات که بین مارس تا ژوئن ۲۰۲۵ اتفاق افتاده، به سه گروه چینی نسبت داده شده با اسمهای رمز UNK_FistBump، UNK_DropPitch و UNK_SparkyCarp.
گروه UNK_FistBump با ایمیلهای فیشینگ کاریابی، به شرکتهای طراحی، بستهبندی، تولید و زنجیرهٔ تأمین نیمه رسانا حمله کرده. توی این حملات یا از Cobalt Strike استفاده شده یا یه بکدور اختصاصی به اسم Voldemort که قبلا هم برای حمله به بیش از ۷۰ سازمان جهانی استفاده شده.
ماجرا چیه؟
هکرها خودشون رو تو ایمیلها به مسئولان منابع انسانی شرکتهای هدف به عنوان یه دانشجوی فارغالتحصیل جا زدن و درخواست کار فرستادن. توی این ایمیلها (که احتمالاً از حسابهای هک شده ارسال شده) یه رزومهٔ تقلبی پیوست شده که ظاهرش PDF ، ولی در واقع یه فایل LNK هست (تکنیک جالبیه حقیقتا) وقتی قربانی این رزومه رو باز میکنه، یه فرآیند چندمرحلهای شروع میشه که یا Cobalt Strike نصب میشه یا بکدور Voldemort. همزمان یه سند فیک هم به قربانی نشون داده میشه که شک نکنه.
جالب اینجاست که Proofpoint میگه بکدور Voldemort قبلاً توسط گروهی به نام TA415 استفاده شده، که با گروه چینی APT41 (معروف به Brass Typhoon) ارتباط داره. اما حملات این گروه با UNK_FistBump فرق داره، چون از لودرهای متفاوتی برای نصب Cobalt Strike استفاده میکنن و آدرس IP ثابتی برای ارتباط با سرور فرماندهی دارن.
گروه دوم: UNK_DropPitch
این گروه به تحلیلگران سرمایه گذاری تو شرکت های بزرگ مالی که روی صنعت نیمه رسانای تایوان تمرکز دارن حمله کرده. تو ایمیلهای فیشینگشون (که آوریل و می ۲۰۲۵ فرستاده شدن) یه لینک به یه PDF جعلی گذاشتن. وقتی قربانی PDF رو باز میکنه، یه فایل ZIP دانلود میشه که توش یه DLL مخفی هست. این DLL یه بکدور به نام HealthKick که میتونه دستورات رو اجرا کنه، نتیجه رو ضبط کنه و برای سرور هکرها بفرسته.
تو یه حمله دیگه در پایان می ۲۰۲۵، همین گروه با تکنیک DLL Side-Loading یه Reverse Shell ایجاد کرده که به سرور هکرها (با IP 45.141.139.222) وصل میشه. بعد از این، اگر اطلاعات قربانی براشون جالب باشه، یه ابزار مدیریتی به نام Intel EMA نصب میکنن تا از راه دور کنترل سیستم رو بگیرن.
گروه سوم: UNK_SparkyCarp
این گروه با حملهٔ فیشینگ لاگین، یه شرکت نیمهرسانای تایوانی (بیاسم) رو هدف گرفته. ایمیلهای فیشینگشون هشدار امنیتی جعلی بودن و لینکی به یه صفحهٔ فیشینگ (accshieldportal.com) داشتن. جالب اینه که همین گروه قبلاً در نوامبر ۲۰۲۴ هم به همین شرکت حمله کرده بود.
یه گروه دیگه هم هست:UNK_ColtCentury
این گروه (که با اسمهای TAG-100 و Storm-2077 هم شناخته میشه) به کارمندان حقوقی یه شرکت نیمه رسانای تایوانی ایمیلهای بیخطر فرستاده تا اعتمادشون رو جلب کنن و در نهایت یه تروجان دسترسی از راه دور به نام Spark RAT نصب کنن.
صنعت نیمه رسانای تایوان هدف حمله فیشینگ سازمانیافته توسط سه گروه هکری چینی شده که پشتشون دولت چین هست.
شرکت امنیتی Proofpoint تو گزارشش نوشته: «هدف این حملات شامل شرکت های سازنده، طراح و تست کننده نیمه رساناها و مدارهای مجتمع میشه، حتی زنجیرهٔ تأمین تجهیزات و خدمات این صنعت و همینطور تحلیلگران مالی که تو بازار نیمه رسانای تایوان فعالیت دارن.»
این حملات که بین مارس تا ژوئن ۲۰۲۵ اتفاق افتاده، به سه گروه چینی نسبت داده شده با اسمهای رمز UNK_FistBump، UNK_DropPitch و UNK_SparkyCarp.
گروه UNK_FistBump با ایمیلهای فیشینگ کاریابی، به شرکتهای طراحی، بستهبندی، تولید و زنجیرهٔ تأمین نیمه رسانا حمله کرده. توی این حملات یا از Cobalt Strike استفاده شده یا یه بکدور اختصاصی به اسم Voldemort که قبلا هم برای حمله به بیش از ۷۰ سازمان جهانی استفاده شده.
ماجرا چیه؟
هکرها خودشون رو تو ایمیلها به مسئولان منابع انسانی شرکتهای هدف به عنوان یه دانشجوی فارغالتحصیل جا زدن و درخواست کار فرستادن. توی این ایمیلها (که احتمالاً از حسابهای هک شده ارسال شده) یه رزومهٔ تقلبی پیوست شده که ظاهرش PDF ، ولی در واقع یه فایل LNK هست (تکنیک جالبیه حقیقتا) وقتی قربانی این رزومه رو باز میکنه، یه فرآیند چندمرحلهای شروع میشه که یا Cobalt Strike نصب میشه یا بکدور Voldemort. همزمان یه سند فیک هم به قربانی نشون داده میشه که شک نکنه.
جالب اینجاست که Proofpoint میگه بکدور Voldemort قبلاً توسط گروهی به نام TA415 استفاده شده، که با گروه چینی APT41 (معروف به Brass Typhoon) ارتباط داره. اما حملات این گروه با UNK_FistBump فرق داره، چون از لودرهای متفاوتی برای نصب Cobalt Strike استفاده میکنن و آدرس IP ثابتی برای ارتباط با سرور فرماندهی دارن.
گروه دوم: UNK_DropPitch
این گروه به تحلیلگران سرمایه گذاری تو شرکت های بزرگ مالی که روی صنعت نیمه رسانای تایوان تمرکز دارن حمله کرده. تو ایمیلهای فیشینگشون (که آوریل و می ۲۰۲۵ فرستاده شدن) یه لینک به یه PDF جعلی گذاشتن. وقتی قربانی PDF رو باز میکنه، یه فایل ZIP دانلود میشه که توش یه DLL مخفی هست. این DLL یه بکدور به نام HealthKick که میتونه دستورات رو اجرا کنه، نتیجه رو ضبط کنه و برای سرور هکرها بفرسته.
تو یه حمله دیگه در پایان می ۲۰۲۵، همین گروه با تکنیک DLL Side-Loading یه Reverse Shell ایجاد کرده که به سرور هکرها (با IP 45.141.139.222) وصل میشه. بعد از این، اگر اطلاعات قربانی براشون جالب باشه، یه ابزار مدیریتی به نام Intel EMA نصب میکنن تا از راه دور کنترل سیستم رو بگیرن.
گروه سوم: UNK_SparkyCarp
این گروه با حملهٔ فیشینگ لاگین، یه شرکت نیمهرسانای تایوانی (بیاسم) رو هدف گرفته. ایمیلهای فیشینگشون هشدار امنیتی جعلی بودن و لینکی به یه صفحهٔ فیشینگ (accshieldportal.com) داشتن. جالب اینه که همین گروه قبلاً در نوامبر ۲۰۲۴ هم به همین شرکت حمله کرده بود.
یه گروه دیگه هم هست:UNK_ColtCentury
این گروه (که با اسمهای TAG-100 و Storm-2077 هم شناخته میشه) به کارمندان حقوقی یه شرکت نیمه رسانای تایوانی ایمیلهای بیخطر فرستاده تا اعتمادشون رو جلب کنن و در نهایت یه تروجان دسترسی از راه دور به نام Spark RAT نصب کنن.
👍2🔥1
هکرهای چینی زیاد این روزا تیتر خبر ها شدن با کارایی که انجام دادن توی یه حمله جدید اونا به گارد ملی آمریکا نفوذ کردن...
طبق یه خبر از NBC: گروه هکری چینی Salt Typhoon (که با اسمهای Earth Estries و Ghost Emperor هم شناخته میشه) حداقل به شبکه گارد ملی یکی از ایالت های آمریکا نفوذ کرده. این نفوذ از مارس تا دسامبر ۲۰۲۴ (یعنی حدود ۹ ماه) طول کشیده و نشون میده دامنه حملات این گروه داره گسترده تر میشه.
وزارت دفاع آمریکا (DoD) تو یه گزارش در ۱۱ ژوئن ۲۰۲۵ گفته:
"این نفوذ احتمالاً به چین داده هایی داده که میتونه هک کردن واحدهای گارد ملی ایالت های دیگه و حتی شریک های امنیت سایبری اونها رو تسهیل کنه."
چی دزدیدن؟
- تنظیمات شبکه وجریان دادهها بین گارد ملی این ایالت با بقیهٔ ایالتها و حداقل ۴ منطقهٔ تحت حاکمیت آمریکا.
- فایلهای پیکربندی مربوط به سازمان های دولتی و زیرساختهای حیاتی آمریکا (بین ژانویه تا مارس ۲۰۲۴).
- اعتبارنامه های ادمین، نقشههای ترافیک شبکه، موقعیتهای جغرافیایی و اطلاعات شخصی (PII) اعضای گارد ملی.
گزارش هشدار میده که این فایلهای پیکربندی میتونن باعث سوءاستفاده های بعدی بشن، مثل:
1- دزدیدن دادهها
2- دستکاری حسابهای ادمین
3- حرکت جانبی بین شبکههای مختلف
چطور نفوذ کردن؟
با سوءاستفاده از آسیبپذیریهای شناختهشده در دستگاههای Cisco و Palo Alto Networks:
- CVE-2018-0171
- CVE-2023-20198
- CVE-2023-20273
- CVE-2024-3400 (مربوط به Palo Alto)
دسترسی به شبکههای گارد ملی میتونه شامل اطلاعات امنیت سایبری ایالتها، موقعیت کارمندان امنیتی و جزئیات شخصی اونها باشه چیزایی که میتونه هدف گیری های آینده رو دقیق تر کنه.
"انسار سکر" (مدیر امنیت سایبری SOCRadar) میگه:
"این که Salt Typhoon تقریباً یه سال تو شبکهٔ گارد ملی آمریکا موند، یه اتک جدی در فضای سایبریه. این یه نفوذ تصادفی نیست، بلکه یه جاسوسی درازمدته که هدفش دزدیدن اطلاعات استراتژیک به صورت پنهانیه."
"هدف این گروه فقط فایل دزدیدن نبود، احتمالاً داشتن:
1- نقشه زیرساخت رو میکشیدن
2- جریان ارتباطات رو رصد میکردن
3- نقاط ضعف رو علامت میزدن تا بعدها ازشون سوءاستفاده کنن
نگرانکنندهترین چیز اینه که تو یه محیط نظامی، اینهمه مدت متوجه حضور هکرها نشدن، این قضیه کلی سؤال پیش میاره: چرا سیستمهای نظارتی اینقدر ضعیف بودن؟
سیاستهای جداسازی شبکهها چقدر واقعاً اجرا میشه؟
آیا شبکههای ترکیبی فدرال-ایالتی امنیت کافی دارن؟
طبق یه خبر از NBC: گروه هکری چینی Salt Typhoon (که با اسمهای Earth Estries و Ghost Emperor هم شناخته میشه) حداقل به شبکه گارد ملی یکی از ایالت های آمریکا نفوذ کرده. این نفوذ از مارس تا دسامبر ۲۰۲۴ (یعنی حدود ۹ ماه) طول کشیده و نشون میده دامنه حملات این گروه داره گسترده تر میشه.
وزارت دفاع آمریکا (DoD) تو یه گزارش در ۱۱ ژوئن ۲۰۲۵ گفته:
"این نفوذ احتمالاً به چین داده هایی داده که میتونه هک کردن واحدهای گارد ملی ایالت های دیگه و حتی شریک های امنیت سایبری اونها رو تسهیل کنه."
چی دزدیدن؟
- تنظیمات شبکه وجریان دادهها بین گارد ملی این ایالت با بقیهٔ ایالتها و حداقل ۴ منطقهٔ تحت حاکمیت آمریکا.
- فایلهای پیکربندی مربوط به سازمان های دولتی و زیرساختهای حیاتی آمریکا (بین ژانویه تا مارس ۲۰۲۴).
- اعتبارنامه های ادمین، نقشههای ترافیک شبکه، موقعیتهای جغرافیایی و اطلاعات شخصی (PII) اعضای گارد ملی.
گزارش هشدار میده که این فایلهای پیکربندی میتونن باعث سوءاستفاده های بعدی بشن، مثل:
1- دزدیدن دادهها
2- دستکاری حسابهای ادمین
3- حرکت جانبی بین شبکههای مختلف
چطور نفوذ کردن؟
با سوءاستفاده از آسیبپذیریهای شناختهشده در دستگاههای Cisco و Palo Alto Networks:
- CVE-2018-0171
- CVE-2023-20198
- CVE-2023-20273
- CVE-2024-3400 (مربوط به Palo Alto)
دسترسی به شبکههای گارد ملی میتونه شامل اطلاعات امنیت سایبری ایالتها، موقعیت کارمندان امنیتی و جزئیات شخصی اونها باشه چیزایی که میتونه هدف گیری های آینده رو دقیق تر کنه.
"انسار سکر" (مدیر امنیت سایبری SOCRadar) میگه:
"این که Salt Typhoon تقریباً یه سال تو شبکهٔ گارد ملی آمریکا موند، یه اتک جدی در فضای سایبریه. این یه نفوذ تصادفی نیست، بلکه یه جاسوسی درازمدته که هدفش دزدیدن اطلاعات استراتژیک به صورت پنهانیه."
"هدف این گروه فقط فایل دزدیدن نبود، احتمالاً داشتن:
1- نقشه زیرساخت رو میکشیدن
2- جریان ارتباطات رو رصد میکردن
3- نقاط ضعف رو علامت میزدن تا بعدها ازشون سوءاستفاده کنن
نگرانکنندهترین چیز اینه که تو یه محیط نظامی، اینهمه مدت متوجه حضور هکرها نشدن، این قضیه کلی سؤال پیش میاره: چرا سیستمهای نظارتی اینقدر ضعیف بودن؟
سیاستهای جداسازی شبکهها چقدر واقعاً اجرا میشه؟
آیا شبکههای ترکیبی فدرال-ایالتی امنیت کافی دارن؟
🔥3❤1🤓1
یه گروه هکری که میگن از طرف چین پشتیبانی میشه و اسمش APT41 هست، تازگیا یه عملیات جاسوسی سایبری جدید راه انداخته که هدفش سرویسهای IT دولتهای آفریقاییه.
محققای Kaspersky به اسم دنیس کولیک و دانیل پوگورلف گفتن: «هکرها توی بدافزارهاشون یهسری اسم از پیشتعیین شده برای سرویس های داخلی، آی پی آدرس و سرورهای پراکسی گذاشته بودن.» یکی از سرورهای C2 (یعنی همون سروری که مهاجمها ازش فرمان صادر میکنن)، در واقع یه سرور SharePoint بود که تو زیرساخت خود قربانی وجود داشت.
جالبه بدونینAPT41 یه گروه خیلی فعال و معروفه که به دولت چین نسبت داده میشه. اینا قبلاً کلی سازمان مختلف رو هدف گرفتن؛ از مخابرات و شرکتهای انرژی گرفته تا دانشگاهها، بیمارستانها و شرکتهای IT توی بیشتر از ۳۰ تا کشور.
چیزی که این عملیات رو خاص کرده، اینه که تمرکزش رو گذاشته روی قاره آفریقا؛ جایی که قبلاً این گروه فعالیت زیادی توش نداشته. البته شرکت Trend Micro هم قبلاً گزارش داده بود که از اواخر ۲۰۲۲، آفریقا افتاده توی لیست اهداف این گروه.
از طرفی Kaspersky گفته که وقتی روی یهسری سیستم از یه سازمان ناشناس دیدن یه رفتار مشکوک در حال رخ دادنه، شروع کردن به بررسی. این رفتار شامل اجرای دستوراتی بود که هدفش بررسی این بود که آیا سرور فرماندهی (C2) هنوز در دسترس هست یا نه، چه بهصورت مستقیم چه از طریق پراکسی داخلی که از قبل هک شده بوده.
محققها گفتن: «منبع این رفتار مشکوک یه سیستم بود که هیچکس روش نظارت نداشت و هک شده بود. روی اون سیستم، ابزار Impacket اجرا شده بود با دسترسی سرویسی. بعد از اینکه ماژولهای Atexec و WmiExec اجرا شدن، هکرها یه مدت فعالیتشونو متوقف کردن.»
خیلی زود بعدش، هکرها شروع کردن به جمعکردن اطلاعات مربوط به اکانتهایی که دسترسی بالا دارن تا بتونن دسترسیشونو توی سیستم بیشتر کنن و به قسمت های دیگه هم نفوذ کنن. در نهایت، از ابزار معروف Cobalt Strike استفاده کردن تا با استفاده از تکنیکی به اسم DLL side-loading، با سیستم قربانی ارتباط برقرار کنن.
نکته جالب اینه که این DLL های مخرب اول بررسی میکنن ببینن چه زبان هایی روی سیستم نصب هست. فقط اگه زبانهایی مثل ژاپنی، کرهای، چینی (چه چینِ اصلی چه تایوان) نباشن، عملیات خودشونو ادامه میدن.
تو این حمله، هکرها از یه سرور SharePoint هک شده استفاده کردن برای اینکه دستوراتو از طریقش به بدافزار C#ای که روی سیستم قربانی ریخته بودن بفرستن.
و دوباره Kaspersky گفته: «فایلهایی به اسم agents.exe و agentx.exe از طریق پروتکل SMB ارسال شده بودن برای ارتباط با سرور. در واقع این فایلها تروجان هایی به زبان C# بودن که وظیفه شون اجرای دستوراتی بود که از یه web shell به اسم CommandHandler.aspx دریافت میکردن. این وبشل روی همون سرور SharePoint نصب شده بود.»
این تکنیک ترکیبی از بدافزار کلاسیکه با روشهایی که بهش میگن "زندگی با امکانات موجود" (Living off the Land)؛ یعنی از سرویسهای مورد اعتماد مثل SharePoint بهعنوان کانال مخفی برای کنترل استفاده میشه. این رفتارا دقیقاً تو دسته بندی MITRE ATT&CK میوفتن، مثلاً T1071.001 (پروتکلهای وب) و T1047 (WMI)، که باعث میشه ابزارهایی که فقط دنبال امضای بدافزارها میگردن، نتونن راحت شناساییشون کنن.
هکرها بعد از اینکه توی سیستم های ارزشمندتر ردپا پیدا کردن، یه مرحله دیگه هم انجام دادن. این کار با اجرای دستور cmd.exe انجام شد تا یه فایل HTML مخرب (HTA) که توش جاوااسکریپت کار گذاشته بودن رو از یه منبع خارجی دانلود کنن و با mshta.exe اجراش کنن.
جالب اینجاست که اون منبع خارجی شبیه سایت GitHub جعل شده بود، آدرسش هم این بوده: github.githubassets.net. هنوز دقیقاً معلوم نیست این فایل مخرب چیکار میکرده، ولی بررسی یکی از اسکریپتهای مشابه نشون داده که هدفش ساختن یه reverse shell بوده .
علاوه بر این، هکرها از ابزارهای مختلف برای دزدیدن اطلاعات حساس استفاده کردن، بعدشم همه اطلاعاتو از طریق همون SharePoint فرستادن بیرون.
بعضی از ابزارهایی که استفاده شده، اینا بودن:
محققای Kaspersky به اسم دنیس کولیک و دانیل پوگورلف گفتن: «هکرها توی بدافزارهاشون یهسری اسم از پیشتعیین شده برای سرویس های داخلی، آی پی آدرس و سرورهای پراکسی گذاشته بودن.» یکی از سرورهای C2 (یعنی همون سروری که مهاجمها ازش فرمان صادر میکنن)، در واقع یه سرور SharePoint بود که تو زیرساخت خود قربانی وجود داشت.
جالبه بدونینAPT41 یه گروه خیلی فعال و معروفه که به دولت چین نسبت داده میشه. اینا قبلاً کلی سازمان مختلف رو هدف گرفتن؛ از مخابرات و شرکتهای انرژی گرفته تا دانشگاهها، بیمارستانها و شرکتهای IT توی بیشتر از ۳۰ تا کشور.
چیزی که این عملیات رو خاص کرده، اینه که تمرکزش رو گذاشته روی قاره آفریقا؛ جایی که قبلاً این گروه فعالیت زیادی توش نداشته. البته شرکت Trend Micro هم قبلاً گزارش داده بود که از اواخر ۲۰۲۲، آفریقا افتاده توی لیست اهداف این گروه.
از طرفی Kaspersky گفته که وقتی روی یهسری سیستم از یه سازمان ناشناس دیدن یه رفتار مشکوک در حال رخ دادنه، شروع کردن به بررسی. این رفتار شامل اجرای دستوراتی بود که هدفش بررسی این بود که آیا سرور فرماندهی (C2) هنوز در دسترس هست یا نه، چه بهصورت مستقیم چه از طریق پراکسی داخلی که از قبل هک شده بوده.
محققها گفتن: «منبع این رفتار مشکوک یه سیستم بود که هیچکس روش نظارت نداشت و هک شده بود. روی اون سیستم، ابزار Impacket اجرا شده بود با دسترسی سرویسی. بعد از اینکه ماژولهای Atexec و WmiExec اجرا شدن، هکرها یه مدت فعالیتشونو متوقف کردن.»
خیلی زود بعدش، هکرها شروع کردن به جمعکردن اطلاعات مربوط به اکانتهایی که دسترسی بالا دارن تا بتونن دسترسیشونو توی سیستم بیشتر کنن و به قسمت های دیگه هم نفوذ کنن. در نهایت، از ابزار معروف Cobalt Strike استفاده کردن تا با استفاده از تکنیکی به اسم DLL side-loading، با سیستم قربانی ارتباط برقرار کنن.
نکته جالب اینه که این DLL های مخرب اول بررسی میکنن ببینن چه زبان هایی روی سیستم نصب هست. فقط اگه زبانهایی مثل ژاپنی، کرهای، چینی (چه چینِ اصلی چه تایوان) نباشن، عملیات خودشونو ادامه میدن.
تو این حمله، هکرها از یه سرور SharePoint هک شده استفاده کردن برای اینکه دستوراتو از طریقش به بدافزار C#ای که روی سیستم قربانی ریخته بودن بفرستن.
و دوباره Kaspersky گفته: «فایلهایی به اسم agents.exe و agentx.exe از طریق پروتکل SMB ارسال شده بودن برای ارتباط با سرور. در واقع این فایلها تروجان هایی به زبان C# بودن که وظیفه شون اجرای دستوراتی بود که از یه web shell به اسم CommandHandler.aspx دریافت میکردن. این وبشل روی همون سرور SharePoint نصب شده بود.»
این تکنیک ترکیبی از بدافزار کلاسیکه با روشهایی که بهش میگن "زندگی با امکانات موجود" (Living off the Land)؛ یعنی از سرویسهای مورد اعتماد مثل SharePoint بهعنوان کانال مخفی برای کنترل استفاده میشه. این رفتارا دقیقاً تو دسته بندی MITRE ATT&CK میوفتن، مثلاً T1071.001 (پروتکلهای وب) و T1047 (WMI)، که باعث میشه ابزارهایی که فقط دنبال امضای بدافزارها میگردن، نتونن راحت شناساییشون کنن.
هکرها بعد از اینکه توی سیستم های ارزشمندتر ردپا پیدا کردن، یه مرحله دیگه هم انجام دادن. این کار با اجرای دستور cmd.exe انجام شد تا یه فایل HTML مخرب (HTA) که توش جاوااسکریپت کار گذاشته بودن رو از یه منبع خارجی دانلود کنن و با mshta.exe اجراش کنن.
جالب اینجاست که اون منبع خارجی شبیه سایت GitHub جعل شده بود، آدرسش هم این بوده: github.githubassets.net. هنوز دقیقاً معلوم نیست این فایل مخرب چیکار میکرده، ولی بررسی یکی از اسکریپتهای مشابه نشون داده که هدفش ساختن یه reverse shell بوده .
علاوه بر این، هکرها از ابزارهای مختلف برای دزدیدن اطلاعات حساس استفاده کردن، بعدشم همه اطلاعاتو از طریق همون SharePoint فرستادن بیرون.
بعضی از ابزارهایی که استفاده شده، اینا بودن:
از Pillager (نسخه دستکاریشده) برای دزدیدن رمزهای ذخیرهشده توی مرورگرها، دیتابیسها، ابزارای مدیریتی مثل MobaXterm، سورسکدها، اسکرینشاتها، چتها، ایمیلها، نشستهای SSH و FTP، لیست برنامههای نصبشده، خروجی دستورای سیستم مثل systeminfo و tasklist، و اکانتهای پیامرسانها و ایمیل کلاینتها.
از Checkout برای برداشتن اطلاعات فایلهای دانلودی و دادههای کارت بانکی که توی مرورگرهایی مثل Yandex، Opera، OperaGX، Vivaldi، Chrome، Brave ذخیره شده بودن.
❤4🤓1
یه بدافزار جاسوسی جدید برای اندروید کشف شده که خیلی احتمالش هست به وزارت اطلاعات ایران وصل باشه. این بدافزار خودش رو به شکل اپهای VPN و حتی اپ مربوط به اینترنت ماهوارهای Starlink جا زده تا بتونه مخالفای حکومت رو هدف بگیره و ازشون جاسوسی کنه.
شرکت امنیت موبایل Lookout گفته که چهار نسخه از این بدافزار که اسمش رو گذاشتن DCHSpy، حدود یه هفته بعد از شروع درگیریهای ایران و اسرائیل پیدا شده. ولی دقیقاً مشخص نیست چند نفر این اپها رو نصب کردن.
محققای امنیتی "اسلاماوغلو" و "آلبریشت" گفتن: «DCHSpy اطلاعات واتساپ، اکانتها، مخاطبا، پیامکها، فایلها، لوکیشن، و لیست تماسها رو جمع میکنه؛ حتی میتونه صدا ضبط کنه و عکس بگیره»
این بدافزار برای اولین بار توی جولای ۲۰۲۴ شناسایی شد و احتمال زیاد کار یه گروه هکری معروف به اسم MuddyWater هست که به وزارت اطلاعات ایران وصله. البته این گروه کلی اسم دیگه هم داره مثلاً: Boggy Serpens، Cobalt Ulster، Earth Vetala، ITG17، Mango Sandstorm (که قبلاً اسمش Mercury بود)، Seedworm، Static Kitten، TA450، و Yellow Nix. خلاصه از بس اسماش زیاده، انگار خودشونم یادشون میره کی بودن...
نسخههای اولیه DCHSpy قبلاً سراغ کاربراش رفته بودن، اونم از طریق کانال های تلگرامی که معمولاً حرفای ضد حکومتی میزدن و مخاطباش فارسی زبان یا انگلیسی زبان بودن. از اونجایی که بدافزار با عنوان VPN تبلیغ میشده، به احتمال خیلی زیاد مخالفای سیاسی، فعالها و خبرنگارها هدفش بودن.
حالا نسخههای جدید این بدافزار، احتمال زیاد بعد از شروع درگیری های اخیر منطقه داره پخش میشه و خودش رو به اسم اپهایی مثل اینا جا میزنه:
لازم به ذکره که ماه پیش، اینترنت ماهوارهای Starlink توی ایران فعال شده بود (اونم وسط قطعی اینترنتی که دولت اعمال کرده بود)، ولی بعدش مجلس اومد و استفاده ازش رو ممنوع کرد چون "غیرمجاز" بوده.
این DCHSpy یه بدافزار چندبخشی یا ماژولاره؛ یعنی کلی قابلیت داره و میتونه یه عالمه اطلاعات رو جمع کنه، از جمله:
جالبه بدونی که این بدافزار از همون زیرساختهایی استفاده میکنه که یه بدافزار دیگه به اسم SandStrike هم ازش استفاده میکرد. اون یکی رو شرکت Kaspersky توی نوامبر ۲۰۲۲ شناسایی کرده بود و اونم دقیقاً خودشو جای VPN بیضرر جا زده بود تا فارسیزبانها رو هدف بگیره.
این کشف جدید، یه نمونه دیگست از بدافزارهای جاسوسی برای اندروید که مشخصاً برای هدف قرار دادن افراد و نهادها توی خاورمیانه طراحی شدن. قبلاً هم بدافزارهایی مثل:
از طرفی Lookout گفته: «DCHSpy دقیقاً مثل SandStrike عمل میکنه؛ هم از لحاظ زیرساخت، هم روش پخش. این بدافزار از طریق لینکهای آلودهای که مستقیم توی پیامرسانها (مثلاً تلگرام) ارسال میشن، به هدفها میرسه.»
«این نسخههای جدید DCHSpy نشون میدن که این بدافزار همچنان در حال توسعه هست و داره استفاده میشه، مخصوصاً حالا که بعد از آتشبس ایران و اسرائیل، فشار روی مردم بیشتر شده.»
شرکت امنیت موبایل Lookout گفته که چهار نسخه از این بدافزار که اسمش رو گذاشتن DCHSpy، حدود یه هفته بعد از شروع درگیریهای ایران و اسرائیل پیدا شده. ولی دقیقاً مشخص نیست چند نفر این اپها رو نصب کردن.
محققای امنیتی "اسلاماوغلو" و "آلبریشت" گفتن: «DCHSpy اطلاعات واتساپ، اکانتها، مخاطبا، پیامکها، فایلها، لوکیشن، و لیست تماسها رو جمع میکنه؛ حتی میتونه صدا ضبط کنه و عکس بگیره»
این بدافزار برای اولین بار توی جولای ۲۰۲۴ شناسایی شد و احتمال زیاد کار یه گروه هکری معروف به اسم MuddyWater هست که به وزارت اطلاعات ایران وصله. البته این گروه کلی اسم دیگه هم داره مثلاً: Boggy Serpens، Cobalt Ulster، Earth Vetala، ITG17، Mango Sandstorm (که قبلاً اسمش Mercury بود)، Seedworm، Static Kitten، TA450، و Yellow Nix. خلاصه از بس اسماش زیاده، انگار خودشونم یادشون میره کی بودن...
نسخههای اولیه DCHSpy قبلاً سراغ کاربراش رفته بودن، اونم از طریق کانال های تلگرامی که معمولاً حرفای ضد حکومتی میزدن و مخاطباش فارسی زبان یا انگلیسی زبان بودن. از اونجایی که بدافزار با عنوان VPN تبلیغ میشده، به احتمال خیلی زیاد مخالفای سیاسی، فعالها و خبرنگارها هدفش بودن.
حالا نسخههای جدید این بدافزار، احتمال زیاد بعد از شروع درگیری های اخیر منطقه داره پخش میشه و خودش رو به اسم اپهایی مثل اینا جا میزنه:
Earth VPN (: com.earth.earth_vpn)نکته جالب اینجاست که یکی از این اپهای Earth VPN توی فایل APK به اسم "starlink_vpn(1.3.0)-3012 (1).apk" پخش شده. یعنی هکرها حتی از اسم Starlink هم استفاده کردن تا مردم رو گول بزنن.
Comodo VPN (: com.comodoapp.comodovpn)
Hide VPN (: com.hv.hide_vpn)
لازم به ذکره که ماه پیش، اینترنت ماهوارهای Starlink توی ایران فعال شده بود (اونم وسط قطعی اینترنتی که دولت اعمال کرده بود)، ولی بعدش مجلس اومد و استفاده ازش رو ممنوع کرد چون "غیرمجاز" بوده.
این DCHSpy یه بدافزار چندبخشی یا ماژولاره؛ یعنی کلی قابلیت داره و میتونه یه عالمه اطلاعات رو جمع کنه، از جمله:
اکانتهایی که رو گوشی لاگین شدن
مخاطبا
پیامکها
تماسها
فایلها
موقعیت جغرافیایی
صداهای اطراف
عکسها
و اطلاعات واتساپ
جالبه بدونی که این بدافزار از همون زیرساختهایی استفاده میکنه که یه بدافزار دیگه به اسم SandStrike هم ازش استفاده میکرد. اون یکی رو شرکت Kaspersky توی نوامبر ۲۰۲۲ شناسایی کرده بود و اونم دقیقاً خودشو جای VPN بیضرر جا زده بود تا فارسیزبانها رو هدف بگیره.
این کشف جدید، یه نمونه دیگست از بدافزارهای جاسوسی برای اندروید که مشخصاً برای هدف قرار دادن افراد و نهادها توی خاورمیانه طراحی شدن. قبلاً هم بدافزارهایی مثل:
AridSpyدیده شده بودن.
BouldSpy
GuardZoo
RatMilad
SpyNote
از طرفی Lookout گفته: «DCHSpy دقیقاً مثل SandStrike عمل میکنه؛ هم از لحاظ زیرساخت، هم روش پخش. این بدافزار از طریق لینکهای آلودهای که مستقیم توی پیامرسانها (مثلاً تلگرام) ارسال میشن، به هدفها میرسه.»
«این نسخههای جدید DCHSpy نشون میدن که این بدافزار همچنان در حال توسعه هست و داره استفاده میشه، مخصوصاً حالا که بعد از آتشبس ایران و اسرائیل، فشار روی مردم بیشتر شده.»
❤4❤🔥1👍1🤓1
یه گروه محقق امنیت سایبری تازه یه بک دور روی لینوکس پیدا کردن که اسمشو گذاشتن Plague (یعنی طاعون). این بک دور اینقدر باهوشه که یه سال کامل تو سیستم ها بوده ولی کسی نفهمیده.
یه محقق از شرکت Nextron به اسم پیر هنری پی زیه میگه:
«این بدافزار خودش رو به شکل یه ماژول PAM (ماژول پلاگین احراز هویت) مخفی کرده. یعنی یه جوری طراحی شده که بی سروصدا از سیستمهای احراز هویت رد میشه و به هکرها اجازه میده همیشه و راحت از طریق SSH وارد سیستم بشن.»
اگه نمیدونین PAM چیه، باید بگم یه سری کتابخونه های مشترک هستن که سیستم های لینوکسی و یونیکسی برای شناسایی کاربرها استفاده میکنن، یعنی وقتی میخوای لاگین کنی، این PAM ها میان و میگن «این آدم درسته یا نه؟»
حالا چون این PAMها توی پروسه های خیلی حساس و مهم اجرا میشن، اگه یه PAM خرابکار باشه میتونه رمز کاربرها رو بدزده، سیستم رو دور بزنه و هیچ آنتیویروسی هم نفهمه.
شرکت امنیتی Nextron میگه از 29 جولای 2024 تا الان چند نمونه از این Plague رو توی VirusTotal پیدا کردن که حتی یه آنتی ویروس هم هنوز نتونسته تشخیصش بده که خطرناکه.
این یعنی سازنده های این بدافزار همچنان دارن روش کار میکنن و دارن نسخه های جدیدش رو میسازن.
این بدافزار Plague چهار تا قابلیت خیلی باحال داره:
یه رمز عبور ثابت داره که هکرها بتونن راحت و مخفیانه وارد بشن و خودش رو طوری میسازه که آدم نتونه راحت بفهمه چطوری کار میکنه (تحلیل و مهندسی معکوس رو سخت میکنه)
کلی تکنیک ضد دیباگینگ و پنهون کاری استفاده میکنه
کلی باهوشیه که بعد از اینکه SSH زدن، هیچ مدرکی از خودش باقی نمیذاره.
وقتی یه هکر با SSH وصل میشه، معمولا سیستم یه سری متغیر محیطی مثل SSH_CONNECTION و SSH_CLIENT ذخیره میکنه که بگه چه کسی وصل شده. Plague این متغیرها رو پاک میکنه که هیچ رد و اثری نمونه.
همچنین فایل history (تاریخچه دستورات) که معمولا دستورات وارد شده رو نگه میداره رو به /dev/null هدایت میکنه یعنی اصلا هیچ دستوری ذخیره نمیشه.
پی زیه گفته: «Plague خودش رو خیلی عمیق تو پروسه احراز هویت جا میده، حتی اگه سیستم آپدیت بشه، باز سر جاش میمونه، و تقریبا هیچ اثری برای تحقیقهای بعدی نمیذاره.»
با توجه به روشهای پیچیدهای که برای پنهونکاری و خرابکاری استفاده میکنه، خیلی سخته با ابزارهای معمولی امنیتی پیداش کنی.
یه محقق از شرکت Nextron به اسم پیر هنری پی زیه میگه:
«این بدافزار خودش رو به شکل یه ماژول PAM (ماژول پلاگین احراز هویت) مخفی کرده. یعنی یه جوری طراحی شده که بی سروصدا از سیستمهای احراز هویت رد میشه و به هکرها اجازه میده همیشه و راحت از طریق SSH وارد سیستم بشن.»
اگه نمیدونین PAM چیه، باید بگم یه سری کتابخونه های مشترک هستن که سیستم های لینوکسی و یونیکسی برای شناسایی کاربرها استفاده میکنن، یعنی وقتی میخوای لاگین کنی، این PAM ها میان و میگن «این آدم درسته یا نه؟»
حالا چون این PAMها توی پروسه های خیلی حساس و مهم اجرا میشن، اگه یه PAM خرابکار باشه میتونه رمز کاربرها رو بدزده، سیستم رو دور بزنه و هیچ آنتیویروسی هم نفهمه.
شرکت امنیتی Nextron میگه از 29 جولای 2024 تا الان چند نمونه از این Plague رو توی VirusTotal پیدا کردن که حتی یه آنتی ویروس هم هنوز نتونسته تشخیصش بده که خطرناکه.
این یعنی سازنده های این بدافزار همچنان دارن روش کار میکنن و دارن نسخه های جدیدش رو میسازن.
این بدافزار Plague چهار تا قابلیت خیلی باحال داره:
یه رمز عبور ثابت داره که هکرها بتونن راحت و مخفیانه وارد بشن و خودش رو طوری میسازه که آدم نتونه راحت بفهمه چطوری کار میکنه (تحلیل و مهندسی معکوس رو سخت میکنه)
کلی تکنیک ضد دیباگینگ و پنهون کاری استفاده میکنه
کلی باهوشیه که بعد از اینکه SSH زدن، هیچ مدرکی از خودش باقی نمیذاره.
وقتی یه هکر با SSH وصل میشه، معمولا سیستم یه سری متغیر محیطی مثل SSH_CONNECTION و SSH_CLIENT ذخیره میکنه که بگه چه کسی وصل شده. Plague این متغیرها رو پاک میکنه که هیچ رد و اثری نمونه.
همچنین فایل history (تاریخچه دستورات) که معمولا دستورات وارد شده رو نگه میداره رو به /dev/null هدایت میکنه یعنی اصلا هیچ دستوری ذخیره نمیشه.
پی زیه گفته: «Plague خودش رو خیلی عمیق تو پروسه احراز هویت جا میده، حتی اگه سیستم آپدیت بشه، باز سر جاش میمونه، و تقریبا هیچ اثری برای تحقیقهای بعدی نمیذاره.»
با توجه به روشهای پیچیدهای که برای پنهونکاری و خرابکاری استفاده میکنه، خیلی سخته با ابزارهای معمولی امنیتی پیداش کنی.
👍7🔥1🤓1
پروتکل ارتباطات موبایلی نسل پنجم (5G) شاید پیچیدهترین پروتکل وایرلسیه که تا حالا ساخته شده. سرعت دانلودش وحشتناک بالاست، از ایستگاههای پایه با beamforming استفاده میکنه، و خب یهعالمه اضافات عجیب و غریب غیر استاندارد هم داره. واسه همینم بررسی کردنش برای یه هکر یا محقق خونگی کار خیلی سنگینی به نظر میاد. ولی این موضوع باعث نشد که گروه تحقیقاتی ASSET دست از کار بکشه؛ اونا یه sniffer و یه downlink injector برای 5G ساختن.
بخش دیگه مهم پروژه یه فریمورک اکسپلویته که کلی برد حمله داره و هم ASSET و هم گروه های دیگه توسعه اش دادن. وقتی یه SDR رو تبدیل میکنی به یه ایستگاه پایه مخرب 5G، میتونی از کلی باگ و «ویژگی» استفاده کنی که نتیجه اش میتونه از داون گرید کردن کانکشن به 4G گرفته تا فینگرپرینتینگ و خیلی چیزای دیگه باشه. حتی یه روش حمله هم توش هست به اسم 5Ghull که قبلاً دربارهش نوشته بودن؛ این یکی میتونه باعث بشه گوشی قفل کنه و فقط با درآوردن سیمکارت درست شه. این آسیبپذیری ها یه نگاه خیلی خاص به پشت پرده 5G بهمون میدن.
اگه تو هم به sniff کردن 5G علاقه داری ولی سختافزارش رو نداری، یه هک جالب هست که باهاش میتونی یه گوشی Qualcomm رو تبدیل به sniffer کنی.
اصل پروژه بیشتر روی sniff کردن real-time تمرکز داره و با یکی از دو مدل USRP (یعنی همون رادیوهای نرمافزاری SDR معروف) انجام میشه، البته همراه با یه مقدار خیلی زیاد توان پردازشی. دیتاهایی که sniff میشن حتی میتونی مستقیم ببری توی Wireshark و فیلتراسیون انجام بدی. فرکانس ها هم به صورت hard-code داخل sniffer تعریف شدن تا پرفورمنس بهتر باشه، و تا الان روی باندهای n78 و n41 تست شده. هرچند میدونیم بیشتر شماها اون سختافزار USRP رو ندارین، ولی یه فایل نمونه از کپچر دادهها هم گذاشتن که اگه خواستین خودتون تحلیل کنین ...
این لینک ها به دردتون میخوره :
link
link
link
بخش دیگه مهم پروژه یه فریمورک اکسپلویته که کلی برد حمله داره و هم ASSET و هم گروه های دیگه توسعه اش دادن. وقتی یه SDR رو تبدیل میکنی به یه ایستگاه پایه مخرب 5G، میتونی از کلی باگ و «ویژگی» استفاده کنی که نتیجه اش میتونه از داون گرید کردن کانکشن به 4G گرفته تا فینگرپرینتینگ و خیلی چیزای دیگه باشه. حتی یه روش حمله هم توش هست به اسم 5Ghull که قبلاً دربارهش نوشته بودن؛ این یکی میتونه باعث بشه گوشی قفل کنه و فقط با درآوردن سیمکارت درست شه. این آسیبپذیری ها یه نگاه خیلی خاص به پشت پرده 5G بهمون میدن.
اگه تو هم به sniff کردن 5G علاقه داری ولی سختافزارش رو نداری، یه هک جالب هست که باهاش میتونی یه گوشی Qualcomm رو تبدیل به sniffer کنی.
اصل پروژه بیشتر روی sniff کردن real-time تمرکز داره و با یکی از دو مدل USRP (یعنی همون رادیوهای نرمافزاری SDR معروف) انجام میشه، البته همراه با یه مقدار خیلی زیاد توان پردازشی. دیتاهایی که sniff میشن حتی میتونی مستقیم ببری توی Wireshark و فیلتراسیون انجام بدی. فرکانس ها هم به صورت hard-code داخل sniffer تعریف شدن تا پرفورمنس بهتر باشه، و تا الان روی باندهای n78 و n41 تست شده. هرچند میدونیم بیشتر شماها اون سختافزار USRP رو ندارین، ولی یه فایل نمونه از کپچر دادهها هم گذاشتن که اگه خواستین خودتون تحلیل کنین ...
این لینک ها به دردتون میخوره :
link
link
link
GitHub
GitHub - asset-group/Sni5Gect-5GNR-sniffing-and-exploitation: A 5G Sniffer and Downlink Injector Framework on steroids... And yes…
A 5G Sniffer and Downlink Injector Framework on steroids... And yes, Wireshark supported!!! - asset-group/Sni5Gect-5GNR-sniffing-and-exploitation