محققای امنیت سایبری یه بدافزار بانکی جدید برای اندروید کشف کردن به اسم Crocodilus که بیشتر کاربرا توی اسپانیا و ترکیه رو هدف قرار داده.
طبق گزارش ThreatFabric، این بدافزار یه کپی ساده از بقیه تروجان های بانکی نیست، بلکه از همون اول با تکنیک های پیشرفته ای مثل کنترل از راه دور و سرقت اطلاعات از طریق لاگهای دسترسی (Accessibility Logging) وارد بازی شده.
مثل بقیه تروجان های بانکی، هدف Crocodilus اینه که کنترل کامل گوشی رو به دست بگیره و در نهایت تراکنش های جعلی انجام بده. برثی سورس کد و لاگ های دیباگ نشون داده که سازنده این بدافزار به زبان ترکی صحبت میکنه.
نحوه کار کردن این بدافزار Crocodilus اینطوریه که خودش رو جای گوگل کروم جا میزنه (با یه اسم پکیج عجیب "quizzical.washbowl.calamity") و میتونه از محدودیت های امنیتی اندروید ۱۳ به بعد رد بشه.
وقتی نصب شد، از کاربر اجازه دسترسی به سرویس های دسترسی پذیری (Accessibility Services) اندروید رو میگیره.
بعدش به یه سرور راه دور وصل میشه تا دستورات جدید بگیره، لیست اپ های مالی هدف رو دریافت کنه و صفحه های جعلی HTML رو بارگذاری کنه تا اطلاعات ورود رو سرقت کنه.
این بدافزار فقط بانک ها رو هدف قرار نمیده، بلکه به کیف پول های ارز دیجیتال هم حمله میکنه به جای نمایش یه صفحه ورود جعلی، یه پیام هشدار نشون میده که به کاربر میگه "اگه تا ۱۲ ساعت آینده عبارت بازیابی (Seed Phrase) رو ذخیره نکنی، دسترسیت به کیف پولت رو از دست میدی". اما در واقع، همین روش باعث میشه هکرها عبارت بازیابی رو بدزدن و کل دارایی های دیجیتال قربانی رو خالی کنن.
قابلیتهای مهم این بدافزار:
از طرفی ThreatFabric گفته که Crocodilus نسبت به بقیه بدافزار های تازه کشف شده خیلی حرفهای تر و خطرناک تره، چون از همون ابتدا قابلیت های پیشرفته ای مثل کنترل از راه دور و... رو داشته.
این در حالی اتفاق افتاده که محققای Forcepoint یه کمپین فیشینگ جدید رو کشف کردن که با استفاده از یه اسکریپت ویژوال بیسیک رمزنگاریشده، بدافزار بانکی Grandoreiro رو روی ویندوز پخش میکنه و کاربرای مکزیک، آرژانتین و اسپانیا رو هدف قرار داده....
طبق گزارش ThreatFabric، این بدافزار یه کپی ساده از بقیه تروجان های بانکی نیست، بلکه از همون اول با تکنیک های پیشرفته ای مثل کنترل از راه دور و سرقت اطلاعات از طریق لاگهای دسترسی (Accessibility Logging) وارد بازی شده.
مثل بقیه تروجان های بانکی، هدف Crocodilus اینه که کنترل کامل گوشی رو به دست بگیره و در نهایت تراکنش های جعلی انجام بده. برثی سورس کد و لاگ های دیباگ نشون داده که سازنده این بدافزار به زبان ترکی صحبت میکنه.
نحوه کار کردن این بدافزار Crocodilus اینطوریه که خودش رو جای گوگل کروم جا میزنه (با یه اسم پکیج عجیب "quizzical.washbowl.calamity") و میتونه از محدودیت های امنیتی اندروید ۱۳ به بعد رد بشه.
وقتی نصب شد، از کاربر اجازه دسترسی به سرویس های دسترسی پذیری (Accessibility Services) اندروید رو میگیره.
بعدش به یه سرور راه دور وصل میشه تا دستورات جدید بگیره، لیست اپ های مالی هدف رو دریافت کنه و صفحه های جعلی HTML رو بارگذاری کنه تا اطلاعات ورود رو سرقت کنه.
این بدافزار فقط بانک ها رو هدف قرار نمیده، بلکه به کیف پول های ارز دیجیتال هم حمله میکنه به جای نمایش یه صفحه ورود جعلی، یه پیام هشدار نشون میده که به کاربر میگه "اگه تا ۱۲ ساعت آینده عبارت بازیابی (Seed Phrase) رو ذخیره نکنی، دسترسیت به کیف پولت رو از دست میدی". اما در واقع، همین روش باعث میشه هکرها عبارت بازیابی رو بدزدن و کل دارایی های دیجیتال قربانی رو خالی کنن.
قابلیتهای مهم این بدافزار:
1- اجرای یه اپ مشخص
2- حذف خودش از روی دستگاه
3- ارسال نوتیفیکیشن جعلی
4- ارسال پیامک به همه یا بعضی از مخاطبین
5- دریافت لیست مخاطبین
6- گرفتن لیست اپهای نصب شده
7- خوندن پیامکها
8- درخواست مجوز مدیر دستگاه (Device Admin)
9- تغییر تنظیمات سرور (C2)
10- فعال/غیرفعال کردن صدا
11- فعال/غیرفعال کردن کی لاگر
12- تبدیلشدن به برنامه پیشفرض SMS
از طرفی ThreatFabric گفته که Crocodilus نسبت به بقیه بدافزار های تازه کشف شده خیلی حرفهای تر و خطرناک تره، چون از همون ابتدا قابلیت های پیشرفته ای مثل کنترل از راه دور و... رو داشته.
این در حالی اتفاق افتاده که محققای Forcepoint یه کمپین فیشینگ جدید رو کشف کردن که با استفاده از یه اسکریپت ویژوال بیسیک رمزنگاریشده، بدافزار بانکی Grandoreiro رو روی ویندوز پخش میکنه و کاربرای مکزیک، آرژانتین و اسپانیا رو هدف قرار داده....
👍1💯1🆒1
یه تازهکار تو دنیای جرایم سایبری دیده شده که با کمک گرفتن از یه سرویس روسی به اسم Proton66 که از اون مدل میزبان هایی هست که بهشون میگن Bulletproof Hosting (BPH) (یعنی سرورهایی که به راحتی بسته نمیشن و برای کارهای خلاف خیلی محبوبن)، داره کارهای خودش رو پیش میبره.
شرکت امنیتی DomainTools این قضیه رو فهمید، وقتی یه سایت قلابی به اسم cybersecureprotect.com رو پیدا کرد که روی همین Proton66 میزبانی میشد. این سایت وانمود میکرد یه آنتی ویروس خفن و امنه، ولی در واقع داشته بدافزار پخش میکرده.
از طرفی DomainTools گفت تو تنظیمات این سایت یه سوتی امنیتی (OPSEC failure) پیدا کرده بودن که باعث شد بشه راحت به کل زیرساخت مخرب اون نفوذ کرد و فایلهایی که روی سرور گذاشته بودن رو دید.
تو گزارششون گفتن:
این Proton66 که تازه یه سرویس مشابه دیگه به اسم PROSPERO هم بهش ربط داره، قبلاً هم تو چندتا کمپین خرابکاری دیده شده که بدافزارهایی برای دسکتاپ و اندروید مثل GootLoader، Matanbuchus، SpyNote، Coper (همون Octo) و SocGholish رو پخش کرده. بعضی از سایتهای قلابی ای که روش میزبانی میشه، از طریق پیامک برای مردم ارسال میشن تا اونارو گول بزنن که اطلاعات بانکی و کارت اعتباری شون رو وارد کنن.
و Coquettte هم یکی از همون خلافکارهاست که با استفاده از امکانات Proton66 بدافزار پخش میکنه، اونم در قالب یه ابزار آنتیویروس قلابی.
شکلش اینجوریه: یه فایل فشرده ZIP به اسم "CyberSecure Pro.zip" که توش یه نصاب برای ویندوزه، و وقتی اجراش میکنی، یه بدافزار دیگه از یه سرور دیگه دانلود میکنه. این سرور کنترلش دست خودشونه و باهاش بقیه بدافزارها رو از یه سیستم فرماندهی (C2) به اسم cia.tf میفرستن.
بدافزار دوم یه لودره به اسم Rugmi (که بهش Penguish هم میگن)، که قبلاً هم برای نصب بدافزارهایی مثل Lumma، Vidar و Raccoon استفاده شده همشون هم برای جاسوسی و سرقت اطلاعات استفاده میشن .
بعد که بیشتر بررسی کردن، ردپای دیجیتالی Coquettte رو پیدا کردن؛ یه سایت شخصی داشت که توش گفته بود:
ولی خب، همون دامنه cia.tf رو با ایمیل root@coquettte.com ثبت کرده بوده. یعنی رسماً خودش پشت همه ماجرا بوده: هم سایت قلابی، هم سرور بدافزار.
و از طرفی DomainTools گفته:
اما کاراش فقط به بدافزار ختم نمیشه...
این فرد سایبری فقط به پخش ویروس و این چیزا بسنده نکرده، بلکه یه سری سایت دیگه هم راه انداخته که توش راهنماهایی برای ساخت مواد غیرقانونی و سلاحها میفروشه.
بررسیها نشون میده که Coquettte احتمالاً عضو یه گروه بزرگ تر به اسم Horrid هست.
تو گزارش اومده:
و در آخر گفتن:
"این گروه به چندتا دامنه مرتبط با جرم و خلاف وصل میشه، و بهنظر میرسه مثل یه نوع مرکز رشد برای خلافکارای سایبری تازه کار عمل میکنه؛ هم ابزار بهشون میده، هم زیرساخت لازم...."
شرکت امنیتی DomainTools این قضیه رو فهمید، وقتی یه سایت قلابی به اسم cybersecureprotect.com رو پیدا کرد که روی همین Proton66 میزبانی میشد. این سایت وانمود میکرد یه آنتی ویروس خفن و امنه، ولی در واقع داشته بدافزار پخش میکرده.
از طرفی DomainTools گفت تو تنظیمات این سایت یه سوتی امنیتی (OPSEC failure) پیدا کرده بودن که باعث شد بشه راحت به کل زیرساخت مخرب اون نفوذ کرد و فایلهایی که روی سرور گذاشته بودن رو دید.
تو گزارششون گفتن:
"این کشف ما رو برد توی لونه خرگوش و باعث شد برسیم به کارای یه هکر تازه کار که اسمش رو گذاشتن Coquettte، یه خلافکار سایبری آماتور که با استفاده از Proton66 داره بدافزار پخش میکنه و خلافای دیگه هم انجام میده."
این Proton66 که تازه یه سرویس مشابه دیگه به اسم PROSPERO هم بهش ربط داره، قبلاً هم تو چندتا کمپین خرابکاری دیده شده که بدافزارهایی برای دسکتاپ و اندروید مثل GootLoader، Matanbuchus، SpyNote، Coper (همون Octo) و SocGholish رو پخش کرده. بعضی از سایتهای قلابی ای که روش میزبانی میشه، از طریق پیامک برای مردم ارسال میشن تا اونارو گول بزنن که اطلاعات بانکی و کارت اعتباری شون رو وارد کنن.
و Coquettte هم یکی از همون خلافکارهاست که با استفاده از امکانات Proton66 بدافزار پخش میکنه، اونم در قالب یه ابزار آنتیویروس قلابی.
شکلش اینجوریه: یه فایل فشرده ZIP به اسم "CyberSecure Pro.zip" که توش یه نصاب برای ویندوزه، و وقتی اجراش میکنی، یه بدافزار دیگه از یه سرور دیگه دانلود میکنه. این سرور کنترلش دست خودشونه و باهاش بقیه بدافزارها رو از یه سیستم فرماندهی (C2) به اسم cia.tf میفرستن.
بدافزار دوم یه لودره به اسم Rugmi (که بهش Penguish هم میگن)، که قبلاً هم برای نصب بدافزارهایی مثل Lumma، Vidar و Raccoon استفاده شده همشون هم برای جاسوسی و سرقت اطلاعات استفاده میشن .
بعد که بیشتر بررسی کردن، ردپای دیجیتالی Coquettte رو پیدا کردن؛ یه سایت شخصی داشت که توش گفته بود:
"من یه مهندس نرمافزار ۱۹ سالهام، دارم رشته توسعه نرمافزار میخونم."
ولی خب، همون دامنه cia.tf رو با ایمیل root@coquettte.com ثبت کرده بوده. یعنی رسماً خودش پشت همه ماجرا بوده: هم سایت قلابی، هم سرور بدافزار.
و از طرفی DomainTools گفته:
"احتمال زیاد Coquettte یه جوون دانشجوئه که چون هنوز آماتوره، تو کاراش اشتباههای ساده میکنه (مثل باز گذاشتن دایرکتوری توی سرور)."
اما کاراش فقط به بدافزار ختم نمیشه...
این فرد سایبری فقط به پخش ویروس و این چیزا بسنده نکرده، بلکه یه سری سایت دیگه هم راه انداخته که توش راهنماهایی برای ساخت مواد غیرقانونی و سلاحها میفروشه.
بررسیها نشون میده که Coquettte احتمالاً عضو یه گروه بزرگ تر به اسم Horrid هست.
تو گزارش اومده:
"ساختار مشترک این سایت ها نشون میده که افرادی که پشتش هستن، خودشونو با اسم 'Horrid' معرفی میکنن، و Coquettte احتمالاً اسم مستعار یکی از اعضای این گروهه، نه اینکه تنها بازیگر ماجرا باشه."
و در آخر گفتن:
"این گروه به چندتا دامنه مرتبط با جرم و خلاف وصل میشه، و بهنظر میرسه مثل یه نوع مرکز رشد برای خلافکارای سایبری تازه کار عمل میکنه؛ هم ابزار بهشون میده، هم زیرساخت لازم...."
👍3
یه باگ جدید توی WinRAR پیدا شده که به هکرها این امکان رو میده از یکی از ویژگی های امنیتی اصلی ویندوز رد بشن و هر کدی که بخوان روی سیستم قربانی اجرا کنن.
این باگ با کد CVE-2025-31334 شناخته میشه و روی تمام نسخه های WinRAR قبل از نسخه ۷.۱۱ اثر میذاره. امتیاز امنیتی ای که براش در نظر گرفتن ۶.۸ از ۱۰ هست، یعنی باگ خطرناکیه و پتانسیل حمله جدی داره.
این باگ، سیستم امنیتی «Mark of the Web (MotW)» توی ویندوز رو هدف گرفته. این سیستم، فایلهایی که از منابع مشکوک (مثلاً اینترنت) دانلود شدن رو علامتگذاری میکنه و اجازه نمیده راحت اجرا بشن.
هکرها میتونن از یه نقطه ضعف تو نحوه برخورد WinRAR با Symbolic Link ها سوءاستفاده کنن. این لینک ها درواقع مثل میانبرهایی هستن که به فایل یا فولدر دیگه ای اشاره میکنن. با یه ترفند خاص، هکرها میتونن هشدارهای امنیتی ویندوز رو دور بزنن.
چجوری حمله اتفاق میوفته؟
کافیه کاربر یه فایل فشرده آلوده رو باز کنه، یا وارد یه صفحه آلوده بشه که اون فایل فشرده رو میزبانی میکنه. اگه حمله موفق باشه، هکر میتونه سیستم قربانی رو تو همون سطح دسترسیای که کاربر وارد شده، کنترل کنه.
فعلاً مدرکی از سوءاستفادهی فعال از این باگ دیده نشده، ولی باگ های مشابه (مثل CVE-2023-38831 تو سال ۲۰۲۳) قبلاً برای پخش بدافزارهایی مثل DarkMe و Agent Tesla استفاده شدن.
هر نسخهای از WinRAR که قدیمی تر از نسخه ۷.۱۱ باشه این باگ رو داره. خوشبختانه شرکت RARLAB که WinRAR رو توسعه میده، تو آخرین آپدیتش این باگ رو درست کرده. پس توصیه اکید اینه که همین الآن WinRAR رو آپدیت کنین...
بیاید و WinRAR رو حتماً به نسخه ۷.۱۱ یا بالاتر از سایت رسمی RARLAB آپدیت کنین.
وقتی یه کاربر یه فایل فشرده آلوده رو باز میکنه که توش یه Symbolic Link خاص طراحی شده، WinRAR اون تگ امنیتی MotW رو به فایل مقصد لینک اعمال نمیکنه. این یعنی بدافزار میتونه بدون اینکه ویندوز اخطار بده اجرا بشه.
ایجاد Symbolic Link بهصورت پیش فرض تو ویندوز نیاز به دسترسی مدیر (Administrator) داره، که باعث میشه همه سیستمها به راحتی قابل نفوذ نباشن. ولی اگه سیستم قبلاً هک شده باشه یا دسترسیها باز باشه، خطر هنوز پابرجاست.
یه سری پیشنهاد های امنیتی هست :
محدود کردن ساخت Symbolic Link: فقط ادمینهای مورد اعتماد باید اجازه ساخت چنین لینکهایی رو داشته باشن، مخصوصاً تو شرکتها.
مراقب باشین چه فایلی رو باز میکنین: فایل فشردهای که از جای مشکوک اومده رو اصلاً باز نکنین، حتی اگه ظاهرش خیلی بیآزاره.
این باگ توسط Taihei Shimamine از شرکت Mitsui Bussan Secure Directions کشف شده، با هماهنگی JPCERT/CC و مرکز هشدار سریع امنیت اطلاعات.
این ماجرا نشون میده که نرمافزارهای فشردهسازی مثل WinRAR که کاربرد خیلی زیادی دارن، چقدر باید مراقب باشن که بین راحتیِ کاربر و امنیت، تعادل ایجاد کنن. چون هکرها بیشتر دنبال نرمافزارهاییان که میلیونها نفر استفاده میکنن — مثل همین WinRAR که بالای ۵۰۰ میلیون کاربر داره...
این باگ یه زنگ خطر جدیه درباره مشکلاتی که باعث دور زدن سیستم MotW میشن. قبلاً هم نرمافزارهایی مثل 7-Zip با باگی مثل CVE-2025-0411 همین بلا سرشون اومده بود. این جور حملات باعث میشن ویروس یا بدافزار بدون اینکه حتی آنتیویروس متوجه بشه، اجرا بشه؛ به اینا میگن "حملات بدون فایل" (Fileless Attacks).
رفتار سریع شرکت RARLAB برای رفع این مشکل، شبیه واکنشی بود که به باگ مهم CVE-2023-38831 تو سال قبل نشون داده بود. ولی اینکه هی این باگها تکرار میشن، نشون میده که باید همیشه نرمافزارها رو بررسی کرد و بهروز نگه داشت.
درسته که این باگ به خاطر نیاز به دسترسی ادمین و شرایط خاص، فوراً قابل سواستفاده نیست، ولی نباید شوخی گرفتش.
این باگ با کد CVE-2025-31334 شناخته میشه و روی تمام نسخه های WinRAR قبل از نسخه ۷.۱۱ اثر میذاره. امتیاز امنیتی ای که براش در نظر گرفتن ۶.۸ از ۱۰ هست، یعنی باگ خطرناکیه و پتانسیل حمله جدی داره.
این باگ، سیستم امنیتی «Mark of the Web (MotW)» توی ویندوز رو هدف گرفته. این سیستم، فایلهایی که از منابع مشکوک (مثلاً اینترنت) دانلود شدن رو علامتگذاری میکنه و اجازه نمیده راحت اجرا بشن.
هکرها میتونن از یه نقطه ضعف تو نحوه برخورد WinRAR با Symbolic Link ها سوءاستفاده کنن. این لینک ها درواقع مثل میانبرهایی هستن که به فایل یا فولدر دیگه ای اشاره میکنن. با یه ترفند خاص، هکرها میتونن هشدارهای امنیتی ویندوز رو دور بزنن.
چجوری حمله اتفاق میوفته؟
کافیه کاربر یه فایل فشرده آلوده رو باز کنه، یا وارد یه صفحه آلوده بشه که اون فایل فشرده رو میزبانی میکنه. اگه حمله موفق باشه، هکر میتونه سیستم قربانی رو تو همون سطح دسترسیای که کاربر وارد شده، کنترل کنه.
فعلاً مدرکی از سوءاستفادهی فعال از این باگ دیده نشده، ولی باگ های مشابه (مثل CVE-2023-38831 تو سال ۲۰۲۳) قبلاً برای پخش بدافزارهایی مثل DarkMe و Agent Tesla استفاده شدن.
هر نسخهای از WinRAR که قدیمی تر از نسخه ۷.۱۱ باشه این باگ رو داره. خوشبختانه شرکت RARLAB که WinRAR رو توسعه میده، تو آخرین آپدیتش این باگ رو درست کرده. پس توصیه اکید اینه که همین الآن WinRAR رو آپدیت کنین...
بیاید و WinRAR رو حتماً به نسخه ۷.۱۱ یا بالاتر از سایت رسمی RARLAB آپدیت کنین.
وقتی یه کاربر یه فایل فشرده آلوده رو باز میکنه که توش یه Symbolic Link خاص طراحی شده، WinRAR اون تگ امنیتی MotW رو به فایل مقصد لینک اعمال نمیکنه. این یعنی بدافزار میتونه بدون اینکه ویندوز اخطار بده اجرا بشه.
ایجاد Symbolic Link بهصورت پیش فرض تو ویندوز نیاز به دسترسی مدیر (Administrator) داره، که باعث میشه همه سیستمها به راحتی قابل نفوذ نباشن. ولی اگه سیستم قبلاً هک شده باشه یا دسترسیها باز باشه، خطر هنوز پابرجاست.
یه سری پیشنهاد های امنیتی هست :
محدود کردن ساخت Symbolic Link: فقط ادمینهای مورد اعتماد باید اجازه ساخت چنین لینکهایی رو داشته باشن، مخصوصاً تو شرکتها.
مراقب باشین چه فایلی رو باز میکنین: فایل فشردهای که از جای مشکوک اومده رو اصلاً باز نکنین، حتی اگه ظاهرش خیلی بیآزاره.
این باگ توسط Taihei Shimamine از شرکت Mitsui Bussan Secure Directions کشف شده، با هماهنگی JPCERT/CC و مرکز هشدار سریع امنیت اطلاعات.
این ماجرا نشون میده که نرمافزارهای فشردهسازی مثل WinRAR که کاربرد خیلی زیادی دارن، چقدر باید مراقب باشن که بین راحتیِ کاربر و امنیت، تعادل ایجاد کنن. چون هکرها بیشتر دنبال نرمافزارهاییان که میلیونها نفر استفاده میکنن — مثل همین WinRAR که بالای ۵۰۰ میلیون کاربر داره...
این باگ یه زنگ خطر جدیه درباره مشکلاتی که باعث دور زدن سیستم MotW میشن. قبلاً هم نرمافزارهایی مثل 7-Zip با باگی مثل CVE-2025-0411 همین بلا سرشون اومده بود. این جور حملات باعث میشن ویروس یا بدافزار بدون اینکه حتی آنتیویروس متوجه بشه، اجرا بشه؛ به اینا میگن "حملات بدون فایل" (Fileless Attacks).
رفتار سریع شرکت RARLAB برای رفع این مشکل، شبیه واکنشی بود که به باگ مهم CVE-2023-38831 تو سال قبل نشون داده بود. ولی اینکه هی این باگها تکرار میشن، نشون میده که باید همیشه نرمافزارها رو بررسی کرد و بهروز نگه داشت.
درسته که این باگ به خاطر نیاز به دسترسی ادمین و شرایط خاص، فوراً قابل سواستفاده نیست، ولی نباید شوخی گرفتش.
👍5
آژانس های امنیت سایبری از کشور های استرالیا، کانادا، نیوزیلند و آمریکا یه اخطاریه مشترک دادن درباره یه روش دردسرساز به اسم «فَست فلوکس» که بعضی هکرها ازش استفاده میکنن تا مخفی بمونن و سرور C2 رو قایم کنن.
"فَست فلوکس یه تکنیکه که برای مخفی کردن مکان سرور های مخرب استفاده میشه، اونم با عوض کردن سریع رکورد های DNS که به یه دامین خاص وصلن"، اینو آژانس ها گفتن. "این تهدید از یه نقطه ضعف معمول تو سیستم های دفاعی شبکه سوء استفاده میکنه، واسه همین هم ردگیری و بستن این فعالیت های مخرب خیلی سخت میشه."
این هشدار توسط سازمانهای بزرگی منتشر شده مثل: سازمان امنیت سایبری و زیرساخت آمریکا (CISA)، آژانس امنیت ملی آمریکا (NSA)، افبیآی، مرکز امنیت سایبری استرالیا، مرکز امنیت سایبری کانادا و مرکز امنیت سایبری نیوزیلند.
تو چند سال اخیر، کلی گروه هکری از این روش استفاده کردن، مخصوصاً اونایی که به گروه های مثل Gamaredon، CryptoChameleon و Raspberry Robin وصلن، تا سرورهای مخرب شون راحت تر از دست سیستم های امنیتی و پلیس فرار کنن.
ماجرا چیه؟ طرف میاد کلی آی پی مختلف رو استفاده میکنه و سریع سریع اونا رو عوض میکنه، ولی همشون به یه دامین مخرب اشاره دارن. اولین بار سال ۲۰۰۷ این روش تو پروژه ای به اسم Honeynet کشف شد.
این کار یا به صورت «سینگل فلوکس» انجام میشه، یعنی یه دامین به کلی آیپی مختلف وصله، یا به صورت «دابل فلوکس»، که توش هم آی پی ها و هم سرور های DNS که وظیفه پاسخ به اون دامین رو دارن، دائم عوض میشن. اینجوری هم بیشتر پنهون میشن، هم محکم تر.
آژانس ها گفتن این فست فلوکس فقط واسه قایم کردن سرورها نیست، بلکه یه زیرساخت با دوام و مقاوم واسه C2 درست میکنه که در برابر تلاش های شناسایی و نابود کردن، سرسخت بمونه.
ولی تموم ماجرا این نیست. فست فلوکس تو خیلی کارای دیگه هم نقش داره، مثلا واسه میزبانی سایت های فیشینگ یا حتی پخش کردن بدافزارها.
حالا واسه مقابله با این قضیه، آژانس ها پیشنهاد دادن که سازمان ها بیان آی پی ها رو بلاک کنن، دامین های مشکوک رو به اصطلاح «سینک هول» کنن (یعنی یه جورایی بندازن تو یه چاه بی ته که دیگه کار نکنن)، ترافیک رفت و آمد به دامین ها و آی پی هایی که مشکوک هستن رو فیلتر کنن، سیستم های مانیتورینگ قوی تر راه بندازن و آموزش های ضد فیشینگ بدن.
در نهایت، آژانس ها گفتن: "فست فلوکس یه تهدید همیشگی برای امنیت شبکه هاست که با زیرساخت های در حال تغییر سریع، فعالیت های مخرب رو قایم میکنه. با اجرای استراتژی های درست برای تشخیص و مقابله، سازمان ها میتونن تا حد زیادی جلوی آسیب دیدن از تهدیدهای مبتنی بر فست فلوکس رو بگیرن."
"فَست فلوکس یه تکنیکه که برای مخفی کردن مکان سرور های مخرب استفاده میشه، اونم با عوض کردن سریع رکورد های DNS که به یه دامین خاص وصلن"، اینو آژانس ها گفتن. "این تهدید از یه نقطه ضعف معمول تو سیستم های دفاعی شبکه سوء استفاده میکنه، واسه همین هم ردگیری و بستن این فعالیت های مخرب خیلی سخت میشه."
این هشدار توسط سازمانهای بزرگی منتشر شده مثل: سازمان امنیت سایبری و زیرساخت آمریکا (CISA)، آژانس امنیت ملی آمریکا (NSA)، افبیآی، مرکز امنیت سایبری استرالیا، مرکز امنیت سایبری کانادا و مرکز امنیت سایبری نیوزیلند.
تو چند سال اخیر، کلی گروه هکری از این روش استفاده کردن، مخصوصاً اونایی که به گروه های مثل Gamaredon، CryptoChameleon و Raspberry Robin وصلن، تا سرورهای مخرب شون راحت تر از دست سیستم های امنیتی و پلیس فرار کنن.
ماجرا چیه؟ طرف میاد کلی آی پی مختلف رو استفاده میکنه و سریع سریع اونا رو عوض میکنه، ولی همشون به یه دامین مخرب اشاره دارن. اولین بار سال ۲۰۰۷ این روش تو پروژه ای به اسم Honeynet کشف شد.
این کار یا به صورت «سینگل فلوکس» انجام میشه، یعنی یه دامین به کلی آیپی مختلف وصله، یا به صورت «دابل فلوکس»، که توش هم آی پی ها و هم سرور های DNS که وظیفه پاسخ به اون دامین رو دارن، دائم عوض میشن. اینجوری هم بیشتر پنهون میشن، هم محکم تر.
آژانس ها گفتن این فست فلوکس فقط واسه قایم کردن سرورها نیست، بلکه یه زیرساخت با دوام و مقاوم واسه C2 درست میکنه که در برابر تلاش های شناسایی و نابود کردن، سرسخت بمونه.
ولی تموم ماجرا این نیست. فست فلوکس تو خیلی کارای دیگه هم نقش داره، مثلا واسه میزبانی سایت های فیشینگ یا حتی پخش کردن بدافزارها.
حالا واسه مقابله با این قضیه، آژانس ها پیشنهاد دادن که سازمان ها بیان آی پی ها رو بلاک کنن، دامین های مشکوک رو به اصطلاح «سینک هول» کنن (یعنی یه جورایی بندازن تو یه چاه بی ته که دیگه کار نکنن)، ترافیک رفت و آمد به دامین ها و آی پی هایی که مشکوک هستن رو فیلتر کنن، سیستم های مانیتورینگ قوی تر راه بندازن و آموزش های ضد فیشینگ بدن.
در نهایت، آژانس ها گفتن: "فست فلوکس یه تهدید همیشگی برای امنیت شبکه هاست که با زیرساخت های در حال تغییر سریع، فعالیت های مخرب رو قایم میکنه. با اجرای استراتژی های درست برای تشخیص و مقابله، سازمان ها میتونن تا حد زیادی جلوی آسیب دیدن از تهدیدهای مبتنی بر فست فلوکس رو بگیرن."
یه سری افزونه (extension) مرورگر هستن که واقعاً کارای ناجوری میکنن ...
بعضیاشون نهتنها کار خاصی انجام نمیدن، بلکه کاربر رو یواشکی میفرستن تو سایت های شرطبندی، یا هشدار جعلی ویروس اپل نشون میدن، یا اینکه خریدای کاربر رو میدزدن و از طریق لینکهای افیلیت (همونهایی که پورسانت میدن) میفرستن تا پول به جیب بزنن.
بدتر از همه اینه که بعضیاشون حتی یواشکی یه آی فریم نامرئی تو صفحه جا میندازن که یه آیدی مخصوص توش هست و میتونه کاربر رو شناسایی و ردیابی کنه، بدون اینکه بفهمه...
همه این افزونهها توسط یه آدم خرابکار با اسم کاربری "mre1903" منتشر شدن. اسامیشون ایناست:
CalSyncMaster
VPN - Grab a Proxy - Free
GimmeGimme
Five Nights at Freddy's
Little Alchemy 2
Bubble Spinner
1v1.LOL
Krunker io Game
تحقیقگر امنیتی به اسم Kush Pandya از شرکت Socket گفته:
"افزونههای مرورگر هنوزم یکی از مسیرهای محبوب برای حمله هستن، چون هم از نظر کاربرا قابل اعتمادن، هم دسترسیهای خیلی زیادی دارن، و هم میتونن تو همون محیط امن مرورگر اجرا بشن."
بعدش اضافه کرده: "ما داریم میبینیم که تهدیدها از یه چیز ساده مثل ریدایرکت های الکی، سریع پیشرفت میکنن و میرسن به دزدیدن اطلاعات لاگین با استفاده از OAuth. این نشون میده که چقدر سریع این حملات دارن پیشرفت میکنن و بزرگ میشن."
و از همه بدتر، اون زیرساخت ریدایرکت کردن (که اولش فقط برای پرتکردن کاربر به سایت شرطبندی استفاده میشد)، خیلی راحت میتونه برای کارای بدتری هم استفاده بشه مثل ردیابی کامل کاربر، دزدیدن رمز و اطلاعات حسابهاش، یا حتی پخش بدافزار و ویروس.
بعضیاشون نهتنها کار خاصی انجام نمیدن، بلکه کاربر رو یواشکی میفرستن تو سایت های شرطبندی، یا هشدار جعلی ویروس اپل نشون میدن، یا اینکه خریدای کاربر رو میدزدن و از طریق لینکهای افیلیت (همونهایی که پورسانت میدن) میفرستن تا پول به جیب بزنن.
بدتر از همه اینه که بعضیاشون حتی یواشکی یه آی فریم نامرئی تو صفحه جا میندازن که یه آیدی مخصوص توش هست و میتونه کاربر رو شناسایی و ردیابی کنه، بدون اینکه بفهمه...
همه این افزونهها توسط یه آدم خرابکار با اسم کاربری "mre1903" منتشر شدن. اسامیشون ایناست:
CalSyncMaster
VPN - Grab a Proxy - Free
GimmeGimme
Five Nights at Freddy's
Little Alchemy 2
Bubble Spinner
1v1.LOL
Krunker io Game
تحقیقگر امنیتی به اسم Kush Pandya از شرکت Socket گفته:
"افزونههای مرورگر هنوزم یکی از مسیرهای محبوب برای حمله هستن، چون هم از نظر کاربرا قابل اعتمادن، هم دسترسیهای خیلی زیادی دارن، و هم میتونن تو همون محیط امن مرورگر اجرا بشن."
بعدش اضافه کرده: "ما داریم میبینیم که تهدیدها از یه چیز ساده مثل ریدایرکت های الکی، سریع پیشرفت میکنن و میرسن به دزدیدن اطلاعات لاگین با استفاده از OAuth. این نشون میده که چقدر سریع این حملات دارن پیشرفت میکنن و بزرگ میشن."
و از همه بدتر، اون زیرساخت ریدایرکت کردن (که اولش فقط برای پرتکردن کاربر به سایت شرطبندی استفاده میشد)، خیلی راحت میتونه برای کارای بدتری هم استفاده بشه مثل ردیابی کامل کاربر، دزدیدن رمز و اطلاعات حسابهاش، یا حتی پخش بدافزار و ویروس.
❤🔥3
هکرها دارن وارد یه فاز جدیدی تو ساخت بات نتها میشن؛ جایی که از دراپرهای چندمعماری، ارتباط با سرور کنترل از طریق DoH و پِیلودهای رمز شده با XOR استفاده میکنن تا از دست IDS های قدیمی در برن.
تو این دسته، بدافزار RondoDox کنار تهدیدهایی مثل RustoBot و Mozi قرار میگیره؛ همگی ساخته شدن تا از ضعف امنیتی تو دستگاههای IoT و مودم ها سوءاستفاده کنن.
از طرفی RondoDox میاد چند پوشه مهم لینوکسی مثل /usr/bin و /usr/sbin رو اسکن میکنه و فایل های اجرایی حساسی مثل iptables, passwd, reboot و ... رو با اسمهایی مثل jsuJpf یا gaajct تغییر میده تا بازیابیشون سخت بشه.
بعد از نصب، با سرور 83.150.218.93 تماس میگیره تا دستور حملات DDoS با پروتکل های HTTP، UDP و TCP رو بگیره.
برای اینکه ترافیکش شناسایی نشه، خودش رو جا میزنه جای برنامه هایی مثل:
Minecraft
Fortnite
GTA
Roblox
Discord
OpenVPN
WireGuard
RakNet
STUN، DTLS و RTC
ایدهش اینه که توی ترافیک طبیعی گم بشه و شناسایی نشه.
طبق گفته "Li"، RondoDox یه بدافزار پیشرفته هست با ویژگی هایی مثل:
ضدمکانیزم تحلیل
کانفیگ رمز شده با XOR
لایبرریهای اختصاصی
سیستم موندگاری قوی
که باعث میشن راحت مخفی بمونه و کنترل بلندمدت روی سیستم داشته باشه.
تو این دسته، بدافزار RondoDox کنار تهدیدهایی مثل RustoBot و Mozi قرار میگیره؛ همگی ساخته شدن تا از ضعف امنیتی تو دستگاههای IoT و مودم ها سوءاستفاده کنن.
از طرفی RondoDox میاد چند پوشه مهم لینوکسی مثل /usr/bin و /usr/sbin رو اسکن میکنه و فایل های اجرایی حساسی مثل iptables, passwd, reboot و ... رو با اسمهایی مثل jsuJpf یا gaajct تغییر میده تا بازیابیشون سخت بشه.
بعد از نصب، با سرور 83.150.218.93 تماس میگیره تا دستور حملات DDoS با پروتکل های HTTP، UDP و TCP رو بگیره.
برای اینکه ترافیکش شناسایی نشه، خودش رو جا میزنه جای برنامه هایی مثل:
Minecraft
Fortnite
GTA
Roblox
Discord
OpenVPN
WireGuard
RakNet
STUN، DTLS و RTC
ایدهش اینه که توی ترافیک طبیعی گم بشه و شناسایی نشه.
طبق گفته "Li"، RondoDox یه بدافزار پیشرفته هست با ویژگی هایی مثل:
ضدمکانیزم تحلیل
کانفیگ رمز شده با XOR
لایبرریهای اختصاصی
سیستم موندگاری قوی
که باعث میشن راحت مخفی بمونه و کنترل بلندمدت روی سیستم داشته باشه.
یه گروه هکری معروف که فکر میکنن ریشه اون برمیگرده به هند، دیده شده که یکی از وزارتخانه های امور خارجه اروپا رو با یه بدافزار هدف گرفته که توانایی داره اطلاعات حساس رو از سیستم قربانی بکشه بیرون.
مرکز تحقیقات پیشرفته Trellix گفته این حمله توسط یه گروه APT پیشرفته به اسم DoNot Team انجام شده. این گروه اسم های دیگهای هم داره، مثل APT‑C‑35، Mint Tempest، Origami Elephant، SECTOR02 و Viceroy Tiger، و از سال ۲۰۱۶ تا الان فعاله.
محقق های Trellix گفتن که این گروه عادت داره از بدافزارهای مخصوص ویندوز استفاده کنه که خودشون نوشتنش، مثل بک دور هایی با اسم YTY و GEdit. این بدافزارها معمولاً با ایمیل های فیشینگ هدفمند (spear phishing) یا فایل های مخرب پخش میشن. هدف اصلیشون معمولاً سازمانهای دولتی، وزارتخانه ها، ارتش و سازمانهای غیردولتی توی جنوب آسیا و اروپا هستن.
تو این حمله، طرف مقابل یه ایمیل دریافت کرده از یه حساب جعلی Gmail با اسم مشکوک، که مثلاً خودش رو زده به عنوان تیم دفاعی. موضوع ایمیل هم یه چیزی بوده مثل "بازدید وابسته نظامی ایتالیا از داکا، بنگلادش" تا قشنگ رسمی و واقعی به نظر برسه. توی ایمیل یه لینک Google Drive گذاشتن که وقتی روش کلیک میکنی، یه فایل RAR به اسم SyClrLtr.rar دانلود میکنی.
داخل این فایل RAR، یه فایل اجرایی هست به اسم notflog.exe که آیکونش شبیه فایل PDF طراحی شده تا کسی شک نکنه. وقتی این فایل اجرا بشه، یه اسکریپت batch میسازه و توی پوشه Temp ذخیره میکنه و بعد یه scheduled task به اسم "PerformTaskMaintain" درست میکنه که هر ۱۰ دقیقه یهبار اجرا میشه. این بدافزار همون چیزیه که بهش میگن LoptikMod، که از سال ۲۰۱۸ تا حالا فقط گروه DoNot ازش استفاده کرده.
محققها بررسی کردن و دیدن توی فایل اجرایی یه استرینگ وجود داره که نوشته "Loptik" که نشون میده این همون بدافزار LoptikMod هست. از بین ۶۵۳ تابع داخل این فایل، حداقل ۱۹ تا از اونا قبلاً به عنوان بخشهای مخرب شناسایی شدن. خیلی از رشتهها به صورت رمز شده بودن و بعضی قسمت ها هم به شکل packed بودن، که اینا همش برای سخت تر کردن تحلیل انجام شده.
این فایل بدافزار همچنین از تابعهای runtime مثل LoadLibrary و GetProcAddress استفاده میکنه تا APIهای لازم رو از سیستم فراخوانی کنه بدون اینکه مستقیم توی کد دیده بشه. DLLهایی مثل wininet.dll، advapi32.dll، winhttp.dll، urlmon.dll و ws2_32.dll هم بارگذاری میشن.
وقتی بدافزار اجرا میشه، اول یه mutex به اسم "08808" میسازه تا مطمئن بشه فقط یه نمونه از برنامه در حال اجراست. بعد با استفاده از یه دستور سطح پایین (IN instruction) بررسی میکنه که آیا توی یه ماشین مجازی داره اجرا میشه یا نه. بعد یه پوشه موقتی به اسم %LocalAppdata%\TEMP\FROX\ درست میکنه و یه فایل batch داخل اون میریزه.
برای اینکه مطمئن بشه بعد از ری استارت سیستم هم میتونه اجرا بشه، یه task دیگه هم درست میکنه به اسم "MicorsoftVelocity" (که خیلی شبیه Microsoft نوشته شده ولی عمداً اشتباهه تا گمراه کنه) که وظیفه اون اجرای یه DLL مخرب به اسم socker.dll هست.
این بدافزار اطلاعات سیستم رو هم جمعآوری میکنه، مثل مدل CPU، نسخه ویندوز، اسم کاربر، اسم دستگاه، شناسه پردازنده، لیست نرمافزارهای نصب شده و ... بعد این اطلاعات رو با الگوریتم AES رمزگذاری میکنه و تبدیلشون میکنه به Base64 و از طریق HTTP POST میفرسته به سرور فرماندهی که آدرسش هست totalservices[.]info.
ارتباط با این سرور از طریق HTTPS انجام میشه و آی پیش هم 64.52.80.252 هست. احتمال داره از این طریق دستورهای بیشتری هم به بدافزار فرستاده بشه، یا فایلهای جدیدی مثل socker.dll دانلود و اجرا بشن.
البته در زمان بررسی Trellix، این سرور C2 (فرماندهی و کنترل) از کار افتاده بوده. این میتونه به این معنی باشه که یا موقتاً خاموشش کردن یا اینکه هکرها کلاً رفتن سراغ یه سرور جدید.
این گروه APT که به اسم DoNot شناخته میشن، از سال ۲۰۱۶ تا حالا فعال بوده و بیشتر توی منطقهی جنوب آسیا هدفگذاری میکردن. ولی این حمله جدید که مربوط به یه نهاد دولتی اروپاییه، نشون میده که هدف هاشون حالا گسترده تر شده و دیگه فقط به آسیا محدود نمیشن.
تاکتیک هاشون هم به روز شده. از spear-phishing پیشرفته، فایلهای آرشیو شده فریبنده، و بدافزارهای سفارشی شده استفاده میکنن. همچنین از سرویسهایی مثل Google Drive برای پخش بدافزار استفاده میکنن که این نشون میده چقدر زرنگ و خلاق هستن .
مرکز تحقیقات پیشرفته Trellix گفته این حمله توسط یه گروه APT پیشرفته به اسم DoNot Team انجام شده. این گروه اسم های دیگهای هم داره، مثل APT‑C‑35، Mint Tempest، Origami Elephant، SECTOR02 و Viceroy Tiger، و از سال ۲۰۱۶ تا الان فعاله.
محقق های Trellix گفتن که این گروه عادت داره از بدافزارهای مخصوص ویندوز استفاده کنه که خودشون نوشتنش، مثل بک دور هایی با اسم YTY و GEdit. این بدافزارها معمولاً با ایمیل های فیشینگ هدفمند (spear phishing) یا فایل های مخرب پخش میشن. هدف اصلیشون معمولاً سازمانهای دولتی، وزارتخانه ها، ارتش و سازمانهای غیردولتی توی جنوب آسیا و اروپا هستن.
تو این حمله، طرف مقابل یه ایمیل دریافت کرده از یه حساب جعلی Gmail با اسم مشکوک، که مثلاً خودش رو زده به عنوان تیم دفاعی. موضوع ایمیل هم یه چیزی بوده مثل "بازدید وابسته نظامی ایتالیا از داکا، بنگلادش" تا قشنگ رسمی و واقعی به نظر برسه. توی ایمیل یه لینک Google Drive گذاشتن که وقتی روش کلیک میکنی، یه فایل RAR به اسم SyClrLtr.rar دانلود میکنی.
داخل این فایل RAR، یه فایل اجرایی هست به اسم notflog.exe که آیکونش شبیه فایل PDF طراحی شده تا کسی شک نکنه. وقتی این فایل اجرا بشه، یه اسکریپت batch میسازه و توی پوشه Temp ذخیره میکنه و بعد یه scheduled task به اسم "PerformTaskMaintain" درست میکنه که هر ۱۰ دقیقه یهبار اجرا میشه. این بدافزار همون چیزیه که بهش میگن LoptikMod، که از سال ۲۰۱۸ تا حالا فقط گروه DoNot ازش استفاده کرده.
محققها بررسی کردن و دیدن توی فایل اجرایی یه استرینگ وجود داره که نوشته "Loptik" که نشون میده این همون بدافزار LoptikMod هست. از بین ۶۵۳ تابع داخل این فایل، حداقل ۱۹ تا از اونا قبلاً به عنوان بخشهای مخرب شناسایی شدن. خیلی از رشتهها به صورت رمز شده بودن و بعضی قسمت ها هم به شکل packed بودن، که اینا همش برای سخت تر کردن تحلیل انجام شده.
این فایل بدافزار همچنین از تابعهای runtime مثل LoadLibrary و GetProcAddress استفاده میکنه تا APIهای لازم رو از سیستم فراخوانی کنه بدون اینکه مستقیم توی کد دیده بشه. DLLهایی مثل wininet.dll، advapi32.dll، winhttp.dll، urlmon.dll و ws2_32.dll هم بارگذاری میشن.
وقتی بدافزار اجرا میشه، اول یه mutex به اسم "08808" میسازه تا مطمئن بشه فقط یه نمونه از برنامه در حال اجراست. بعد با استفاده از یه دستور سطح پایین (IN instruction) بررسی میکنه که آیا توی یه ماشین مجازی داره اجرا میشه یا نه. بعد یه پوشه موقتی به اسم %LocalAppdata%\TEMP\FROX\ درست میکنه و یه فایل batch داخل اون میریزه.
برای اینکه مطمئن بشه بعد از ری استارت سیستم هم میتونه اجرا بشه، یه task دیگه هم درست میکنه به اسم "MicorsoftVelocity" (که خیلی شبیه Microsoft نوشته شده ولی عمداً اشتباهه تا گمراه کنه) که وظیفه اون اجرای یه DLL مخرب به اسم socker.dll هست.
این بدافزار اطلاعات سیستم رو هم جمعآوری میکنه، مثل مدل CPU، نسخه ویندوز، اسم کاربر، اسم دستگاه، شناسه پردازنده، لیست نرمافزارهای نصب شده و ... بعد این اطلاعات رو با الگوریتم AES رمزگذاری میکنه و تبدیلشون میکنه به Base64 و از طریق HTTP POST میفرسته به سرور فرماندهی که آدرسش هست totalservices[.]info.
ارتباط با این سرور از طریق HTTPS انجام میشه و آی پیش هم 64.52.80.252 هست. احتمال داره از این طریق دستورهای بیشتری هم به بدافزار فرستاده بشه، یا فایلهای جدیدی مثل socker.dll دانلود و اجرا بشن.
البته در زمان بررسی Trellix، این سرور C2 (فرماندهی و کنترل) از کار افتاده بوده. این میتونه به این معنی باشه که یا موقتاً خاموشش کردن یا اینکه هکرها کلاً رفتن سراغ یه سرور جدید.
این گروه APT که به اسم DoNot شناخته میشن، از سال ۲۰۱۶ تا حالا فعال بوده و بیشتر توی منطقهی جنوب آسیا هدفگذاری میکردن. ولی این حمله جدید که مربوط به یه نهاد دولتی اروپاییه، نشون میده که هدف هاشون حالا گسترده تر شده و دیگه فقط به آسیا محدود نمیشن.
تاکتیک هاشون هم به روز شده. از spear-phishing پیشرفته، فایلهای آرشیو شده فریبنده، و بدافزارهای سفارشی شده استفاده میکنن. همچنین از سرویسهایی مثل Google Drive برای پخش بدافزار استفاده میکنن که این نشون میده چقدر زرنگ و خلاق هستن .
❤4🆒2
توی یه خبر لینوکسی جدید wayland که یه جایگزین اوپن سورس برای پروتکل و معماری سیستم پنجرهای X11 هست، یکی دو روز پیش به نسخهٔ ۱.۲۴ آپدیت شده و کلی ویژگی و بهبود جدید بهش اضافه شده.
تو نسخهٔ Wayland 1.24 یه رابط جدید به اسم wl_fixes اضافه شده که اجازه میده بتونی یه شیٔ wl_registry رو با یه درخواست جدید حذف کنی. همین طور تو این نسخه، دوتا تابع جدید به اسم های wl_proxy_get_interface() و wl_resource_get_interface() معرفی شدن که بهت اجازه میدن رابط شیٔ (یعنی wl_interface) رو دریافت کنی. دوتا تابع دیگه به اسمهای wl_display_dispatch_queue_timeout() و wl_display_dispatch_timeout() هم اضافه شدن که باهاشون میتونی برای dispatch کردن eventها یه timeout تنظیم کنی.
نسخهٔ جدید Wayland همینطور یه وضعیت جدید برای wl_keyboard.key معرفی کرده به اسم repeated state که باعث میشه کامپوزیتور (مدیر پنجرهها) خودش مسئول تکرار کلیدها بشه. این موضوع توی سشن های دسکتاپ از راه دور خیلی کاربردیه. همچنین یه تابع دیگه هم به اسم wl_resource_post_error_vargs() معرفی شده که یه جایگزین برای wl_resource_post_error() هست، مخصوص وقتی که کامپوزیتور از قبل یه va_list داشته باشه.
علاوه بر اینها، تو این نسخه دوتا تابع جدید به اسمهای wl_shm_buffer_ref() و wl_shm_buffer_unref() هم اضافه شدن که بهت این امکان رو میدن به حافظهٔ پشت صحنهٔ wl_shm_buffer دسترسی داشته باشی حتی بعد از اینکه اون شیٔ پروتکلی از بین رفته باشه. مثلاً وقتی یه کلاینت (برنامهٔ کاربر) داره بسته میشه، این توابع خیلی به کارت میان.
همونطور که از یه نسخهٔ جدید Wayland انتظار میره، کلی باگ فیکس شده و بهبود توی تعریفهای پروتکل هم توش هست. اگه خواستی جزئیات بیشتر رو بخونی، میتونی بری سراغ اعلامیهٔ رسمی انتشار. همچنین اگه حال و حوصله داشتی، میتونی سورس Wayland 1.24 رو از سایت رسمی دانلود کنی و خودت از صفر کامپایلش کنی.
البته برای بیشتر کاربرا اصلاً نیازی نیست Wayland رو خودشون کامپایل کنن، چون معمولاً بهصورت پیش فرض روی توزیع لینوکسیشون نصب شده، حتی اگه خودشون ازش استفاده نکنن بنابراین فقط حواست باشه که نسخهٔ جدیدش کی وارد مخزن پایدار توزیعت میشه تا بتونی با یه آپدیت ساده از همهٔ ویژگیها و بهبودهای جدید لذت ببری.
تو نسخهٔ Wayland 1.24 یه رابط جدید به اسم wl_fixes اضافه شده که اجازه میده بتونی یه شیٔ wl_registry رو با یه درخواست جدید حذف کنی. همین طور تو این نسخه، دوتا تابع جدید به اسم های wl_proxy_get_interface() و wl_resource_get_interface() معرفی شدن که بهت اجازه میدن رابط شیٔ (یعنی wl_interface) رو دریافت کنی. دوتا تابع دیگه به اسمهای wl_display_dispatch_queue_timeout() و wl_display_dispatch_timeout() هم اضافه شدن که باهاشون میتونی برای dispatch کردن eventها یه timeout تنظیم کنی.
نسخهٔ جدید Wayland همینطور یه وضعیت جدید برای wl_keyboard.key معرفی کرده به اسم repeated state که باعث میشه کامپوزیتور (مدیر پنجرهها) خودش مسئول تکرار کلیدها بشه. این موضوع توی سشن های دسکتاپ از راه دور خیلی کاربردیه. همچنین یه تابع دیگه هم به اسم wl_resource_post_error_vargs() معرفی شده که یه جایگزین برای wl_resource_post_error() هست، مخصوص وقتی که کامپوزیتور از قبل یه va_list داشته باشه.
علاوه بر اینها، تو این نسخه دوتا تابع جدید به اسمهای wl_shm_buffer_ref() و wl_shm_buffer_unref() هم اضافه شدن که بهت این امکان رو میدن به حافظهٔ پشت صحنهٔ wl_shm_buffer دسترسی داشته باشی حتی بعد از اینکه اون شیٔ پروتکلی از بین رفته باشه. مثلاً وقتی یه کلاینت (برنامهٔ کاربر) داره بسته میشه، این توابع خیلی به کارت میان.
همونطور که از یه نسخهٔ جدید Wayland انتظار میره، کلی باگ فیکس شده و بهبود توی تعریفهای پروتکل هم توش هست. اگه خواستی جزئیات بیشتر رو بخونی، میتونی بری سراغ اعلامیهٔ رسمی انتشار. همچنین اگه حال و حوصله داشتی، میتونی سورس Wayland 1.24 رو از سایت رسمی دانلود کنی و خودت از صفر کامپایلش کنی.
البته برای بیشتر کاربرا اصلاً نیازی نیست Wayland رو خودشون کامپایل کنن، چون معمولاً بهصورت پیش فرض روی توزیع لینوکسیشون نصب شده، حتی اگه خودشون ازش استفاده نکنن بنابراین فقط حواست باشه که نسخهٔ جدیدش کی وارد مخزن پایدار توزیعت میشه تا بتونی با یه آپدیت ساده از همهٔ ویژگیها و بهبودهای جدید لذت ببری.
9to5Linux
Sway 1.11 Tiling Wayland Compositor Adds Support for Explicit Synchronization - 9to5Linux
Sway 1.11 tiling window manager and Wayland compositor is now available for download with explicit sync support and other changes.
👍1
۷ جولای ۲۰۲۵ گزارش شد دو تا نقص بحرانی این امکان رو به کاربرا میده که به سطح دسترسی root دست پیدا کنن.
همه توزیعهای اصلی لینوکس در برابر دو تا باگ توی sudo آسیبپذیر هستن. این دو آسیبپذیری به ترتیب این شناسهها رو دارن: CVE-2025-32462 و CVE-2025-32463. هرچند اون باگ اول امتیاز پایینی توی سیستم امتیازدهی آسیبپذیریها (CVSS) داره و فقط ۲.۸ هست، ولی دومی امتیاز ۹.۳ گرفته، که یعنی خیلی بحرانیه.
هر دو آسیبپذیری رو واحد تحقیقات امنیت سایبری شرکت Stratascale کشف کرده و میتونید گزارش کامل رو اینجا بخونید. یه نکته خیلی جالب توی این گزارش اینه که گفته شده: «CVE-2025-32462 بیش از ۱۲ ساله که توی کد وجود داشته بدون اینکه کسی متوجهش بشه.»
توی گزارش اومده که این CVE-2025-32462 «یه مشکله که از زمانی که گزینه host اضافه شده، یعنی ۱۲ سال پیش، جلوی چشم همه بوده ولی هیچکس ندیده. چون یه گزینه داخلیه، هیچ اکسپلویتی هم لازم نیست برای بالا بردن سطح دسترسی.» توی ادامه گزارش گفته میشه: «با این حال، این مشکل فقط در شرایطی قابل بهرهبرداریه که کانفیگهای خاصی استفاده شده باشن، مثلاً از دستورات Host یا Host_Alias، که معمولاً توی محیطهای شرکتی استفاده میشن.»
گزینه --host در sudo این امکان رو به کاربر میده که قوانین sudo مربوط به یه هاست خاص رو ببینه، و گزارش به جزئیات نشون میده که این گزینه چطور با اون باگها در تعامل قرار میگیره.
در مورد راه مقابله با این باگها، تنها کاری که باید بکنید اینه که مطمئن بشید نسخه sudo روی سیستمتون حداقل 1.9.17p1 یا بالاتر باشه. برای بررسی نسخه میتونید این دستور رو بزنید:
اگه نسخهتون پایینتر از 1.9.17p1 بود، فوراً بهروزرسانی کنید.
همه توزیعهای اصلی لینوکس در برابر دو تا باگ توی sudo آسیبپذیر هستن. این دو آسیبپذیری به ترتیب این شناسهها رو دارن: CVE-2025-32462 و CVE-2025-32463. هرچند اون باگ اول امتیاز پایینی توی سیستم امتیازدهی آسیبپذیریها (CVSS) داره و فقط ۲.۸ هست، ولی دومی امتیاز ۹.۳ گرفته، که یعنی خیلی بحرانیه.
هر دو آسیبپذیری رو واحد تحقیقات امنیت سایبری شرکت Stratascale کشف کرده و میتونید گزارش کامل رو اینجا بخونید. یه نکته خیلی جالب توی این گزارش اینه که گفته شده: «CVE-2025-32462 بیش از ۱۲ ساله که توی کد وجود داشته بدون اینکه کسی متوجهش بشه.»
توی گزارش اومده که این CVE-2025-32462 «یه مشکله که از زمانی که گزینه host اضافه شده، یعنی ۱۲ سال پیش، جلوی چشم همه بوده ولی هیچکس ندیده. چون یه گزینه داخلیه، هیچ اکسپلویتی هم لازم نیست برای بالا بردن سطح دسترسی.» توی ادامه گزارش گفته میشه: «با این حال، این مشکل فقط در شرایطی قابل بهرهبرداریه که کانفیگهای خاصی استفاده شده باشن، مثلاً از دستورات Host یا Host_Alias، که معمولاً توی محیطهای شرکتی استفاده میشن.»
گزینه --host در sudo این امکان رو به کاربر میده که قوانین sudo مربوط به یه هاست خاص رو ببینه، و گزارش به جزئیات نشون میده که این گزینه چطور با اون باگها در تعامل قرار میگیره.
در مورد راه مقابله با این باگها، تنها کاری که باید بکنید اینه که مطمئن بشید نسخه sudo روی سیستمتون حداقل 1.9.17p1 یا بالاتر باشه. برای بررسی نسخه میتونید این دستور رو بزنید:
sudo -V اگه نسخهتون پایینتر از 1.9.17p1 بود، فوراً بهروزرسانی کنید.
هکرهای چینی با Cobalt Strike و بکدورهای اختصاصی به صنعت نیمه رسانای تایوان حمله کردن. ۱۷ جولای ۲۰۲۵
صنعت نیمه رسانای تایوان هدف حمله فیشینگ سازمانیافته توسط سه گروه هکری چینی شده که پشتشون دولت چین هست.
شرکت امنیتی Proofpoint تو گزارشش نوشته: «هدف این حملات شامل شرکت های سازنده، طراح و تست کننده نیمه رساناها و مدارهای مجتمع میشه، حتی زنجیرهٔ تأمین تجهیزات و خدمات این صنعت و همینطور تحلیلگران مالی که تو بازار نیمه رسانای تایوان فعالیت دارن.»
این حملات که بین مارس تا ژوئن ۲۰۲۵ اتفاق افتاده، به سه گروه چینی نسبت داده شده با اسمهای رمز UNK_FistBump، UNK_DropPitch و UNK_SparkyCarp.
گروه UNK_FistBump با ایمیلهای فیشینگ کاریابی، به شرکتهای طراحی، بستهبندی، تولید و زنجیرهٔ تأمین نیمه رسانا حمله کرده. توی این حملات یا از Cobalt Strike استفاده شده یا یه بکدور اختصاصی به اسم Voldemort که قبلا هم برای حمله به بیش از ۷۰ سازمان جهانی استفاده شده.
ماجرا چیه؟
هکرها خودشون رو تو ایمیلها به مسئولان منابع انسانی شرکتهای هدف به عنوان یه دانشجوی فارغالتحصیل جا زدن و درخواست کار فرستادن. توی این ایمیلها (که احتمالاً از حسابهای هک شده ارسال شده) یه رزومهٔ تقلبی پیوست شده که ظاهرش PDF ، ولی در واقع یه فایل LNK هست (تکنیک جالبیه حقیقتا) وقتی قربانی این رزومه رو باز میکنه، یه فرآیند چندمرحلهای شروع میشه که یا Cobalt Strike نصب میشه یا بکدور Voldemort. همزمان یه سند فیک هم به قربانی نشون داده میشه که شک نکنه.
جالب اینجاست که Proofpoint میگه بکدور Voldemort قبلاً توسط گروهی به نام TA415 استفاده شده، که با گروه چینی APT41 (معروف به Brass Typhoon) ارتباط داره. اما حملات این گروه با UNK_FistBump فرق داره، چون از لودرهای متفاوتی برای نصب Cobalt Strike استفاده میکنن و آدرس IP ثابتی برای ارتباط با سرور فرماندهی دارن.
گروه دوم: UNK_DropPitch
این گروه به تحلیلگران سرمایه گذاری تو شرکت های بزرگ مالی که روی صنعت نیمه رسانای تایوان تمرکز دارن حمله کرده. تو ایمیلهای فیشینگشون (که آوریل و می ۲۰۲۵ فرستاده شدن) یه لینک به یه PDF جعلی گذاشتن. وقتی قربانی PDF رو باز میکنه، یه فایل ZIP دانلود میشه که توش یه DLL مخفی هست. این DLL یه بکدور به نام HealthKick که میتونه دستورات رو اجرا کنه، نتیجه رو ضبط کنه و برای سرور هکرها بفرسته.
تو یه حمله دیگه در پایان می ۲۰۲۵، همین گروه با تکنیک DLL Side-Loading یه Reverse Shell ایجاد کرده که به سرور هکرها (با IP 45.141.139.222) وصل میشه. بعد از این، اگر اطلاعات قربانی براشون جالب باشه، یه ابزار مدیریتی به نام Intel EMA نصب میکنن تا از راه دور کنترل سیستم رو بگیرن.
گروه سوم: UNK_SparkyCarp
این گروه با حملهٔ فیشینگ لاگین، یه شرکت نیمهرسانای تایوانی (بیاسم) رو هدف گرفته. ایمیلهای فیشینگشون هشدار امنیتی جعلی بودن و لینکی به یه صفحهٔ فیشینگ (accshieldportal.com) داشتن. جالب اینه که همین گروه قبلاً در نوامبر ۲۰۲۴ هم به همین شرکت حمله کرده بود.
یه گروه دیگه هم هست:UNK_ColtCentury
این گروه (که با اسمهای TAG-100 و Storm-2077 هم شناخته میشه) به کارمندان حقوقی یه شرکت نیمه رسانای تایوانی ایمیلهای بیخطر فرستاده تا اعتمادشون رو جلب کنن و در نهایت یه تروجان دسترسی از راه دور به نام Spark RAT نصب کنن.
صنعت نیمه رسانای تایوان هدف حمله فیشینگ سازمانیافته توسط سه گروه هکری چینی شده که پشتشون دولت چین هست.
شرکت امنیتی Proofpoint تو گزارشش نوشته: «هدف این حملات شامل شرکت های سازنده، طراح و تست کننده نیمه رساناها و مدارهای مجتمع میشه، حتی زنجیرهٔ تأمین تجهیزات و خدمات این صنعت و همینطور تحلیلگران مالی که تو بازار نیمه رسانای تایوان فعالیت دارن.»
این حملات که بین مارس تا ژوئن ۲۰۲۵ اتفاق افتاده، به سه گروه چینی نسبت داده شده با اسمهای رمز UNK_FistBump، UNK_DropPitch و UNK_SparkyCarp.
گروه UNK_FistBump با ایمیلهای فیشینگ کاریابی، به شرکتهای طراحی، بستهبندی، تولید و زنجیرهٔ تأمین نیمه رسانا حمله کرده. توی این حملات یا از Cobalt Strike استفاده شده یا یه بکدور اختصاصی به اسم Voldemort که قبلا هم برای حمله به بیش از ۷۰ سازمان جهانی استفاده شده.
ماجرا چیه؟
هکرها خودشون رو تو ایمیلها به مسئولان منابع انسانی شرکتهای هدف به عنوان یه دانشجوی فارغالتحصیل جا زدن و درخواست کار فرستادن. توی این ایمیلها (که احتمالاً از حسابهای هک شده ارسال شده) یه رزومهٔ تقلبی پیوست شده که ظاهرش PDF ، ولی در واقع یه فایل LNK هست (تکنیک جالبیه حقیقتا) وقتی قربانی این رزومه رو باز میکنه، یه فرآیند چندمرحلهای شروع میشه که یا Cobalt Strike نصب میشه یا بکدور Voldemort. همزمان یه سند فیک هم به قربانی نشون داده میشه که شک نکنه.
جالب اینجاست که Proofpoint میگه بکدور Voldemort قبلاً توسط گروهی به نام TA415 استفاده شده، که با گروه چینی APT41 (معروف به Brass Typhoon) ارتباط داره. اما حملات این گروه با UNK_FistBump فرق داره، چون از لودرهای متفاوتی برای نصب Cobalt Strike استفاده میکنن و آدرس IP ثابتی برای ارتباط با سرور فرماندهی دارن.
گروه دوم: UNK_DropPitch
این گروه به تحلیلگران سرمایه گذاری تو شرکت های بزرگ مالی که روی صنعت نیمه رسانای تایوان تمرکز دارن حمله کرده. تو ایمیلهای فیشینگشون (که آوریل و می ۲۰۲۵ فرستاده شدن) یه لینک به یه PDF جعلی گذاشتن. وقتی قربانی PDF رو باز میکنه، یه فایل ZIP دانلود میشه که توش یه DLL مخفی هست. این DLL یه بکدور به نام HealthKick که میتونه دستورات رو اجرا کنه، نتیجه رو ضبط کنه و برای سرور هکرها بفرسته.
تو یه حمله دیگه در پایان می ۲۰۲۵، همین گروه با تکنیک DLL Side-Loading یه Reverse Shell ایجاد کرده که به سرور هکرها (با IP 45.141.139.222) وصل میشه. بعد از این، اگر اطلاعات قربانی براشون جالب باشه، یه ابزار مدیریتی به نام Intel EMA نصب میکنن تا از راه دور کنترل سیستم رو بگیرن.
گروه سوم: UNK_SparkyCarp
این گروه با حملهٔ فیشینگ لاگین، یه شرکت نیمهرسانای تایوانی (بیاسم) رو هدف گرفته. ایمیلهای فیشینگشون هشدار امنیتی جعلی بودن و لینکی به یه صفحهٔ فیشینگ (accshieldportal.com) داشتن. جالب اینه که همین گروه قبلاً در نوامبر ۲۰۲۴ هم به همین شرکت حمله کرده بود.
یه گروه دیگه هم هست:UNK_ColtCentury
این گروه (که با اسمهای TAG-100 و Storm-2077 هم شناخته میشه) به کارمندان حقوقی یه شرکت نیمه رسانای تایوانی ایمیلهای بیخطر فرستاده تا اعتمادشون رو جلب کنن و در نهایت یه تروجان دسترسی از راه دور به نام Spark RAT نصب کنن.
👍2🔥1
هکرهای چینی زیاد این روزا تیتر خبر ها شدن با کارایی که انجام دادن توی یه حمله جدید اونا به گارد ملی آمریکا نفوذ کردن...
طبق یه خبر از NBC: گروه هکری چینی Salt Typhoon (که با اسمهای Earth Estries و Ghost Emperor هم شناخته میشه) حداقل به شبکه گارد ملی یکی از ایالت های آمریکا نفوذ کرده. این نفوذ از مارس تا دسامبر ۲۰۲۴ (یعنی حدود ۹ ماه) طول کشیده و نشون میده دامنه حملات این گروه داره گسترده تر میشه.
وزارت دفاع آمریکا (DoD) تو یه گزارش در ۱۱ ژوئن ۲۰۲۵ گفته:
"این نفوذ احتمالاً به چین داده هایی داده که میتونه هک کردن واحدهای گارد ملی ایالت های دیگه و حتی شریک های امنیت سایبری اونها رو تسهیل کنه."
چی دزدیدن؟
- تنظیمات شبکه وجریان دادهها بین گارد ملی این ایالت با بقیهٔ ایالتها و حداقل ۴ منطقهٔ تحت حاکمیت آمریکا.
- فایلهای پیکربندی مربوط به سازمان های دولتی و زیرساختهای حیاتی آمریکا (بین ژانویه تا مارس ۲۰۲۴).
- اعتبارنامه های ادمین، نقشههای ترافیک شبکه، موقعیتهای جغرافیایی و اطلاعات شخصی (PII) اعضای گارد ملی.
گزارش هشدار میده که این فایلهای پیکربندی میتونن باعث سوءاستفاده های بعدی بشن، مثل:
1- دزدیدن دادهها
2- دستکاری حسابهای ادمین
3- حرکت جانبی بین شبکههای مختلف
چطور نفوذ کردن؟
با سوءاستفاده از آسیبپذیریهای شناختهشده در دستگاههای Cisco و Palo Alto Networks:
- CVE-2018-0171
- CVE-2023-20198
- CVE-2023-20273
- CVE-2024-3400 (مربوط به Palo Alto)
دسترسی به شبکههای گارد ملی میتونه شامل اطلاعات امنیت سایبری ایالتها، موقعیت کارمندان امنیتی و جزئیات شخصی اونها باشه چیزایی که میتونه هدف گیری های آینده رو دقیق تر کنه.
"انسار سکر" (مدیر امنیت سایبری SOCRadar) میگه:
"این که Salt Typhoon تقریباً یه سال تو شبکهٔ گارد ملی آمریکا موند، یه اتک جدی در فضای سایبریه. این یه نفوذ تصادفی نیست، بلکه یه جاسوسی درازمدته که هدفش دزدیدن اطلاعات استراتژیک به صورت پنهانیه."
"هدف این گروه فقط فایل دزدیدن نبود، احتمالاً داشتن:
1- نقشه زیرساخت رو میکشیدن
2- جریان ارتباطات رو رصد میکردن
3- نقاط ضعف رو علامت میزدن تا بعدها ازشون سوءاستفاده کنن
نگرانکنندهترین چیز اینه که تو یه محیط نظامی، اینهمه مدت متوجه حضور هکرها نشدن، این قضیه کلی سؤال پیش میاره: چرا سیستمهای نظارتی اینقدر ضعیف بودن؟
سیاستهای جداسازی شبکهها چقدر واقعاً اجرا میشه؟
آیا شبکههای ترکیبی فدرال-ایالتی امنیت کافی دارن؟
طبق یه خبر از NBC: گروه هکری چینی Salt Typhoon (که با اسمهای Earth Estries و Ghost Emperor هم شناخته میشه) حداقل به شبکه گارد ملی یکی از ایالت های آمریکا نفوذ کرده. این نفوذ از مارس تا دسامبر ۲۰۲۴ (یعنی حدود ۹ ماه) طول کشیده و نشون میده دامنه حملات این گروه داره گسترده تر میشه.
وزارت دفاع آمریکا (DoD) تو یه گزارش در ۱۱ ژوئن ۲۰۲۵ گفته:
"این نفوذ احتمالاً به چین داده هایی داده که میتونه هک کردن واحدهای گارد ملی ایالت های دیگه و حتی شریک های امنیت سایبری اونها رو تسهیل کنه."
چی دزدیدن؟
- تنظیمات شبکه وجریان دادهها بین گارد ملی این ایالت با بقیهٔ ایالتها و حداقل ۴ منطقهٔ تحت حاکمیت آمریکا.
- فایلهای پیکربندی مربوط به سازمان های دولتی و زیرساختهای حیاتی آمریکا (بین ژانویه تا مارس ۲۰۲۴).
- اعتبارنامه های ادمین، نقشههای ترافیک شبکه، موقعیتهای جغرافیایی و اطلاعات شخصی (PII) اعضای گارد ملی.
گزارش هشدار میده که این فایلهای پیکربندی میتونن باعث سوءاستفاده های بعدی بشن، مثل:
1- دزدیدن دادهها
2- دستکاری حسابهای ادمین
3- حرکت جانبی بین شبکههای مختلف
چطور نفوذ کردن؟
با سوءاستفاده از آسیبپذیریهای شناختهشده در دستگاههای Cisco و Palo Alto Networks:
- CVE-2018-0171
- CVE-2023-20198
- CVE-2023-20273
- CVE-2024-3400 (مربوط به Palo Alto)
دسترسی به شبکههای گارد ملی میتونه شامل اطلاعات امنیت سایبری ایالتها، موقعیت کارمندان امنیتی و جزئیات شخصی اونها باشه چیزایی که میتونه هدف گیری های آینده رو دقیق تر کنه.
"انسار سکر" (مدیر امنیت سایبری SOCRadar) میگه:
"این که Salt Typhoon تقریباً یه سال تو شبکهٔ گارد ملی آمریکا موند، یه اتک جدی در فضای سایبریه. این یه نفوذ تصادفی نیست، بلکه یه جاسوسی درازمدته که هدفش دزدیدن اطلاعات استراتژیک به صورت پنهانیه."
"هدف این گروه فقط فایل دزدیدن نبود، احتمالاً داشتن:
1- نقشه زیرساخت رو میکشیدن
2- جریان ارتباطات رو رصد میکردن
3- نقاط ضعف رو علامت میزدن تا بعدها ازشون سوءاستفاده کنن
نگرانکنندهترین چیز اینه که تو یه محیط نظامی، اینهمه مدت متوجه حضور هکرها نشدن، این قضیه کلی سؤال پیش میاره: چرا سیستمهای نظارتی اینقدر ضعیف بودن؟
سیاستهای جداسازی شبکهها چقدر واقعاً اجرا میشه؟
آیا شبکههای ترکیبی فدرال-ایالتی امنیت کافی دارن؟
🔥3❤1🤓1
یه گروه هکری که میگن از طرف چین پشتیبانی میشه و اسمش APT41 هست، تازگیا یه عملیات جاسوسی سایبری جدید راه انداخته که هدفش سرویسهای IT دولتهای آفریقاییه.
محققای Kaspersky به اسم دنیس کولیک و دانیل پوگورلف گفتن: «هکرها توی بدافزارهاشون یهسری اسم از پیشتعیین شده برای سرویس های داخلی، آی پی آدرس و سرورهای پراکسی گذاشته بودن.» یکی از سرورهای C2 (یعنی همون سروری که مهاجمها ازش فرمان صادر میکنن)، در واقع یه سرور SharePoint بود که تو زیرساخت خود قربانی وجود داشت.
جالبه بدونینAPT41 یه گروه خیلی فعال و معروفه که به دولت چین نسبت داده میشه. اینا قبلاً کلی سازمان مختلف رو هدف گرفتن؛ از مخابرات و شرکتهای انرژی گرفته تا دانشگاهها، بیمارستانها و شرکتهای IT توی بیشتر از ۳۰ تا کشور.
چیزی که این عملیات رو خاص کرده، اینه که تمرکزش رو گذاشته روی قاره آفریقا؛ جایی که قبلاً این گروه فعالیت زیادی توش نداشته. البته شرکت Trend Micro هم قبلاً گزارش داده بود که از اواخر ۲۰۲۲، آفریقا افتاده توی لیست اهداف این گروه.
از طرفی Kaspersky گفته که وقتی روی یهسری سیستم از یه سازمان ناشناس دیدن یه رفتار مشکوک در حال رخ دادنه، شروع کردن به بررسی. این رفتار شامل اجرای دستوراتی بود که هدفش بررسی این بود که آیا سرور فرماندهی (C2) هنوز در دسترس هست یا نه، چه بهصورت مستقیم چه از طریق پراکسی داخلی که از قبل هک شده بوده.
محققها گفتن: «منبع این رفتار مشکوک یه سیستم بود که هیچکس روش نظارت نداشت و هک شده بود. روی اون سیستم، ابزار Impacket اجرا شده بود با دسترسی سرویسی. بعد از اینکه ماژولهای Atexec و WmiExec اجرا شدن، هکرها یه مدت فعالیتشونو متوقف کردن.»
خیلی زود بعدش، هکرها شروع کردن به جمعکردن اطلاعات مربوط به اکانتهایی که دسترسی بالا دارن تا بتونن دسترسیشونو توی سیستم بیشتر کنن و به قسمت های دیگه هم نفوذ کنن. در نهایت، از ابزار معروف Cobalt Strike استفاده کردن تا با استفاده از تکنیکی به اسم DLL side-loading، با سیستم قربانی ارتباط برقرار کنن.
نکته جالب اینه که این DLL های مخرب اول بررسی میکنن ببینن چه زبان هایی روی سیستم نصب هست. فقط اگه زبانهایی مثل ژاپنی، کرهای، چینی (چه چینِ اصلی چه تایوان) نباشن، عملیات خودشونو ادامه میدن.
تو این حمله، هکرها از یه سرور SharePoint هک شده استفاده کردن برای اینکه دستوراتو از طریقش به بدافزار C#ای که روی سیستم قربانی ریخته بودن بفرستن.
و دوباره Kaspersky گفته: «فایلهایی به اسم agents.exe و agentx.exe از طریق پروتکل SMB ارسال شده بودن برای ارتباط با سرور. در واقع این فایلها تروجان هایی به زبان C# بودن که وظیفه شون اجرای دستوراتی بود که از یه web shell به اسم CommandHandler.aspx دریافت میکردن. این وبشل روی همون سرور SharePoint نصب شده بود.»
این تکنیک ترکیبی از بدافزار کلاسیکه با روشهایی که بهش میگن "زندگی با امکانات موجود" (Living off the Land)؛ یعنی از سرویسهای مورد اعتماد مثل SharePoint بهعنوان کانال مخفی برای کنترل استفاده میشه. این رفتارا دقیقاً تو دسته بندی MITRE ATT&CK میوفتن، مثلاً T1071.001 (پروتکلهای وب) و T1047 (WMI)، که باعث میشه ابزارهایی که فقط دنبال امضای بدافزارها میگردن، نتونن راحت شناساییشون کنن.
هکرها بعد از اینکه توی سیستم های ارزشمندتر ردپا پیدا کردن، یه مرحله دیگه هم انجام دادن. این کار با اجرای دستور cmd.exe انجام شد تا یه فایل HTML مخرب (HTA) که توش جاوااسکریپت کار گذاشته بودن رو از یه منبع خارجی دانلود کنن و با mshta.exe اجراش کنن.
جالب اینجاست که اون منبع خارجی شبیه سایت GitHub جعل شده بود، آدرسش هم این بوده: github.githubassets.net. هنوز دقیقاً معلوم نیست این فایل مخرب چیکار میکرده، ولی بررسی یکی از اسکریپتهای مشابه نشون داده که هدفش ساختن یه reverse shell بوده .
علاوه بر این، هکرها از ابزارهای مختلف برای دزدیدن اطلاعات حساس استفاده کردن، بعدشم همه اطلاعاتو از طریق همون SharePoint فرستادن بیرون.
بعضی از ابزارهایی که استفاده شده، اینا بودن:
محققای Kaspersky به اسم دنیس کولیک و دانیل پوگورلف گفتن: «هکرها توی بدافزارهاشون یهسری اسم از پیشتعیین شده برای سرویس های داخلی، آی پی آدرس و سرورهای پراکسی گذاشته بودن.» یکی از سرورهای C2 (یعنی همون سروری که مهاجمها ازش فرمان صادر میکنن)، در واقع یه سرور SharePoint بود که تو زیرساخت خود قربانی وجود داشت.
جالبه بدونینAPT41 یه گروه خیلی فعال و معروفه که به دولت چین نسبت داده میشه. اینا قبلاً کلی سازمان مختلف رو هدف گرفتن؛ از مخابرات و شرکتهای انرژی گرفته تا دانشگاهها، بیمارستانها و شرکتهای IT توی بیشتر از ۳۰ تا کشور.
چیزی که این عملیات رو خاص کرده، اینه که تمرکزش رو گذاشته روی قاره آفریقا؛ جایی که قبلاً این گروه فعالیت زیادی توش نداشته. البته شرکت Trend Micro هم قبلاً گزارش داده بود که از اواخر ۲۰۲۲، آفریقا افتاده توی لیست اهداف این گروه.
از طرفی Kaspersky گفته که وقتی روی یهسری سیستم از یه سازمان ناشناس دیدن یه رفتار مشکوک در حال رخ دادنه، شروع کردن به بررسی. این رفتار شامل اجرای دستوراتی بود که هدفش بررسی این بود که آیا سرور فرماندهی (C2) هنوز در دسترس هست یا نه، چه بهصورت مستقیم چه از طریق پراکسی داخلی که از قبل هک شده بوده.
محققها گفتن: «منبع این رفتار مشکوک یه سیستم بود که هیچکس روش نظارت نداشت و هک شده بود. روی اون سیستم، ابزار Impacket اجرا شده بود با دسترسی سرویسی. بعد از اینکه ماژولهای Atexec و WmiExec اجرا شدن، هکرها یه مدت فعالیتشونو متوقف کردن.»
خیلی زود بعدش، هکرها شروع کردن به جمعکردن اطلاعات مربوط به اکانتهایی که دسترسی بالا دارن تا بتونن دسترسیشونو توی سیستم بیشتر کنن و به قسمت های دیگه هم نفوذ کنن. در نهایت، از ابزار معروف Cobalt Strike استفاده کردن تا با استفاده از تکنیکی به اسم DLL side-loading، با سیستم قربانی ارتباط برقرار کنن.
نکته جالب اینه که این DLL های مخرب اول بررسی میکنن ببینن چه زبان هایی روی سیستم نصب هست. فقط اگه زبانهایی مثل ژاپنی، کرهای، چینی (چه چینِ اصلی چه تایوان) نباشن، عملیات خودشونو ادامه میدن.
تو این حمله، هکرها از یه سرور SharePoint هک شده استفاده کردن برای اینکه دستوراتو از طریقش به بدافزار C#ای که روی سیستم قربانی ریخته بودن بفرستن.
و دوباره Kaspersky گفته: «فایلهایی به اسم agents.exe و agentx.exe از طریق پروتکل SMB ارسال شده بودن برای ارتباط با سرور. در واقع این فایلها تروجان هایی به زبان C# بودن که وظیفه شون اجرای دستوراتی بود که از یه web shell به اسم CommandHandler.aspx دریافت میکردن. این وبشل روی همون سرور SharePoint نصب شده بود.»
این تکنیک ترکیبی از بدافزار کلاسیکه با روشهایی که بهش میگن "زندگی با امکانات موجود" (Living off the Land)؛ یعنی از سرویسهای مورد اعتماد مثل SharePoint بهعنوان کانال مخفی برای کنترل استفاده میشه. این رفتارا دقیقاً تو دسته بندی MITRE ATT&CK میوفتن، مثلاً T1071.001 (پروتکلهای وب) و T1047 (WMI)، که باعث میشه ابزارهایی که فقط دنبال امضای بدافزارها میگردن، نتونن راحت شناساییشون کنن.
هکرها بعد از اینکه توی سیستم های ارزشمندتر ردپا پیدا کردن، یه مرحله دیگه هم انجام دادن. این کار با اجرای دستور cmd.exe انجام شد تا یه فایل HTML مخرب (HTA) که توش جاوااسکریپت کار گذاشته بودن رو از یه منبع خارجی دانلود کنن و با mshta.exe اجراش کنن.
جالب اینجاست که اون منبع خارجی شبیه سایت GitHub جعل شده بود، آدرسش هم این بوده: github.githubassets.net. هنوز دقیقاً معلوم نیست این فایل مخرب چیکار میکرده، ولی بررسی یکی از اسکریپتهای مشابه نشون داده که هدفش ساختن یه reverse shell بوده .
علاوه بر این، هکرها از ابزارهای مختلف برای دزدیدن اطلاعات حساس استفاده کردن، بعدشم همه اطلاعاتو از طریق همون SharePoint فرستادن بیرون.
بعضی از ابزارهایی که استفاده شده، اینا بودن:
از Pillager (نسخه دستکاریشده) برای دزدیدن رمزهای ذخیرهشده توی مرورگرها، دیتابیسها، ابزارای مدیریتی مثل MobaXterm، سورسکدها، اسکرینشاتها، چتها، ایمیلها، نشستهای SSH و FTP، لیست برنامههای نصبشده، خروجی دستورای سیستم مثل systeminfo و tasklist، و اکانتهای پیامرسانها و ایمیل کلاینتها.
از Checkout برای برداشتن اطلاعات فایلهای دانلودی و دادههای کارت بانکی که توی مرورگرهایی مثل Yandex، Opera، OperaGX، Vivaldi، Chrome، Brave ذخیره شده بودن.
❤4🤓1
یه بدافزار جاسوسی جدید برای اندروید کشف شده که خیلی احتمالش هست به وزارت اطلاعات ایران وصل باشه. این بدافزار خودش رو به شکل اپهای VPN و حتی اپ مربوط به اینترنت ماهوارهای Starlink جا زده تا بتونه مخالفای حکومت رو هدف بگیره و ازشون جاسوسی کنه.
شرکت امنیت موبایل Lookout گفته که چهار نسخه از این بدافزار که اسمش رو گذاشتن DCHSpy، حدود یه هفته بعد از شروع درگیریهای ایران و اسرائیل پیدا شده. ولی دقیقاً مشخص نیست چند نفر این اپها رو نصب کردن.
محققای امنیتی "اسلاماوغلو" و "آلبریشت" گفتن: «DCHSpy اطلاعات واتساپ، اکانتها، مخاطبا، پیامکها، فایلها، لوکیشن، و لیست تماسها رو جمع میکنه؛ حتی میتونه صدا ضبط کنه و عکس بگیره»
این بدافزار برای اولین بار توی جولای ۲۰۲۴ شناسایی شد و احتمال زیاد کار یه گروه هکری معروف به اسم MuddyWater هست که به وزارت اطلاعات ایران وصله. البته این گروه کلی اسم دیگه هم داره مثلاً: Boggy Serpens، Cobalt Ulster، Earth Vetala، ITG17، Mango Sandstorm (که قبلاً اسمش Mercury بود)، Seedworm، Static Kitten، TA450، و Yellow Nix. خلاصه از بس اسماش زیاده، انگار خودشونم یادشون میره کی بودن...
نسخههای اولیه DCHSpy قبلاً سراغ کاربراش رفته بودن، اونم از طریق کانال های تلگرامی که معمولاً حرفای ضد حکومتی میزدن و مخاطباش فارسی زبان یا انگلیسی زبان بودن. از اونجایی که بدافزار با عنوان VPN تبلیغ میشده، به احتمال خیلی زیاد مخالفای سیاسی، فعالها و خبرنگارها هدفش بودن.
حالا نسخههای جدید این بدافزار، احتمال زیاد بعد از شروع درگیری های اخیر منطقه داره پخش میشه و خودش رو به اسم اپهایی مثل اینا جا میزنه:
لازم به ذکره که ماه پیش، اینترنت ماهوارهای Starlink توی ایران فعال شده بود (اونم وسط قطعی اینترنتی که دولت اعمال کرده بود)، ولی بعدش مجلس اومد و استفاده ازش رو ممنوع کرد چون "غیرمجاز" بوده.
این DCHSpy یه بدافزار چندبخشی یا ماژولاره؛ یعنی کلی قابلیت داره و میتونه یه عالمه اطلاعات رو جمع کنه، از جمله:
جالبه بدونی که این بدافزار از همون زیرساختهایی استفاده میکنه که یه بدافزار دیگه به اسم SandStrike هم ازش استفاده میکرد. اون یکی رو شرکت Kaspersky توی نوامبر ۲۰۲۲ شناسایی کرده بود و اونم دقیقاً خودشو جای VPN بیضرر جا زده بود تا فارسیزبانها رو هدف بگیره.
این کشف جدید، یه نمونه دیگست از بدافزارهای جاسوسی برای اندروید که مشخصاً برای هدف قرار دادن افراد و نهادها توی خاورمیانه طراحی شدن. قبلاً هم بدافزارهایی مثل:
از طرفی Lookout گفته: «DCHSpy دقیقاً مثل SandStrike عمل میکنه؛ هم از لحاظ زیرساخت، هم روش پخش. این بدافزار از طریق لینکهای آلودهای که مستقیم توی پیامرسانها (مثلاً تلگرام) ارسال میشن، به هدفها میرسه.»
«این نسخههای جدید DCHSpy نشون میدن که این بدافزار همچنان در حال توسعه هست و داره استفاده میشه، مخصوصاً حالا که بعد از آتشبس ایران و اسرائیل، فشار روی مردم بیشتر شده.»
شرکت امنیت موبایل Lookout گفته که چهار نسخه از این بدافزار که اسمش رو گذاشتن DCHSpy، حدود یه هفته بعد از شروع درگیریهای ایران و اسرائیل پیدا شده. ولی دقیقاً مشخص نیست چند نفر این اپها رو نصب کردن.
محققای امنیتی "اسلاماوغلو" و "آلبریشت" گفتن: «DCHSpy اطلاعات واتساپ، اکانتها، مخاطبا، پیامکها، فایلها، لوکیشن، و لیست تماسها رو جمع میکنه؛ حتی میتونه صدا ضبط کنه و عکس بگیره»
این بدافزار برای اولین بار توی جولای ۲۰۲۴ شناسایی شد و احتمال زیاد کار یه گروه هکری معروف به اسم MuddyWater هست که به وزارت اطلاعات ایران وصله. البته این گروه کلی اسم دیگه هم داره مثلاً: Boggy Serpens، Cobalt Ulster، Earth Vetala، ITG17، Mango Sandstorm (که قبلاً اسمش Mercury بود)، Seedworm، Static Kitten، TA450، و Yellow Nix. خلاصه از بس اسماش زیاده، انگار خودشونم یادشون میره کی بودن...
نسخههای اولیه DCHSpy قبلاً سراغ کاربراش رفته بودن، اونم از طریق کانال های تلگرامی که معمولاً حرفای ضد حکومتی میزدن و مخاطباش فارسی زبان یا انگلیسی زبان بودن. از اونجایی که بدافزار با عنوان VPN تبلیغ میشده، به احتمال خیلی زیاد مخالفای سیاسی، فعالها و خبرنگارها هدفش بودن.
حالا نسخههای جدید این بدافزار، احتمال زیاد بعد از شروع درگیری های اخیر منطقه داره پخش میشه و خودش رو به اسم اپهایی مثل اینا جا میزنه:
Earth VPN (: com.earth.earth_vpn)نکته جالب اینجاست که یکی از این اپهای Earth VPN توی فایل APK به اسم "starlink_vpn(1.3.0)-3012 (1).apk" پخش شده. یعنی هکرها حتی از اسم Starlink هم استفاده کردن تا مردم رو گول بزنن.
Comodo VPN (: com.comodoapp.comodovpn)
Hide VPN (: com.hv.hide_vpn)
لازم به ذکره که ماه پیش، اینترنت ماهوارهای Starlink توی ایران فعال شده بود (اونم وسط قطعی اینترنتی که دولت اعمال کرده بود)، ولی بعدش مجلس اومد و استفاده ازش رو ممنوع کرد چون "غیرمجاز" بوده.
این DCHSpy یه بدافزار چندبخشی یا ماژولاره؛ یعنی کلی قابلیت داره و میتونه یه عالمه اطلاعات رو جمع کنه، از جمله:
اکانتهایی که رو گوشی لاگین شدن
مخاطبا
پیامکها
تماسها
فایلها
موقعیت جغرافیایی
صداهای اطراف
عکسها
و اطلاعات واتساپ
جالبه بدونی که این بدافزار از همون زیرساختهایی استفاده میکنه که یه بدافزار دیگه به اسم SandStrike هم ازش استفاده میکرد. اون یکی رو شرکت Kaspersky توی نوامبر ۲۰۲۲ شناسایی کرده بود و اونم دقیقاً خودشو جای VPN بیضرر جا زده بود تا فارسیزبانها رو هدف بگیره.
این کشف جدید، یه نمونه دیگست از بدافزارهای جاسوسی برای اندروید که مشخصاً برای هدف قرار دادن افراد و نهادها توی خاورمیانه طراحی شدن. قبلاً هم بدافزارهایی مثل:
AridSpyدیده شده بودن.
BouldSpy
GuardZoo
RatMilad
SpyNote
از طرفی Lookout گفته: «DCHSpy دقیقاً مثل SandStrike عمل میکنه؛ هم از لحاظ زیرساخت، هم روش پخش. این بدافزار از طریق لینکهای آلودهای که مستقیم توی پیامرسانها (مثلاً تلگرام) ارسال میشن، به هدفها میرسه.»
«این نسخههای جدید DCHSpy نشون میدن که این بدافزار همچنان در حال توسعه هست و داره استفاده میشه، مخصوصاً حالا که بعد از آتشبس ایران و اسرائیل، فشار روی مردم بیشتر شده.»
❤4❤🔥1👍1🤓1
یه گروه محقق امنیت سایبری تازه یه بک دور روی لینوکس پیدا کردن که اسمشو گذاشتن Plague (یعنی طاعون). این بک دور اینقدر باهوشه که یه سال کامل تو سیستم ها بوده ولی کسی نفهمیده.
یه محقق از شرکت Nextron به اسم پیر هنری پی زیه میگه:
«این بدافزار خودش رو به شکل یه ماژول PAM (ماژول پلاگین احراز هویت) مخفی کرده. یعنی یه جوری طراحی شده که بی سروصدا از سیستمهای احراز هویت رد میشه و به هکرها اجازه میده همیشه و راحت از طریق SSH وارد سیستم بشن.»
اگه نمیدونین PAM چیه، باید بگم یه سری کتابخونه های مشترک هستن که سیستم های لینوکسی و یونیکسی برای شناسایی کاربرها استفاده میکنن، یعنی وقتی میخوای لاگین کنی، این PAM ها میان و میگن «این آدم درسته یا نه؟»
حالا چون این PAMها توی پروسه های خیلی حساس و مهم اجرا میشن، اگه یه PAM خرابکار باشه میتونه رمز کاربرها رو بدزده، سیستم رو دور بزنه و هیچ آنتیویروسی هم نفهمه.
شرکت امنیتی Nextron میگه از 29 جولای 2024 تا الان چند نمونه از این Plague رو توی VirusTotal پیدا کردن که حتی یه آنتی ویروس هم هنوز نتونسته تشخیصش بده که خطرناکه.
این یعنی سازنده های این بدافزار همچنان دارن روش کار میکنن و دارن نسخه های جدیدش رو میسازن.
این بدافزار Plague چهار تا قابلیت خیلی باحال داره:
یه رمز عبور ثابت داره که هکرها بتونن راحت و مخفیانه وارد بشن و خودش رو طوری میسازه که آدم نتونه راحت بفهمه چطوری کار میکنه (تحلیل و مهندسی معکوس رو سخت میکنه)
کلی تکنیک ضد دیباگینگ و پنهون کاری استفاده میکنه
کلی باهوشیه که بعد از اینکه SSH زدن، هیچ مدرکی از خودش باقی نمیذاره.
وقتی یه هکر با SSH وصل میشه، معمولا سیستم یه سری متغیر محیطی مثل SSH_CONNECTION و SSH_CLIENT ذخیره میکنه که بگه چه کسی وصل شده. Plague این متغیرها رو پاک میکنه که هیچ رد و اثری نمونه.
همچنین فایل history (تاریخچه دستورات) که معمولا دستورات وارد شده رو نگه میداره رو به /dev/null هدایت میکنه یعنی اصلا هیچ دستوری ذخیره نمیشه.
پی زیه گفته: «Plague خودش رو خیلی عمیق تو پروسه احراز هویت جا میده، حتی اگه سیستم آپدیت بشه، باز سر جاش میمونه، و تقریبا هیچ اثری برای تحقیقهای بعدی نمیذاره.»
با توجه به روشهای پیچیدهای که برای پنهونکاری و خرابکاری استفاده میکنه، خیلی سخته با ابزارهای معمولی امنیتی پیداش کنی.
یه محقق از شرکت Nextron به اسم پیر هنری پی زیه میگه:
«این بدافزار خودش رو به شکل یه ماژول PAM (ماژول پلاگین احراز هویت) مخفی کرده. یعنی یه جوری طراحی شده که بی سروصدا از سیستمهای احراز هویت رد میشه و به هکرها اجازه میده همیشه و راحت از طریق SSH وارد سیستم بشن.»
اگه نمیدونین PAM چیه، باید بگم یه سری کتابخونه های مشترک هستن که سیستم های لینوکسی و یونیکسی برای شناسایی کاربرها استفاده میکنن، یعنی وقتی میخوای لاگین کنی، این PAM ها میان و میگن «این آدم درسته یا نه؟»
حالا چون این PAMها توی پروسه های خیلی حساس و مهم اجرا میشن، اگه یه PAM خرابکار باشه میتونه رمز کاربرها رو بدزده، سیستم رو دور بزنه و هیچ آنتیویروسی هم نفهمه.
شرکت امنیتی Nextron میگه از 29 جولای 2024 تا الان چند نمونه از این Plague رو توی VirusTotal پیدا کردن که حتی یه آنتی ویروس هم هنوز نتونسته تشخیصش بده که خطرناکه.
این یعنی سازنده های این بدافزار همچنان دارن روش کار میکنن و دارن نسخه های جدیدش رو میسازن.
این بدافزار Plague چهار تا قابلیت خیلی باحال داره:
یه رمز عبور ثابت داره که هکرها بتونن راحت و مخفیانه وارد بشن و خودش رو طوری میسازه که آدم نتونه راحت بفهمه چطوری کار میکنه (تحلیل و مهندسی معکوس رو سخت میکنه)
کلی تکنیک ضد دیباگینگ و پنهون کاری استفاده میکنه
کلی باهوشیه که بعد از اینکه SSH زدن، هیچ مدرکی از خودش باقی نمیذاره.
وقتی یه هکر با SSH وصل میشه، معمولا سیستم یه سری متغیر محیطی مثل SSH_CONNECTION و SSH_CLIENT ذخیره میکنه که بگه چه کسی وصل شده. Plague این متغیرها رو پاک میکنه که هیچ رد و اثری نمونه.
همچنین فایل history (تاریخچه دستورات) که معمولا دستورات وارد شده رو نگه میداره رو به /dev/null هدایت میکنه یعنی اصلا هیچ دستوری ذخیره نمیشه.
پی زیه گفته: «Plague خودش رو خیلی عمیق تو پروسه احراز هویت جا میده، حتی اگه سیستم آپدیت بشه، باز سر جاش میمونه، و تقریبا هیچ اثری برای تحقیقهای بعدی نمیذاره.»
با توجه به روشهای پیچیدهای که برای پنهونکاری و خرابکاری استفاده میکنه، خیلی سخته با ابزارهای معمولی امنیتی پیداش کنی.
👍7🔥1🤓1
پروتکل ارتباطات موبایلی نسل پنجم (5G) شاید پیچیدهترین پروتکل وایرلسیه که تا حالا ساخته شده. سرعت دانلودش وحشتناک بالاست، از ایستگاههای پایه با beamforming استفاده میکنه، و خب یهعالمه اضافات عجیب و غریب غیر استاندارد هم داره. واسه همینم بررسی کردنش برای یه هکر یا محقق خونگی کار خیلی سنگینی به نظر میاد. ولی این موضوع باعث نشد که گروه تحقیقاتی ASSET دست از کار بکشه؛ اونا یه sniffer و یه downlink injector برای 5G ساختن.
بخش دیگه مهم پروژه یه فریمورک اکسپلویته که کلی برد حمله داره و هم ASSET و هم گروه های دیگه توسعه اش دادن. وقتی یه SDR رو تبدیل میکنی به یه ایستگاه پایه مخرب 5G، میتونی از کلی باگ و «ویژگی» استفاده کنی که نتیجه اش میتونه از داون گرید کردن کانکشن به 4G گرفته تا فینگرپرینتینگ و خیلی چیزای دیگه باشه. حتی یه روش حمله هم توش هست به اسم 5Ghull که قبلاً دربارهش نوشته بودن؛ این یکی میتونه باعث بشه گوشی قفل کنه و فقط با درآوردن سیمکارت درست شه. این آسیبپذیری ها یه نگاه خیلی خاص به پشت پرده 5G بهمون میدن.
اگه تو هم به sniff کردن 5G علاقه داری ولی سختافزارش رو نداری، یه هک جالب هست که باهاش میتونی یه گوشی Qualcomm رو تبدیل به sniffer کنی.
اصل پروژه بیشتر روی sniff کردن real-time تمرکز داره و با یکی از دو مدل USRP (یعنی همون رادیوهای نرمافزاری SDR معروف) انجام میشه، البته همراه با یه مقدار خیلی زیاد توان پردازشی. دیتاهایی که sniff میشن حتی میتونی مستقیم ببری توی Wireshark و فیلتراسیون انجام بدی. فرکانس ها هم به صورت hard-code داخل sniffer تعریف شدن تا پرفورمنس بهتر باشه، و تا الان روی باندهای n78 و n41 تست شده. هرچند میدونیم بیشتر شماها اون سختافزار USRP رو ندارین، ولی یه فایل نمونه از کپچر دادهها هم گذاشتن که اگه خواستین خودتون تحلیل کنین ...
این لینک ها به دردتون میخوره :
link
link
link
بخش دیگه مهم پروژه یه فریمورک اکسپلویته که کلی برد حمله داره و هم ASSET و هم گروه های دیگه توسعه اش دادن. وقتی یه SDR رو تبدیل میکنی به یه ایستگاه پایه مخرب 5G، میتونی از کلی باگ و «ویژگی» استفاده کنی که نتیجه اش میتونه از داون گرید کردن کانکشن به 4G گرفته تا فینگرپرینتینگ و خیلی چیزای دیگه باشه. حتی یه روش حمله هم توش هست به اسم 5Ghull که قبلاً دربارهش نوشته بودن؛ این یکی میتونه باعث بشه گوشی قفل کنه و فقط با درآوردن سیمکارت درست شه. این آسیبپذیری ها یه نگاه خیلی خاص به پشت پرده 5G بهمون میدن.
اگه تو هم به sniff کردن 5G علاقه داری ولی سختافزارش رو نداری، یه هک جالب هست که باهاش میتونی یه گوشی Qualcomm رو تبدیل به sniffer کنی.
اصل پروژه بیشتر روی sniff کردن real-time تمرکز داره و با یکی از دو مدل USRP (یعنی همون رادیوهای نرمافزاری SDR معروف) انجام میشه، البته همراه با یه مقدار خیلی زیاد توان پردازشی. دیتاهایی که sniff میشن حتی میتونی مستقیم ببری توی Wireshark و فیلتراسیون انجام بدی. فرکانس ها هم به صورت hard-code داخل sniffer تعریف شدن تا پرفورمنس بهتر باشه، و تا الان روی باندهای n78 و n41 تست شده. هرچند میدونیم بیشتر شماها اون سختافزار USRP رو ندارین، ولی یه فایل نمونه از کپچر دادهها هم گذاشتن که اگه خواستین خودتون تحلیل کنین ...
این لینک ها به دردتون میخوره :
link
link
link
GitHub
GitHub - asset-group/Sni5Gect-5GNR-sniffing-and-exploitation: A 5G Sniffer and Downlink Injector Framework on steroids... And yes…
A 5G Sniffer and Downlink Injector Framework on steroids... And yes, Wireshark supported!!! - asset-group/Sni5Gect-5GNR-sniffing-and-exploitation
یه خبر دیگه که خیلی برام جالب بود این بود که یه عده هکر چجوری از یه باگ امنیتی توی ویندوز سوء استفاده کردن (که البته الان پچ شده) تا بدافزار PipeMagic رو توی حملات باجافزاری RansomExx استفاده کنن.
ماجرا اینجوریه که مهاجمها از CVE-2025-29824 استفاده کردن، که یه باگ افزایش سطح دسترسی توی Windows Common Log File System (CLFS) هست. مایکروسافت این باگ رو توی آوریل ۲۰۲۵ فیکس کرد. این خبر رو Kaspersky و BI.ZONE توی گزارش مشترکی فکر کنم چند دیروز منتشر کردن.
باید بدونیم که PipeMagic اولین بار سال ۲۰۲۲ شناسایی شد؛ اون موقع توی حملات RansomExx علیه شرکتهای صنعتی توی آسیای جنوب شرقی استفاده میشد. این بدافزار میتونه نقش یه بک دور کامل رو بازی کنه، یعنی دسترسی ریموت بده و یه عالمه دستور رو روی سیستم قربانی اجرا کنه.
توی اون حملات قبلی، هکرها از CVE-2017-0144 (باگ RCE توی Windows SMB) استفاده کرده بودن برای ورود به شبکهی قربانی. بعداً زنجیره های آلودگی که توی اکتبر ۲۰۲۴ توی عربستان دیده شد، یه اپلیکیشن فیک ChatGPT رو به عنوان طعمه استفاده میکردن تا بدافزار رو برسونن.
تازه، همین آوریل ۲۰۲۵، مایکروسافت گفت که سوء استفاده از CVE-2025-29824 و استقرار PipeMagic کار گروهی به اسم Storm-2460 بوده.
یکی از ویژگیهای خاص PipeMagic اینه که یه آرایهی رندوم ۱۶ بایتی درست میکنه تا یه named pipe بسازه با فرمت:
بعدش یه thread راه میندازه که مدام این pipe رو میسازه، ازش دیتا میخونه و بعد پاکش میکنه. این روش ارتباطیه که بک دور ازش استفاده میکنه تا payload های رمزنگاری شده و نوتیفیکیشن ها رو بفرسته.
از طرفی PipeMagic ماژولاره و به صورت پلاگینی طراحی شده. از یه دامنه روی Microsoft Azure استفاده میکنه تا بقیه کامپوننت ها رو لود کنه. توی حملات ۲۰۲۵ توی عربستان و برزیل، یه فایل Microsoft Help Index به اسم "metafile.mshi" نقش لودر رو داشته. این لودر، کد C# رو آنپک میکنه که بعدش شلکدی که توش embed شده رو decrypt و اجرا میکنه.
اون شل کدی که تزریق میشه، executable مخصوص ویندوز ۳۲ بیتیه، و یه فایل اجرایی غیر رمزنگاری شده رو که داخل خودش embed شده بارگذاری میکنه. و Kaspersky حتی نمونههای لودر PipeMagic رو پیدا کرده که توی ۲۰۲۵ خودشون رو به شکل کلاینت ChatGPT جا زده بودن، دقیقاً شبیه همون چیزی که توی اکتبر ۲۰۲۴ دیده بودیم. این نمونهها از تکنیک DLL hijacking استفاده میکنن و یه DLL مخرب رو با اسم "googleupdate.dll" اجرا میکنن، که مثلاً خودش رو به جای آپدیت گوگل کروم جا میزنه.
حالا هر روشی که برای لود کردن استفاده بشه، تهش همه چی میرسه به اجرای بک دور PipeMagic که چند ماژول مختلف داره:
یه ماژول ارتباط async که پنج تا دستور ساپورت میکنه (بستن پلاگین، خوندن/نوشتن فایل، قطع یه عملیات فایل، یا قطع همه عملیاتها)
یه لودر برای تزریق payloadهای اضافه توی مموری و اجرای اونا
یه اینجکتور که یه executable نوشته شده با C# رو اجرا میکنه
ماژولهای مربوط به امنیت هویتی (Identity Security Risk Assessment)
محققها گفتن: «اینکه PipeMagic مدام توی حملات علیه سازمان های عربستان دیده میشه و حالا توی برزیل هم سر درآورده، نشون میده که این بدافزار هنوز فعاله و مهاجما هم دارن هی قابلیتهاشو بیشتر میکنن.»
نسخههایی که توی ۲۰۲۵ دیده شدن نسبت به ۲۰۲۴ پیشرفت داشتن، مخصوصاً برای پایداری روی سیستم قربانی و lateral movement توی شبکههای داخلی. توی همین حملات ۲۰۲۵، هکرها از ابزار ProcDump (که اسمشو به dllhost.exe تغییر داده بودن) استفاده کردن تا مموری پروسه LSASS رو dump کنن.
مایکروسافت میگه PipeMagic یه فریمورک کامله که هم انعطاف پذیری داره، هم موندگاری. این بدافزار میتونه payload ها رو به صورت داینامیک اجرا کنه و در عین حال یه ارتباط C2 خیلی قوی و اختصاصی با سرور فرماندهی داشته باشه.
«وقتی بدافزار ماژولهای payload رو از سرور C2 میگیره و بارگذاری میکنه، به هکر اجازه میده تا با دقت خیلی بالا روی اجرای کد توی سیستم قربانی کنترل داشته باشه.» تیم Microsoft Threat Intelligence اینو گفته. «با جدا کردن وظایف شبکه ای و بک دور بین ماژولهای مختلف، PipeMagic یه معماری ماژولار، مخفی کار و خیلی قابل توسعه پیدا کرده که کشف و آنالیزش رو به شدت سخت میکنه.»
اسم PipeMagic هم از این گرفته شده که برای ارتباطات بین پروسهها از named pipe های رمزنگاری شده استفاده میکنه. بدافزار با سرور C2 روی TCP ارتباط میگیره و ماژول ها رو از طریق همون named pipe و همون C2 میفرسته. همه payload ها توی مموری نگهداری میشن با استفاده از یه ساختار داده به اسم doubly linked list، بدون این که چیزی روی دیسک بمونه.
ماجرا اینجوریه که مهاجمها از CVE-2025-29824 استفاده کردن، که یه باگ افزایش سطح دسترسی توی Windows Common Log File System (CLFS) هست. مایکروسافت این باگ رو توی آوریل ۲۰۲۵ فیکس کرد. این خبر رو Kaspersky و BI.ZONE توی گزارش مشترکی فکر کنم چند دیروز منتشر کردن.
باید بدونیم که PipeMagic اولین بار سال ۲۰۲۲ شناسایی شد؛ اون موقع توی حملات RansomExx علیه شرکتهای صنعتی توی آسیای جنوب شرقی استفاده میشد. این بدافزار میتونه نقش یه بک دور کامل رو بازی کنه، یعنی دسترسی ریموت بده و یه عالمه دستور رو روی سیستم قربانی اجرا کنه.
توی اون حملات قبلی، هکرها از CVE-2017-0144 (باگ RCE توی Windows SMB) استفاده کرده بودن برای ورود به شبکهی قربانی. بعداً زنجیره های آلودگی که توی اکتبر ۲۰۲۴ توی عربستان دیده شد، یه اپلیکیشن فیک ChatGPT رو به عنوان طعمه استفاده میکردن تا بدافزار رو برسونن.
تازه، همین آوریل ۲۰۲۵، مایکروسافت گفت که سوء استفاده از CVE-2025-29824 و استقرار PipeMagic کار گروهی به اسم Storm-2460 بوده.
یکی از ویژگیهای خاص PipeMagic اینه که یه آرایهی رندوم ۱۶ بایتی درست میکنه تا یه named pipe بسازه با فرمت:
\\.\pipe\1.<hex string> بعدش یه thread راه میندازه که مدام این pipe رو میسازه، ازش دیتا میخونه و بعد پاکش میکنه. این روش ارتباطیه که بک دور ازش استفاده میکنه تا payload های رمزنگاری شده و نوتیفیکیشن ها رو بفرسته.
از طرفی PipeMagic ماژولاره و به صورت پلاگینی طراحی شده. از یه دامنه روی Microsoft Azure استفاده میکنه تا بقیه کامپوننت ها رو لود کنه. توی حملات ۲۰۲۵ توی عربستان و برزیل، یه فایل Microsoft Help Index به اسم "metafile.mshi" نقش لودر رو داشته. این لودر، کد C# رو آنپک میکنه که بعدش شلکدی که توش embed شده رو decrypt و اجرا میکنه.
اون شل کدی که تزریق میشه، executable مخصوص ویندوز ۳۲ بیتیه، و یه فایل اجرایی غیر رمزنگاری شده رو که داخل خودش embed شده بارگذاری میکنه. و Kaspersky حتی نمونههای لودر PipeMagic رو پیدا کرده که توی ۲۰۲۵ خودشون رو به شکل کلاینت ChatGPT جا زده بودن، دقیقاً شبیه همون چیزی که توی اکتبر ۲۰۲۴ دیده بودیم. این نمونهها از تکنیک DLL hijacking استفاده میکنن و یه DLL مخرب رو با اسم "googleupdate.dll" اجرا میکنن، که مثلاً خودش رو به جای آپدیت گوگل کروم جا میزنه.
حالا هر روشی که برای لود کردن استفاده بشه، تهش همه چی میرسه به اجرای بک دور PipeMagic که چند ماژول مختلف داره:
یه ماژول ارتباط async که پنج تا دستور ساپورت میکنه (بستن پلاگین، خوندن/نوشتن فایل، قطع یه عملیات فایل، یا قطع همه عملیاتها)
یه لودر برای تزریق payloadهای اضافه توی مموری و اجرای اونا
یه اینجکتور که یه executable نوشته شده با C# رو اجرا میکنه
ماژولهای مربوط به امنیت هویتی (Identity Security Risk Assessment)
محققها گفتن: «اینکه PipeMagic مدام توی حملات علیه سازمان های عربستان دیده میشه و حالا توی برزیل هم سر درآورده، نشون میده که این بدافزار هنوز فعاله و مهاجما هم دارن هی قابلیتهاشو بیشتر میکنن.»
نسخههایی که توی ۲۰۲۵ دیده شدن نسبت به ۲۰۲۴ پیشرفت داشتن، مخصوصاً برای پایداری روی سیستم قربانی و lateral movement توی شبکههای داخلی. توی همین حملات ۲۰۲۵، هکرها از ابزار ProcDump (که اسمشو به dllhost.exe تغییر داده بودن) استفاده کردن تا مموری پروسه LSASS رو dump کنن.
مایکروسافت میگه PipeMagic یه فریمورک کامله که هم انعطاف پذیری داره، هم موندگاری. این بدافزار میتونه payload ها رو به صورت داینامیک اجرا کنه و در عین حال یه ارتباط C2 خیلی قوی و اختصاصی با سرور فرماندهی داشته باشه.
«وقتی بدافزار ماژولهای payload رو از سرور C2 میگیره و بارگذاری میکنه، به هکر اجازه میده تا با دقت خیلی بالا روی اجرای کد توی سیستم قربانی کنترل داشته باشه.» تیم Microsoft Threat Intelligence اینو گفته. «با جدا کردن وظایف شبکه ای و بک دور بین ماژولهای مختلف، PipeMagic یه معماری ماژولار، مخفی کار و خیلی قابل توسعه پیدا کرده که کشف و آنالیزش رو به شدت سخت میکنه.»
اسم PipeMagic هم از این گرفته شده که برای ارتباطات بین پروسهها از named pipe های رمزنگاری شده استفاده میکنه. بدافزار با سرور C2 روی TCP ارتباط میگیره و ماژول ها رو از طریق همون named pipe و همون C2 میفرسته. همه payload ها توی مموری نگهداری میشن با استفاده از یه ساختار داده به اسم doubly linked list، بدون این که چیزی روی دیسک بمونه.
تا همین چند وقت پیش یک باگ زیرو کلیک توی Agent Deep Research چتجیپیتی openai بود که میتونست به یه مهاجم اجازه بده با فقط فرستادن یه ایمیل مخصوص، بدون اینکه کاربر حتی یه کاری بکنه، اطلاعات حساس اینباکس جیمیل رو لو بده.
اسم این کلاس جدید از حمله رو Radware گذاشته ShadowLeak. بعد از اینکه موضوع روز ۱۸ ژوئن ۲۰۲۵ بهصورت مسئولانه گزارش شد، اوپنایآی اوایل آگوست مشکل رو برطرف کرد.
«حمله از یه تزریق پرامپت غیرمستقیم استفاده میکنه که میشه توی HTML ایمیل قایمش کرد (فونت خیلی ریز، متن سفید روی زمینه سفید، ترفندهای لِیآوت) تا کاربر اصلاً متوجه دستورات نشه، ولی ایجنټ همچنان اونا رو میخونه و اجرا میکنه.»
این جمله رو محققای امنیت Zvika Babo، Gabi Nakibly و Maor Uziel گفتن:
«برخلاف پژوهشای قبلی که برای راهانداختن نشت باید رندر تصویر سمت کلاینت فعال میشد، این حمله داده ها رو مستقیماً از زیرساخت ابری اوپنایآی بیرون میکشه، و این یعنی دفاعای محلی یا شرکتی معمولی عملاً هیچ دیدی نسبت بهش ندارن.»
از طرفی Deep Research که اوپنایآی فوریه ۲۰۲۵ راه انداخت، یه قابلیت عامل محور توی چتجیپیتیه که چندمرحله ای روی اینترنت تحقیق میکنه تا گزارش های مفصل بده. طی سال گذشته، قابلیت های تحلیلی مشابه به بعضی چت باتای معروف دیگه مثل Google Gemini و Perplexity هم اضافه شده.
طبق توضیحات Radware، توی حمله، یه ایمیل ظاهراً بیخطر فرستاده میشه به قربانی که داخلش با متن سفید روی زمینه سفید یا ترفندهای CSS دستورات نامریی قرار داده شده دستورات میگن ایجنت بره اطلاعات شخصیشون رو از بقیه ایمیلهای توی اینباکس جمع کنه و به یه سرور خارجی بفرسته.
بعد وقتی قربانی از ChatGPT Deep Research میخواد ایمیلهای جیمیلش رو تحلیل کنه، ایجنت اون تزریق پرامپت غیرمستقیم داخل ایمیل مخرب رو میخونه و اطلاعات رو در قالب Base64 رمزگذاری شده به مهاجم میفرسته با استفاده از ابزار browser.open().
نقل قول:
«ما یه پرامپت جدید ساختیم که صریحاً به ایجنټ گفته بود از ابزار browser.open() با اون URL مخرب استفاده کنه.» Radware گفت. «استراتژی نهایی و موفق مون این بود که ایجنت رو وادار کنیم قبل از چسبوندن دادهها به URL، اطلاعات PII استخراج شده رو به Base64 تبدیل کنه. ما این کار رو بهعنوان یه تدبیر امنیتی برای محافظت از دادهها طی انتقال قالببندی کردیم.»
اثبات مفهوم (PoC) به فعال بودن اتصال Gmail توسط کاربر بستگی داره، اما این حمله میتونه به هر کانکتوری که ChatGPT پشتیبانی میکنه گسترش پیدا کنه مثل Box، Dropbox، GitHub، Google Drive، HubSpot، Microsoft Outlook، Notion یا SharePoint — که عملاً سطح حمله رو بزرگتر میکنه.
برخلاف حمله هایی مثل AgentFlayer و EchoLeak که سمت کلاینت رخ میدن، نشت اطلاعات توی ShadowLeak مستقیم داخل فضای ابری اوپنایآی رخ میده و از کنترل های امنیتی سنتی هم عبور میکنه. همین نبودِ دید و نظارت، تفاوت اصلی این حمله با بقیه آسیب پذیری های تزریق غیرمستقیم پرامپته.
همزمان با این افشا، پلتفرم امنیتی AI به اسم SPLX نشون داد که با پرامپت های دقیق و context poisoning میشه محدودیت های داخلی ایجنت چتجیپیتی رو دور زد و حتی کپچاهای تصویری ای که برای ثابت کردن انسان بودن تعبیه شدهاند رو حل کرد.
اساسا میان یه چت معمولی ChatGPT-4o باز میکنن و مدل رو قانع میکنن که برای چیزی که بهش گفته شده لیستی از کپچا های تقلبی رو حل کنه. مرحله بعد، یه چت ایجنټ جدید باز میکنن و گفتگوی قبلی با LLM رو اونجا پیست میکنن و میگن این «بحث قبلی ما» بوده در نتیجه مدل بدون مقاومت کپچاها رو حل میکنه.
«ترفند این بود که کپچا رو بهعنوان 'تقلبی' قاببندی کنن و مکالمهای بسازن که توش ایجنټ قبلا قبول کرده ادامه بده. با به ارث بردن اون کانتکست، دیگه علائم هشداردهنده معمول رو نمیدید.» محقق امنیتی Dorian Schultz گفت.
«ایجنت فقط کپچاهای ساده رو حل نکرد، حتی کپچاهای تصویری رو هم حل کرد طوری که مکاننمای موس رو هم طوری حرکت میداد که شبیه رفتار انسانی باشه. مهاجمها میتونن کنترلهای واقعی رو 'تقلبی' جا بزنن تا دورشون بزنن؛ این موضوع ضرورت حفظ یکپارچگی کانتکست memory hygiene و رد تیمینگ مداوم رو روشن میکنه.»
اسم این کلاس جدید از حمله رو Radware گذاشته ShadowLeak. بعد از اینکه موضوع روز ۱۸ ژوئن ۲۰۲۵ بهصورت مسئولانه گزارش شد، اوپنایآی اوایل آگوست مشکل رو برطرف کرد.
«حمله از یه تزریق پرامپت غیرمستقیم استفاده میکنه که میشه توی HTML ایمیل قایمش کرد (فونت خیلی ریز، متن سفید روی زمینه سفید، ترفندهای لِیآوت) تا کاربر اصلاً متوجه دستورات نشه، ولی ایجنټ همچنان اونا رو میخونه و اجرا میکنه.»
این جمله رو محققای امنیت Zvika Babo، Gabi Nakibly و Maor Uziel گفتن:
«برخلاف پژوهشای قبلی که برای راهانداختن نشت باید رندر تصویر سمت کلاینت فعال میشد، این حمله داده ها رو مستقیماً از زیرساخت ابری اوپنایآی بیرون میکشه، و این یعنی دفاعای محلی یا شرکتی معمولی عملاً هیچ دیدی نسبت بهش ندارن.»
از طرفی Deep Research که اوپنایآی فوریه ۲۰۲۵ راه انداخت، یه قابلیت عامل محور توی چتجیپیتیه که چندمرحله ای روی اینترنت تحقیق میکنه تا گزارش های مفصل بده. طی سال گذشته، قابلیت های تحلیلی مشابه به بعضی چت باتای معروف دیگه مثل Google Gemini و Perplexity هم اضافه شده.
طبق توضیحات Radware، توی حمله، یه ایمیل ظاهراً بیخطر فرستاده میشه به قربانی که داخلش با متن سفید روی زمینه سفید یا ترفندهای CSS دستورات نامریی قرار داده شده دستورات میگن ایجنت بره اطلاعات شخصیشون رو از بقیه ایمیلهای توی اینباکس جمع کنه و به یه سرور خارجی بفرسته.
بعد وقتی قربانی از ChatGPT Deep Research میخواد ایمیلهای جیمیلش رو تحلیل کنه، ایجنت اون تزریق پرامپت غیرمستقیم داخل ایمیل مخرب رو میخونه و اطلاعات رو در قالب Base64 رمزگذاری شده به مهاجم میفرسته با استفاده از ابزار browser.open().
نقل قول:
«ما یه پرامپت جدید ساختیم که صریحاً به ایجنټ گفته بود از ابزار browser.open() با اون URL مخرب استفاده کنه.» Radware گفت. «استراتژی نهایی و موفق مون این بود که ایجنت رو وادار کنیم قبل از چسبوندن دادهها به URL، اطلاعات PII استخراج شده رو به Base64 تبدیل کنه. ما این کار رو بهعنوان یه تدبیر امنیتی برای محافظت از دادهها طی انتقال قالببندی کردیم.»
اثبات مفهوم (PoC) به فعال بودن اتصال Gmail توسط کاربر بستگی داره، اما این حمله میتونه به هر کانکتوری که ChatGPT پشتیبانی میکنه گسترش پیدا کنه مثل Box، Dropbox، GitHub، Google Drive، HubSpot، Microsoft Outlook، Notion یا SharePoint — که عملاً سطح حمله رو بزرگتر میکنه.
برخلاف حمله هایی مثل AgentFlayer و EchoLeak که سمت کلاینت رخ میدن، نشت اطلاعات توی ShadowLeak مستقیم داخل فضای ابری اوپنایآی رخ میده و از کنترل های امنیتی سنتی هم عبور میکنه. همین نبودِ دید و نظارت، تفاوت اصلی این حمله با بقیه آسیب پذیری های تزریق غیرمستقیم پرامپته.
همزمان با این افشا، پلتفرم امنیتی AI به اسم SPLX نشون داد که با پرامپت های دقیق و context poisoning میشه محدودیت های داخلی ایجنت چتجیپیتی رو دور زد و حتی کپچاهای تصویری ای که برای ثابت کردن انسان بودن تعبیه شدهاند رو حل کرد.
اساسا میان یه چت معمولی ChatGPT-4o باز میکنن و مدل رو قانع میکنن که برای چیزی که بهش گفته شده لیستی از کپچا های تقلبی رو حل کنه. مرحله بعد، یه چت ایجنټ جدید باز میکنن و گفتگوی قبلی با LLM رو اونجا پیست میکنن و میگن این «بحث قبلی ما» بوده در نتیجه مدل بدون مقاومت کپچاها رو حل میکنه.
«ترفند این بود که کپچا رو بهعنوان 'تقلبی' قاببندی کنن و مکالمهای بسازن که توش ایجنټ قبلا قبول کرده ادامه بده. با به ارث بردن اون کانتکست، دیگه علائم هشداردهنده معمول رو نمیدید.» محقق امنیتی Dorian Schultz گفت.
«ایجنت فقط کپچاهای ساده رو حل نکرد، حتی کپچاهای تصویری رو هم حل کرد طوری که مکاننمای موس رو هم طوری حرکت میداد که شبیه رفتار انسانی باشه. مهاجمها میتونن کنترلهای واقعی رو 'تقلبی' جا بزنن تا دورشون بزنن؛ این موضوع ضرورت حفظ یکپارچگی کانتکست memory hygiene و رد تیمینگ مداوم رو روشن میکنه.»
🔥5