آژانس های امنیت سایبری از کشور های استرالیا، کانادا، نیوزیلند و آمریکا یه اخطاریه مشترک دادن درباره یه روش دردسرساز به اسم «فَست فلوکس» که بعضی هکرها ازش استفاده میکنن تا مخفی بمونن و سرور C2 رو قایم کنن.
"فَست فلوکس یه تکنیکه که برای مخفی کردن مکان سرور های مخرب استفاده میشه، اونم با عوض کردن سریع رکورد های DNS که به یه دامین خاص وصلن"، اینو آژانس ها گفتن. "این تهدید از یه نقطه ضعف معمول تو سیستم های دفاعی شبکه سوء استفاده میکنه، واسه همین هم ردگیری و بستن این فعالیت های مخرب خیلی سخت میشه."
این هشدار توسط سازمانهای بزرگی منتشر شده مثل: سازمان امنیت سایبری و زیرساخت آمریکا (CISA)، آژانس امنیت ملی آمریکا (NSA)، افبیآی، مرکز امنیت سایبری استرالیا، مرکز امنیت سایبری کانادا و مرکز امنیت سایبری نیوزیلند.
تو چند سال اخیر، کلی گروه هکری از این روش استفاده کردن، مخصوصاً اونایی که به گروه های مثل Gamaredon، CryptoChameleon و Raspberry Robin وصلن، تا سرورهای مخرب شون راحت تر از دست سیستم های امنیتی و پلیس فرار کنن.
ماجرا چیه؟ طرف میاد کلی آی پی مختلف رو استفاده میکنه و سریع سریع اونا رو عوض میکنه، ولی همشون به یه دامین مخرب اشاره دارن. اولین بار سال ۲۰۰۷ این روش تو پروژه ای به اسم Honeynet کشف شد.
این کار یا به صورت «سینگل فلوکس» انجام میشه، یعنی یه دامین به کلی آیپی مختلف وصله، یا به صورت «دابل فلوکس»، که توش هم آی پی ها و هم سرور های DNS که وظیفه پاسخ به اون دامین رو دارن، دائم عوض میشن. اینجوری هم بیشتر پنهون میشن، هم محکم تر.
آژانس ها گفتن این فست فلوکس فقط واسه قایم کردن سرورها نیست، بلکه یه زیرساخت با دوام و مقاوم واسه C2 درست میکنه که در برابر تلاش های شناسایی و نابود کردن، سرسخت بمونه.
ولی تموم ماجرا این نیست. فست فلوکس تو خیلی کارای دیگه هم نقش داره، مثلا واسه میزبانی سایت های فیشینگ یا حتی پخش کردن بدافزارها.
حالا واسه مقابله با این قضیه، آژانس ها پیشنهاد دادن که سازمان ها بیان آی پی ها رو بلاک کنن، دامین های مشکوک رو به اصطلاح «سینک هول» کنن (یعنی یه جورایی بندازن تو یه چاه بی ته که دیگه کار نکنن)، ترافیک رفت و آمد به دامین ها و آی پی هایی که مشکوک هستن رو فیلتر کنن، سیستم های مانیتورینگ قوی تر راه بندازن و آموزش های ضد فیشینگ بدن.
در نهایت، آژانس ها گفتن: "فست فلوکس یه تهدید همیشگی برای امنیت شبکه هاست که با زیرساخت های در حال تغییر سریع، فعالیت های مخرب رو قایم میکنه. با اجرای استراتژی های درست برای تشخیص و مقابله، سازمان ها میتونن تا حد زیادی جلوی آسیب دیدن از تهدیدهای مبتنی بر فست فلوکس رو بگیرن."
"فَست فلوکس یه تکنیکه که برای مخفی کردن مکان سرور های مخرب استفاده میشه، اونم با عوض کردن سریع رکورد های DNS که به یه دامین خاص وصلن"، اینو آژانس ها گفتن. "این تهدید از یه نقطه ضعف معمول تو سیستم های دفاعی شبکه سوء استفاده میکنه، واسه همین هم ردگیری و بستن این فعالیت های مخرب خیلی سخت میشه."
این هشدار توسط سازمانهای بزرگی منتشر شده مثل: سازمان امنیت سایبری و زیرساخت آمریکا (CISA)، آژانس امنیت ملی آمریکا (NSA)، افبیآی، مرکز امنیت سایبری استرالیا، مرکز امنیت سایبری کانادا و مرکز امنیت سایبری نیوزیلند.
تو چند سال اخیر، کلی گروه هکری از این روش استفاده کردن، مخصوصاً اونایی که به گروه های مثل Gamaredon، CryptoChameleon و Raspberry Robin وصلن، تا سرورهای مخرب شون راحت تر از دست سیستم های امنیتی و پلیس فرار کنن.
ماجرا چیه؟ طرف میاد کلی آی پی مختلف رو استفاده میکنه و سریع سریع اونا رو عوض میکنه، ولی همشون به یه دامین مخرب اشاره دارن. اولین بار سال ۲۰۰۷ این روش تو پروژه ای به اسم Honeynet کشف شد.
این کار یا به صورت «سینگل فلوکس» انجام میشه، یعنی یه دامین به کلی آیپی مختلف وصله، یا به صورت «دابل فلوکس»، که توش هم آی پی ها و هم سرور های DNS که وظیفه پاسخ به اون دامین رو دارن، دائم عوض میشن. اینجوری هم بیشتر پنهون میشن، هم محکم تر.
آژانس ها گفتن این فست فلوکس فقط واسه قایم کردن سرورها نیست، بلکه یه زیرساخت با دوام و مقاوم واسه C2 درست میکنه که در برابر تلاش های شناسایی و نابود کردن، سرسخت بمونه.
ولی تموم ماجرا این نیست. فست فلوکس تو خیلی کارای دیگه هم نقش داره، مثلا واسه میزبانی سایت های فیشینگ یا حتی پخش کردن بدافزارها.
حالا واسه مقابله با این قضیه، آژانس ها پیشنهاد دادن که سازمان ها بیان آی پی ها رو بلاک کنن، دامین های مشکوک رو به اصطلاح «سینک هول» کنن (یعنی یه جورایی بندازن تو یه چاه بی ته که دیگه کار نکنن)، ترافیک رفت و آمد به دامین ها و آی پی هایی که مشکوک هستن رو فیلتر کنن، سیستم های مانیتورینگ قوی تر راه بندازن و آموزش های ضد فیشینگ بدن.
در نهایت، آژانس ها گفتن: "فست فلوکس یه تهدید همیشگی برای امنیت شبکه هاست که با زیرساخت های در حال تغییر سریع، فعالیت های مخرب رو قایم میکنه. با اجرای استراتژی های درست برای تشخیص و مقابله، سازمان ها میتونن تا حد زیادی جلوی آسیب دیدن از تهدیدهای مبتنی بر فست فلوکس رو بگیرن."
یه سری افزونه (extension) مرورگر هستن که واقعاً کارای ناجوری میکنن ...
بعضیاشون نهتنها کار خاصی انجام نمیدن، بلکه کاربر رو یواشکی میفرستن تو سایت های شرطبندی، یا هشدار جعلی ویروس اپل نشون میدن، یا اینکه خریدای کاربر رو میدزدن و از طریق لینکهای افیلیت (همونهایی که پورسانت میدن) میفرستن تا پول به جیب بزنن.
بدتر از همه اینه که بعضیاشون حتی یواشکی یه آی فریم نامرئی تو صفحه جا میندازن که یه آیدی مخصوص توش هست و میتونه کاربر رو شناسایی و ردیابی کنه، بدون اینکه بفهمه...
همه این افزونهها توسط یه آدم خرابکار با اسم کاربری "mre1903" منتشر شدن. اسامیشون ایناست:
CalSyncMaster
VPN - Grab a Proxy - Free
GimmeGimme
Five Nights at Freddy's
Little Alchemy 2
Bubble Spinner
1v1.LOL
Krunker io Game
تحقیقگر امنیتی به اسم Kush Pandya از شرکت Socket گفته:
"افزونههای مرورگر هنوزم یکی از مسیرهای محبوب برای حمله هستن، چون هم از نظر کاربرا قابل اعتمادن، هم دسترسیهای خیلی زیادی دارن، و هم میتونن تو همون محیط امن مرورگر اجرا بشن."
بعدش اضافه کرده: "ما داریم میبینیم که تهدیدها از یه چیز ساده مثل ریدایرکت های الکی، سریع پیشرفت میکنن و میرسن به دزدیدن اطلاعات لاگین با استفاده از OAuth. این نشون میده که چقدر سریع این حملات دارن پیشرفت میکنن و بزرگ میشن."
و از همه بدتر، اون زیرساخت ریدایرکت کردن (که اولش فقط برای پرتکردن کاربر به سایت شرطبندی استفاده میشد)، خیلی راحت میتونه برای کارای بدتری هم استفاده بشه مثل ردیابی کامل کاربر، دزدیدن رمز و اطلاعات حسابهاش، یا حتی پخش بدافزار و ویروس.
بعضیاشون نهتنها کار خاصی انجام نمیدن، بلکه کاربر رو یواشکی میفرستن تو سایت های شرطبندی، یا هشدار جعلی ویروس اپل نشون میدن، یا اینکه خریدای کاربر رو میدزدن و از طریق لینکهای افیلیت (همونهایی که پورسانت میدن) میفرستن تا پول به جیب بزنن.
بدتر از همه اینه که بعضیاشون حتی یواشکی یه آی فریم نامرئی تو صفحه جا میندازن که یه آیدی مخصوص توش هست و میتونه کاربر رو شناسایی و ردیابی کنه، بدون اینکه بفهمه...
همه این افزونهها توسط یه آدم خرابکار با اسم کاربری "mre1903" منتشر شدن. اسامیشون ایناست:
CalSyncMaster
VPN - Grab a Proxy - Free
GimmeGimme
Five Nights at Freddy's
Little Alchemy 2
Bubble Spinner
1v1.LOL
Krunker io Game
تحقیقگر امنیتی به اسم Kush Pandya از شرکت Socket گفته:
"افزونههای مرورگر هنوزم یکی از مسیرهای محبوب برای حمله هستن، چون هم از نظر کاربرا قابل اعتمادن، هم دسترسیهای خیلی زیادی دارن، و هم میتونن تو همون محیط امن مرورگر اجرا بشن."
بعدش اضافه کرده: "ما داریم میبینیم که تهدیدها از یه چیز ساده مثل ریدایرکت های الکی، سریع پیشرفت میکنن و میرسن به دزدیدن اطلاعات لاگین با استفاده از OAuth. این نشون میده که چقدر سریع این حملات دارن پیشرفت میکنن و بزرگ میشن."
و از همه بدتر، اون زیرساخت ریدایرکت کردن (که اولش فقط برای پرتکردن کاربر به سایت شرطبندی استفاده میشد)، خیلی راحت میتونه برای کارای بدتری هم استفاده بشه مثل ردیابی کامل کاربر، دزدیدن رمز و اطلاعات حسابهاش، یا حتی پخش بدافزار و ویروس.
❤🔥3
هکرها دارن وارد یه فاز جدیدی تو ساخت بات نتها میشن؛ جایی که از دراپرهای چندمعماری، ارتباط با سرور کنترل از طریق DoH و پِیلودهای رمز شده با XOR استفاده میکنن تا از دست IDS های قدیمی در برن.
تو این دسته، بدافزار RondoDox کنار تهدیدهایی مثل RustoBot و Mozi قرار میگیره؛ همگی ساخته شدن تا از ضعف امنیتی تو دستگاههای IoT و مودم ها سوءاستفاده کنن.
از طرفی RondoDox میاد چند پوشه مهم لینوکسی مثل /usr/bin و /usr/sbin رو اسکن میکنه و فایل های اجرایی حساسی مثل iptables, passwd, reboot و ... رو با اسمهایی مثل jsuJpf یا gaajct تغییر میده تا بازیابیشون سخت بشه.
بعد از نصب، با سرور 83.150.218.93 تماس میگیره تا دستور حملات DDoS با پروتکل های HTTP، UDP و TCP رو بگیره.
برای اینکه ترافیکش شناسایی نشه، خودش رو جا میزنه جای برنامه هایی مثل:
Minecraft
Fortnite
GTA
Roblox
Discord
OpenVPN
WireGuard
RakNet
STUN، DTLS و RTC
ایدهش اینه که توی ترافیک طبیعی گم بشه و شناسایی نشه.
طبق گفته "Li"، RondoDox یه بدافزار پیشرفته هست با ویژگی هایی مثل:
ضدمکانیزم تحلیل
کانفیگ رمز شده با XOR
لایبرریهای اختصاصی
سیستم موندگاری قوی
که باعث میشن راحت مخفی بمونه و کنترل بلندمدت روی سیستم داشته باشه.
تو این دسته، بدافزار RondoDox کنار تهدیدهایی مثل RustoBot و Mozi قرار میگیره؛ همگی ساخته شدن تا از ضعف امنیتی تو دستگاههای IoT و مودم ها سوءاستفاده کنن.
از طرفی RondoDox میاد چند پوشه مهم لینوکسی مثل /usr/bin و /usr/sbin رو اسکن میکنه و فایل های اجرایی حساسی مثل iptables, passwd, reboot و ... رو با اسمهایی مثل jsuJpf یا gaajct تغییر میده تا بازیابیشون سخت بشه.
بعد از نصب، با سرور 83.150.218.93 تماس میگیره تا دستور حملات DDoS با پروتکل های HTTP، UDP و TCP رو بگیره.
برای اینکه ترافیکش شناسایی نشه، خودش رو جا میزنه جای برنامه هایی مثل:
Minecraft
Fortnite
GTA
Roblox
Discord
OpenVPN
WireGuard
RakNet
STUN، DTLS و RTC
ایدهش اینه که توی ترافیک طبیعی گم بشه و شناسایی نشه.
طبق گفته "Li"، RondoDox یه بدافزار پیشرفته هست با ویژگی هایی مثل:
ضدمکانیزم تحلیل
کانفیگ رمز شده با XOR
لایبرریهای اختصاصی
سیستم موندگاری قوی
که باعث میشن راحت مخفی بمونه و کنترل بلندمدت روی سیستم داشته باشه.
یه گروه هکری معروف که فکر میکنن ریشه اون برمیگرده به هند، دیده شده که یکی از وزارتخانه های امور خارجه اروپا رو با یه بدافزار هدف گرفته که توانایی داره اطلاعات حساس رو از سیستم قربانی بکشه بیرون.
مرکز تحقیقات پیشرفته Trellix گفته این حمله توسط یه گروه APT پیشرفته به اسم DoNot Team انجام شده. این گروه اسم های دیگهای هم داره، مثل APT‑C‑35، Mint Tempest، Origami Elephant، SECTOR02 و Viceroy Tiger، و از سال ۲۰۱۶ تا الان فعاله.
محقق های Trellix گفتن که این گروه عادت داره از بدافزارهای مخصوص ویندوز استفاده کنه که خودشون نوشتنش، مثل بک دور هایی با اسم YTY و GEdit. این بدافزارها معمولاً با ایمیل های فیشینگ هدفمند (spear phishing) یا فایل های مخرب پخش میشن. هدف اصلیشون معمولاً سازمانهای دولتی، وزارتخانه ها، ارتش و سازمانهای غیردولتی توی جنوب آسیا و اروپا هستن.
تو این حمله، طرف مقابل یه ایمیل دریافت کرده از یه حساب جعلی Gmail با اسم مشکوک، که مثلاً خودش رو زده به عنوان تیم دفاعی. موضوع ایمیل هم یه چیزی بوده مثل "بازدید وابسته نظامی ایتالیا از داکا، بنگلادش" تا قشنگ رسمی و واقعی به نظر برسه. توی ایمیل یه لینک Google Drive گذاشتن که وقتی روش کلیک میکنی، یه فایل RAR به اسم SyClrLtr.rar دانلود میکنی.
داخل این فایل RAR، یه فایل اجرایی هست به اسم notflog.exe که آیکونش شبیه فایل PDF طراحی شده تا کسی شک نکنه. وقتی این فایل اجرا بشه، یه اسکریپت batch میسازه و توی پوشه Temp ذخیره میکنه و بعد یه scheduled task به اسم "PerformTaskMaintain" درست میکنه که هر ۱۰ دقیقه یهبار اجرا میشه. این بدافزار همون چیزیه که بهش میگن LoptikMod، که از سال ۲۰۱۸ تا حالا فقط گروه DoNot ازش استفاده کرده.
محققها بررسی کردن و دیدن توی فایل اجرایی یه استرینگ وجود داره که نوشته "Loptik" که نشون میده این همون بدافزار LoptikMod هست. از بین ۶۵۳ تابع داخل این فایل، حداقل ۱۹ تا از اونا قبلاً به عنوان بخشهای مخرب شناسایی شدن. خیلی از رشتهها به صورت رمز شده بودن و بعضی قسمت ها هم به شکل packed بودن، که اینا همش برای سخت تر کردن تحلیل انجام شده.
این فایل بدافزار همچنین از تابعهای runtime مثل LoadLibrary و GetProcAddress استفاده میکنه تا APIهای لازم رو از سیستم فراخوانی کنه بدون اینکه مستقیم توی کد دیده بشه. DLLهایی مثل wininet.dll، advapi32.dll، winhttp.dll، urlmon.dll و ws2_32.dll هم بارگذاری میشن.
وقتی بدافزار اجرا میشه، اول یه mutex به اسم "08808" میسازه تا مطمئن بشه فقط یه نمونه از برنامه در حال اجراست. بعد با استفاده از یه دستور سطح پایین (IN instruction) بررسی میکنه که آیا توی یه ماشین مجازی داره اجرا میشه یا نه. بعد یه پوشه موقتی به اسم %LocalAppdata%\TEMP\FROX\ درست میکنه و یه فایل batch داخل اون میریزه.
برای اینکه مطمئن بشه بعد از ری استارت سیستم هم میتونه اجرا بشه، یه task دیگه هم درست میکنه به اسم "MicorsoftVelocity" (که خیلی شبیه Microsoft نوشته شده ولی عمداً اشتباهه تا گمراه کنه) که وظیفه اون اجرای یه DLL مخرب به اسم socker.dll هست.
این بدافزار اطلاعات سیستم رو هم جمعآوری میکنه، مثل مدل CPU، نسخه ویندوز، اسم کاربر، اسم دستگاه، شناسه پردازنده، لیست نرمافزارهای نصب شده و ... بعد این اطلاعات رو با الگوریتم AES رمزگذاری میکنه و تبدیلشون میکنه به Base64 و از طریق HTTP POST میفرسته به سرور فرماندهی که آدرسش هست totalservices[.]info.
ارتباط با این سرور از طریق HTTPS انجام میشه و آی پیش هم 64.52.80.252 هست. احتمال داره از این طریق دستورهای بیشتری هم به بدافزار فرستاده بشه، یا فایلهای جدیدی مثل socker.dll دانلود و اجرا بشن.
البته در زمان بررسی Trellix، این سرور C2 (فرماندهی و کنترل) از کار افتاده بوده. این میتونه به این معنی باشه که یا موقتاً خاموشش کردن یا اینکه هکرها کلاً رفتن سراغ یه سرور جدید.
این گروه APT که به اسم DoNot شناخته میشن، از سال ۲۰۱۶ تا حالا فعال بوده و بیشتر توی منطقهی جنوب آسیا هدفگذاری میکردن. ولی این حمله جدید که مربوط به یه نهاد دولتی اروپاییه، نشون میده که هدف هاشون حالا گسترده تر شده و دیگه فقط به آسیا محدود نمیشن.
تاکتیک هاشون هم به روز شده. از spear-phishing پیشرفته، فایلهای آرشیو شده فریبنده، و بدافزارهای سفارشی شده استفاده میکنن. همچنین از سرویسهایی مثل Google Drive برای پخش بدافزار استفاده میکنن که این نشون میده چقدر زرنگ و خلاق هستن .
مرکز تحقیقات پیشرفته Trellix گفته این حمله توسط یه گروه APT پیشرفته به اسم DoNot Team انجام شده. این گروه اسم های دیگهای هم داره، مثل APT‑C‑35، Mint Tempest، Origami Elephant، SECTOR02 و Viceroy Tiger، و از سال ۲۰۱۶ تا الان فعاله.
محقق های Trellix گفتن که این گروه عادت داره از بدافزارهای مخصوص ویندوز استفاده کنه که خودشون نوشتنش، مثل بک دور هایی با اسم YTY و GEdit. این بدافزارها معمولاً با ایمیل های فیشینگ هدفمند (spear phishing) یا فایل های مخرب پخش میشن. هدف اصلیشون معمولاً سازمانهای دولتی، وزارتخانه ها، ارتش و سازمانهای غیردولتی توی جنوب آسیا و اروپا هستن.
تو این حمله، طرف مقابل یه ایمیل دریافت کرده از یه حساب جعلی Gmail با اسم مشکوک، که مثلاً خودش رو زده به عنوان تیم دفاعی. موضوع ایمیل هم یه چیزی بوده مثل "بازدید وابسته نظامی ایتالیا از داکا، بنگلادش" تا قشنگ رسمی و واقعی به نظر برسه. توی ایمیل یه لینک Google Drive گذاشتن که وقتی روش کلیک میکنی، یه فایل RAR به اسم SyClrLtr.rar دانلود میکنی.
داخل این فایل RAR، یه فایل اجرایی هست به اسم notflog.exe که آیکونش شبیه فایل PDF طراحی شده تا کسی شک نکنه. وقتی این فایل اجرا بشه، یه اسکریپت batch میسازه و توی پوشه Temp ذخیره میکنه و بعد یه scheduled task به اسم "PerformTaskMaintain" درست میکنه که هر ۱۰ دقیقه یهبار اجرا میشه. این بدافزار همون چیزیه که بهش میگن LoptikMod، که از سال ۲۰۱۸ تا حالا فقط گروه DoNot ازش استفاده کرده.
محققها بررسی کردن و دیدن توی فایل اجرایی یه استرینگ وجود داره که نوشته "Loptik" که نشون میده این همون بدافزار LoptikMod هست. از بین ۶۵۳ تابع داخل این فایل، حداقل ۱۹ تا از اونا قبلاً به عنوان بخشهای مخرب شناسایی شدن. خیلی از رشتهها به صورت رمز شده بودن و بعضی قسمت ها هم به شکل packed بودن، که اینا همش برای سخت تر کردن تحلیل انجام شده.
این فایل بدافزار همچنین از تابعهای runtime مثل LoadLibrary و GetProcAddress استفاده میکنه تا APIهای لازم رو از سیستم فراخوانی کنه بدون اینکه مستقیم توی کد دیده بشه. DLLهایی مثل wininet.dll، advapi32.dll، winhttp.dll، urlmon.dll و ws2_32.dll هم بارگذاری میشن.
وقتی بدافزار اجرا میشه، اول یه mutex به اسم "08808" میسازه تا مطمئن بشه فقط یه نمونه از برنامه در حال اجراست. بعد با استفاده از یه دستور سطح پایین (IN instruction) بررسی میکنه که آیا توی یه ماشین مجازی داره اجرا میشه یا نه. بعد یه پوشه موقتی به اسم %LocalAppdata%\TEMP\FROX\ درست میکنه و یه فایل batch داخل اون میریزه.
برای اینکه مطمئن بشه بعد از ری استارت سیستم هم میتونه اجرا بشه، یه task دیگه هم درست میکنه به اسم "MicorsoftVelocity" (که خیلی شبیه Microsoft نوشته شده ولی عمداً اشتباهه تا گمراه کنه) که وظیفه اون اجرای یه DLL مخرب به اسم socker.dll هست.
این بدافزار اطلاعات سیستم رو هم جمعآوری میکنه، مثل مدل CPU، نسخه ویندوز، اسم کاربر، اسم دستگاه، شناسه پردازنده، لیست نرمافزارهای نصب شده و ... بعد این اطلاعات رو با الگوریتم AES رمزگذاری میکنه و تبدیلشون میکنه به Base64 و از طریق HTTP POST میفرسته به سرور فرماندهی که آدرسش هست totalservices[.]info.
ارتباط با این سرور از طریق HTTPS انجام میشه و آی پیش هم 64.52.80.252 هست. احتمال داره از این طریق دستورهای بیشتری هم به بدافزار فرستاده بشه، یا فایلهای جدیدی مثل socker.dll دانلود و اجرا بشن.
البته در زمان بررسی Trellix، این سرور C2 (فرماندهی و کنترل) از کار افتاده بوده. این میتونه به این معنی باشه که یا موقتاً خاموشش کردن یا اینکه هکرها کلاً رفتن سراغ یه سرور جدید.
این گروه APT که به اسم DoNot شناخته میشن، از سال ۲۰۱۶ تا حالا فعال بوده و بیشتر توی منطقهی جنوب آسیا هدفگذاری میکردن. ولی این حمله جدید که مربوط به یه نهاد دولتی اروپاییه، نشون میده که هدف هاشون حالا گسترده تر شده و دیگه فقط به آسیا محدود نمیشن.
تاکتیک هاشون هم به روز شده. از spear-phishing پیشرفته، فایلهای آرشیو شده فریبنده، و بدافزارهای سفارشی شده استفاده میکنن. همچنین از سرویسهایی مثل Google Drive برای پخش بدافزار استفاده میکنن که این نشون میده چقدر زرنگ و خلاق هستن .
❤4🆒2
توی یه خبر لینوکسی جدید wayland که یه جایگزین اوپن سورس برای پروتکل و معماری سیستم پنجرهای X11 هست، یکی دو روز پیش به نسخهٔ ۱.۲۴ آپدیت شده و کلی ویژگی و بهبود جدید بهش اضافه شده.
تو نسخهٔ Wayland 1.24 یه رابط جدید به اسم wl_fixes اضافه شده که اجازه میده بتونی یه شیٔ wl_registry رو با یه درخواست جدید حذف کنی. همین طور تو این نسخه، دوتا تابع جدید به اسم های wl_proxy_get_interface() و wl_resource_get_interface() معرفی شدن که بهت اجازه میدن رابط شیٔ (یعنی wl_interface) رو دریافت کنی. دوتا تابع دیگه به اسمهای wl_display_dispatch_queue_timeout() و wl_display_dispatch_timeout() هم اضافه شدن که باهاشون میتونی برای dispatch کردن eventها یه timeout تنظیم کنی.
نسخهٔ جدید Wayland همینطور یه وضعیت جدید برای wl_keyboard.key معرفی کرده به اسم repeated state که باعث میشه کامپوزیتور (مدیر پنجرهها) خودش مسئول تکرار کلیدها بشه. این موضوع توی سشن های دسکتاپ از راه دور خیلی کاربردیه. همچنین یه تابع دیگه هم به اسم wl_resource_post_error_vargs() معرفی شده که یه جایگزین برای wl_resource_post_error() هست، مخصوص وقتی که کامپوزیتور از قبل یه va_list داشته باشه.
علاوه بر اینها، تو این نسخه دوتا تابع جدید به اسمهای wl_shm_buffer_ref() و wl_shm_buffer_unref() هم اضافه شدن که بهت این امکان رو میدن به حافظهٔ پشت صحنهٔ wl_shm_buffer دسترسی داشته باشی حتی بعد از اینکه اون شیٔ پروتکلی از بین رفته باشه. مثلاً وقتی یه کلاینت (برنامهٔ کاربر) داره بسته میشه، این توابع خیلی به کارت میان.
همونطور که از یه نسخهٔ جدید Wayland انتظار میره، کلی باگ فیکس شده و بهبود توی تعریفهای پروتکل هم توش هست. اگه خواستی جزئیات بیشتر رو بخونی، میتونی بری سراغ اعلامیهٔ رسمی انتشار. همچنین اگه حال و حوصله داشتی، میتونی سورس Wayland 1.24 رو از سایت رسمی دانلود کنی و خودت از صفر کامپایلش کنی.
البته برای بیشتر کاربرا اصلاً نیازی نیست Wayland رو خودشون کامپایل کنن، چون معمولاً بهصورت پیش فرض روی توزیع لینوکسیشون نصب شده، حتی اگه خودشون ازش استفاده نکنن بنابراین فقط حواست باشه که نسخهٔ جدیدش کی وارد مخزن پایدار توزیعت میشه تا بتونی با یه آپدیت ساده از همهٔ ویژگیها و بهبودهای جدید لذت ببری.
تو نسخهٔ Wayland 1.24 یه رابط جدید به اسم wl_fixes اضافه شده که اجازه میده بتونی یه شیٔ wl_registry رو با یه درخواست جدید حذف کنی. همین طور تو این نسخه، دوتا تابع جدید به اسم های wl_proxy_get_interface() و wl_resource_get_interface() معرفی شدن که بهت اجازه میدن رابط شیٔ (یعنی wl_interface) رو دریافت کنی. دوتا تابع دیگه به اسمهای wl_display_dispatch_queue_timeout() و wl_display_dispatch_timeout() هم اضافه شدن که باهاشون میتونی برای dispatch کردن eventها یه timeout تنظیم کنی.
نسخهٔ جدید Wayland همینطور یه وضعیت جدید برای wl_keyboard.key معرفی کرده به اسم repeated state که باعث میشه کامپوزیتور (مدیر پنجرهها) خودش مسئول تکرار کلیدها بشه. این موضوع توی سشن های دسکتاپ از راه دور خیلی کاربردیه. همچنین یه تابع دیگه هم به اسم wl_resource_post_error_vargs() معرفی شده که یه جایگزین برای wl_resource_post_error() هست، مخصوص وقتی که کامپوزیتور از قبل یه va_list داشته باشه.
علاوه بر اینها، تو این نسخه دوتا تابع جدید به اسمهای wl_shm_buffer_ref() و wl_shm_buffer_unref() هم اضافه شدن که بهت این امکان رو میدن به حافظهٔ پشت صحنهٔ wl_shm_buffer دسترسی داشته باشی حتی بعد از اینکه اون شیٔ پروتکلی از بین رفته باشه. مثلاً وقتی یه کلاینت (برنامهٔ کاربر) داره بسته میشه، این توابع خیلی به کارت میان.
همونطور که از یه نسخهٔ جدید Wayland انتظار میره، کلی باگ فیکس شده و بهبود توی تعریفهای پروتکل هم توش هست. اگه خواستی جزئیات بیشتر رو بخونی، میتونی بری سراغ اعلامیهٔ رسمی انتشار. همچنین اگه حال و حوصله داشتی، میتونی سورس Wayland 1.24 رو از سایت رسمی دانلود کنی و خودت از صفر کامپایلش کنی.
البته برای بیشتر کاربرا اصلاً نیازی نیست Wayland رو خودشون کامپایل کنن، چون معمولاً بهصورت پیش فرض روی توزیع لینوکسیشون نصب شده، حتی اگه خودشون ازش استفاده نکنن بنابراین فقط حواست باشه که نسخهٔ جدیدش کی وارد مخزن پایدار توزیعت میشه تا بتونی با یه آپدیت ساده از همهٔ ویژگیها و بهبودهای جدید لذت ببری.
9to5Linux
Sway 1.11 Tiling Wayland Compositor Adds Support for Explicit Synchronization - 9to5Linux
Sway 1.11 tiling window manager and Wayland compositor is now available for download with explicit sync support and other changes.
👍1
۷ جولای ۲۰۲۵ گزارش شد دو تا نقص بحرانی این امکان رو به کاربرا میده که به سطح دسترسی root دست پیدا کنن.
همه توزیعهای اصلی لینوکس در برابر دو تا باگ توی sudo آسیبپذیر هستن. این دو آسیبپذیری به ترتیب این شناسهها رو دارن: CVE-2025-32462 و CVE-2025-32463. هرچند اون باگ اول امتیاز پایینی توی سیستم امتیازدهی آسیبپذیریها (CVSS) داره و فقط ۲.۸ هست، ولی دومی امتیاز ۹.۳ گرفته، که یعنی خیلی بحرانیه.
هر دو آسیبپذیری رو واحد تحقیقات امنیت سایبری شرکت Stratascale کشف کرده و میتونید گزارش کامل رو اینجا بخونید. یه نکته خیلی جالب توی این گزارش اینه که گفته شده: «CVE-2025-32462 بیش از ۱۲ ساله که توی کد وجود داشته بدون اینکه کسی متوجهش بشه.»
توی گزارش اومده که این CVE-2025-32462 «یه مشکله که از زمانی که گزینه host اضافه شده، یعنی ۱۲ سال پیش، جلوی چشم همه بوده ولی هیچکس ندیده. چون یه گزینه داخلیه، هیچ اکسپلویتی هم لازم نیست برای بالا بردن سطح دسترسی.» توی ادامه گزارش گفته میشه: «با این حال، این مشکل فقط در شرایطی قابل بهرهبرداریه که کانفیگهای خاصی استفاده شده باشن، مثلاً از دستورات Host یا Host_Alias، که معمولاً توی محیطهای شرکتی استفاده میشن.»
گزینه --host در sudo این امکان رو به کاربر میده که قوانین sudo مربوط به یه هاست خاص رو ببینه، و گزارش به جزئیات نشون میده که این گزینه چطور با اون باگها در تعامل قرار میگیره.
در مورد راه مقابله با این باگها، تنها کاری که باید بکنید اینه که مطمئن بشید نسخه sudo روی سیستمتون حداقل 1.9.17p1 یا بالاتر باشه. برای بررسی نسخه میتونید این دستور رو بزنید:
اگه نسخهتون پایینتر از 1.9.17p1 بود، فوراً بهروزرسانی کنید.
همه توزیعهای اصلی لینوکس در برابر دو تا باگ توی sudo آسیبپذیر هستن. این دو آسیبپذیری به ترتیب این شناسهها رو دارن: CVE-2025-32462 و CVE-2025-32463. هرچند اون باگ اول امتیاز پایینی توی سیستم امتیازدهی آسیبپذیریها (CVSS) داره و فقط ۲.۸ هست، ولی دومی امتیاز ۹.۳ گرفته، که یعنی خیلی بحرانیه.
هر دو آسیبپذیری رو واحد تحقیقات امنیت سایبری شرکت Stratascale کشف کرده و میتونید گزارش کامل رو اینجا بخونید. یه نکته خیلی جالب توی این گزارش اینه که گفته شده: «CVE-2025-32462 بیش از ۱۲ ساله که توی کد وجود داشته بدون اینکه کسی متوجهش بشه.»
توی گزارش اومده که این CVE-2025-32462 «یه مشکله که از زمانی که گزینه host اضافه شده، یعنی ۱۲ سال پیش، جلوی چشم همه بوده ولی هیچکس ندیده. چون یه گزینه داخلیه، هیچ اکسپلویتی هم لازم نیست برای بالا بردن سطح دسترسی.» توی ادامه گزارش گفته میشه: «با این حال، این مشکل فقط در شرایطی قابل بهرهبرداریه که کانفیگهای خاصی استفاده شده باشن، مثلاً از دستورات Host یا Host_Alias، که معمولاً توی محیطهای شرکتی استفاده میشن.»
گزینه --host در sudo این امکان رو به کاربر میده که قوانین sudo مربوط به یه هاست خاص رو ببینه، و گزارش به جزئیات نشون میده که این گزینه چطور با اون باگها در تعامل قرار میگیره.
در مورد راه مقابله با این باگها، تنها کاری که باید بکنید اینه که مطمئن بشید نسخه sudo روی سیستمتون حداقل 1.9.17p1 یا بالاتر باشه. برای بررسی نسخه میتونید این دستور رو بزنید:
sudo -V اگه نسخهتون پایینتر از 1.9.17p1 بود، فوراً بهروزرسانی کنید.
هکرهای چینی با Cobalt Strike و بکدورهای اختصاصی به صنعت نیمه رسانای تایوان حمله کردن. ۱۷ جولای ۲۰۲۵
صنعت نیمه رسانای تایوان هدف حمله فیشینگ سازمانیافته توسط سه گروه هکری چینی شده که پشتشون دولت چین هست.
شرکت امنیتی Proofpoint تو گزارشش نوشته: «هدف این حملات شامل شرکت های سازنده، طراح و تست کننده نیمه رساناها و مدارهای مجتمع میشه، حتی زنجیرهٔ تأمین تجهیزات و خدمات این صنعت و همینطور تحلیلگران مالی که تو بازار نیمه رسانای تایوان فعالیت دارن.»
این حملات که بین مارس تا ژوئن ۲۰۲۵ اتفاق افتاده، به سه گروه چینی نسبت داده شده با اسمهای رمز UNK_FistBump، UNK_DropPitch و UNK_SparkyCarp.
گروه UNK_FistBump با ایمیلهای فیشینگ کاریابی، به شرکتهای طراحی، بستهبندی، تولید و زنجیرهٔ تأمین نیمه رسانا حمله کرده. توی این حملات یا از Cobalt Strike استفاده شده یا یه بکدور اختصاصی به اسم Voldemort که قبلا هم برای حمله به بیش از ۷۰ سازمان جهانی استفاده شده.
ماجرا چیه؟
هکرها خودشون رو تو ایمیلها به مسئولان منابع انسانی شرکتهای هدف به عنوان یه دانشجوی فارغالتحصیل جا زدن و درخواست کار فرستادن. توی این ایمیلها (که احتمالاً از حسابهای هک شده ارسال شده) یه رزومهٔ تقلبی پیوست شده که ظاهرش PDF ، ولی در واقع یه فایل LNK هست (تکنیک جالبیه حقیقتا) وقتی قربانی این رزومه رو باز میکنه، یه فرآیند چندمرحلهای شروع میشه که یا Cobalt Strike نصب میشه یا بکدور Voldemort. همزمان یه سند فیک هم به قربانی نشون داده میشه که شک نکنه.
جالب اینجاست که Proofpoint میگه بکدور Voldemort قبلاً توسط گروهی به نام TA415 استفاده شده، که با گروه چینی APT41 (معروف به Brass Typhoon) ارتباط داره. اما حملات این گروه با UNK_FistBump فرق داره، چون از لودرهای متفاوتی برای نصب Cobalt Strike استفاده میکنن و آدرس IP ثابتی برای ارتباط با سرور فرماندهی دارن.
گروه دوم: UNK_DropPitch
این گروه به تحلیلگران سرمایه گذاری تو شرکت های بزرگ مالی که روی صنعت نیمه رسانای تایوان تمرکز دارن حمله کرده. تو ایمیلهای فیشینگشون (که آوریل و می ۲۰۲۵ فرستاده شدن) یه لینک به یه PDF جعلی گذاشتن. وقتی قربانی PDF رو باز میکنه، یه فایل ZIP دانلود میشه که توش یه DLL مخفی هست. این DLL یه بکدور به نام HealthKick که میتونه دستورات رو اجرا کنه، نتیجه رو ضبط کنه و برای سرور هکرها بفرسته.
تو یه حمله دیگه در پایان می ۲۰۲۵، همین گروه با تکنیک DLL Side-Loading یه Reverse Shell ایجاد کرده که به سرور هکرها (با IP 45.141.139.222) وصل میشه. بعد از این، اگر اطلاعات قربانی براشون جالب باشه، یه ابزار مدیریتی به نام Intel EMA نصب میکنن تا از راه دور کنترل سیستم رو بگیرن.
گروه سوم: UNK_SparkyCarp
این گروه با حملهٔ فیشینگ لاگین، یه شرکت نیمهرسانای تایوانی (بیاسم) رو هدف گرفته. ایمیلهای فیشینگشون هشدار امنیتی جعلی بودن و لینکی به یه صفحهٔ فیشینگ (accshieldportal.com) داشتن. جالب اینه که همین گروه قبلاً در نوامبر ۲۰۲۴ هم به همین شرکت حمله کرده بود.
یه گروه دیگه هم هست:UNK_ColtCentury
این گروه (که با اسمهای TAG-100 و Storm-2077 هم شناخته میشه) به کارمندان حقوقی یه شرکت نیمه رسانای تایوانی ایمیلهای بیخطر فرستاده تا اعتمادشون رو جلب کنن و در نهایت یه تروجان دسترسی از راه دور به نام Spark RAT نصب کنن.
صنعت نیمه رسانای تایوان هدف حمله فیشینگ سازمانیافته توسط سه گروه هکری چینی شده که پشتشون دولت چین هست.
شرکت امنیتی Proofpoint تو گزارشش نوشته: «هدف این حملات شامل شرکت های سازنده، طراح و تست کننده نیمه رساناها و مدارهای مجتمع میشه، حتی زنجیرهٔ تأمین تجهیزات و خدمات این صنعت و همینطور تحلیلگران مالی که تو بازار نیمه رسانای تایوان فعالیت دارن.»
این حملات که بین مارس تا ژوئن ۲۰۲۵ اتفاق افتاده، به سه گروه چینی نسبت داده شده با اسمهای رمز UNK_FistBump، UNK_DropPitch و UNK_SparkyCarp.
گروه UNK_FistBump با ایمیلهای فیشینگ کاریابی، به شرکتهای طراحی، بستهبندی، تولید و زنجیرهٔ تأمین نیمه رسانا حمله کرده. توی این حملات یا از Cobalt Strike استفاده شده یا یه بکدور اختصاصی به اسم Voldemort که قبلا هم برای حمله به بیش از ۷۰ سازمان جهانی استفاده شده.
ماجرا چیه؟
هکرها خودشون رو تو ایمیلها به مسئولان منابع انسانی شرکتهای هدف به عنوان یه دانشجوی فارغالتحصیل جا زدن و درخواست کار فرستادن. توی این ایمیلها (که احتمالاً از حسابهای هک شده ارسال شده) یه رزومهٔ تقلبی پیوست شده که ظاهرش PDF ، ولی در واقع یه فایل LNK هست (تکنیک جالبیه حقیقتا) وقتی قربانی این رزومه رو باز میکنه، یه فرآیند چندمرحلهای شروع میشه که یا Cobalt Strike نصب میشه یا بکدور Voldemort. همزمان یه سند فیک هم به قربانی نشون داده میشه که شک نکنه.
جالب اینجاست که Proofpoint میگه بکدور Voldemort قبلاً توسط گروهی به نام TA415 استفاده شده، که با گروه چینی APT41 (معروف به Brass Typhoon) ارتباط داره. اما حملات این گروه با UNK_FistBump فرق داره، چون از لودرهای متفاوتی برای نصب Cobalt Strike استفاده میکنن و آدرس IP ثابتی برای ارتباط با سرور فرماندهی دارن.
گروه دوم: UNK_DropPitch
این گروه به تحلیلگران سرمایه گذاری تو شرکت های بزرگ مالی که روی صنعت نیمه رسانای تایوان تمرکز دارن حمله کرده. تو ایمیلهای فیشینگشون (که آوریل و می ۲۰۲۵ فرستاده شدن) یه لینک به یه PDF جعلی گذاشتن. وقتی قربانی PDF رو باز میکنه، یه فایل ZIP دانلود میشه که توش یه DLL مخفی هست. این DLL یه بکدور به نام HealthKick که میتونه دستورات رو اجرا کنه، نتیجه رو ضبط کنه و برای سرور هکرها بفرسته.
تو یه حمله دیگه در پایان می ۲۰۲۵، همین گروه با تکنیک DLL Side-Loading یه Reverse Shell ایجاد کرده که به سرور هکرها (با IP 45.141.139.222) وصل میشه. بعد از این، اگر اطلاعات قربانی براشون جالب باشه، یه ابزار مدیریتی به نام Intel EMA نصب میکنن تا از راه دور کنترل سیستم رو بگیرن.
گروه سوم: UNK_SparkyCarp
این گروه با حملهٔ فیشینگ لاگین، یه شرکت نیمهرسانای تایوانی (بیاسم) رو هدف گرفته. ایمیلهای فیشینگشون هشدار امنیتی جعلی بودن و لینکی به یه صفحهٔ فیشینگ (accshieldportal.com) داشتن. جالب اینه که همین گروه قبلاً در نوامبر ۲۰۲۴ هم به همین شرکت حمله کرده بود.
یه گروه دیگه هم هست:UNK_ColtCentury
این گروه (که با اسمهای TAG-100 و Storm-2077 هم شناخته میشه) به کارمندان حقوقی یه شرکت نیمه رسانای تایوانی ایمیلهای بیخطر فرستاده تا اعتمادشون رو جلب کنن و در نهایت یه تروجان دسترسی از راه دور به نام Spark RAT نصب کنن.
👍2🔥1
هکرهای چینی زیاد این روزا تیتر خبر ها شدن با کارایی که انجام دادن توی یه حمله جدید اونا به گارد ملی آمریکا نفوذ کردن...
طبق یه خبر از NBC: گروه هکری چینی Salt Typhoon (که با اسمهای Earth Estries و Ghost Emperor هم شناخته میشه) حداقل به شبکه گارد ملی یکی از ایالت های آمریکا نفوذ کرده. این نفوذ از مارس تا دسامبر ۲۰۲۴ (یعنی حدود ۹ ماه) طول کشیده و نشون میده دامنه حملات این گروه داره گسترده تر میشه.
وزارت دفاع آمریکا (DoD) تو یه گزارش در ۱۱ ژوئن ۲۰۲۵ گفته:
"این نفوذ احتمالاً به چین داده هایی داده که میتونه هک کردن واحدهای گارد ملی ایالت های دیگه و حتی شریک های امنیت سایبری اونها رو تسهیل کنه."
چی دزدیدن؟
- تنظیمات شبکه وجریان دادهها بین گارد ملی این ایالت با بقیهٔ ایالتها و حداقل ۴ منطقهٔ تحت حاکمیت آمریکا.
- فایلهای پیکربندی مربوط به سازمان های دولتی و زیرساختهای حیاتی آمریکا (بین ژانویه تا مارس ۲۰۲۴).
- اعتبارنامه های ادمین، نقشههای ترافیک شبکه، موقعیتهای جغرافیایی و اطلاعات شخصی (PII) اعضای گارد ملی.
گزارش هشدار میده که این فایلهای پیکربندی میتونن باعث سوءاستفاده های بعدی بشن، مثل:
1- دزدیدن دادهها
2- دستکاری حسابهای ادمین
3- حرکت جانبی بین شبکههای مختلف
چطور نفوذ کردن؟
با سوءاستفاده از آسیبپذیریهای شناختهشده در دستگاههای Cisco و Palo Alto Networks:
- CVE-2018-0171
- CVE-2023-20198
- CVE-2023-20273
- CVE-2024-3400 (مربوط به Palo Alto)
دسترسی به شبکههای گارد ملی میتونه شامل اطلاعات امنیت سایبری ایالتها، موقعیت کارمندان امنیتی و جزئیات شخصی اونها باشه چیزایی که میتونه هدف گیری های آینده رو دقیق تر کنه.
"انسار سکر" (مدیر امنیت سایبری SOCRadar) میگه:
"این که Salt Typhoon تقریباً یه سال تو شبکهٔ گارد ملی آمریکا موند، یه اتک جدی در فضای سایبریه. این یه نفوذ تصادفی نیست، بلکه یه جاسوسی درازمدته که هدفش دزدیدن اطلاعات استراتژیک به صورت پنهانیه."
"هدف این گروه فقط فایل دزدیدن نبود، احتمالاً داشتن:
1- نقشه زیرساخت رو میکشیدن
2- جریان ارتباطات رو رصد میکردن
3- نقاط ضعف رو علامت میزدن تا بعدها ازشون سوءاستفاده کنن
نگرانکنندهترین چیز اینه که تو یه محیط نظامی، اینهمه مدت متوجه حضور هکرها نشدن، این قضیه کلی سؤال پیش میاره: چرا سیستمهای نظارتی اینقدر ضعیف بودن؟
سیاستهای جداسازی شبکهها چقدر واقعاً اجرا میشه؟
آیا شبکههای ترکیبی فدرال-ایالتی امنیت کافی دارن؟
طبق یه خبر از NBC: گروه هکری چینی Salt Typhoon (که با اسمهای Earth Estries و Ghost Emperor هم شناخته میشه) حداقل به شبکه گارد ملی یکی از ایالت های آمریکا نفوذ کرده. این نفوذ از مارس تا دسامبر ۲۰۲۴ (یعنی حدود ۹ ماه) طول کشیده و نشون میده دامنه حملات این گروه داره گسترده تر میشه.
وزارت دفاع آمریکا (DoD) تو یه گزارش در ۱۱ ژوئن ۲۰۲۵ گفته:
"این نفوذ احتمالاً به چین داده هایی داده که میتونه هک کردن واحدهای گارد ملی ایالت های دیگه و حتی شریک های امنیت سایبری اونها رو تسهیل کنه."
چی دزدیدن؟
- تنظیمات شبکه وجریان دادهها بین گارد ملی این ایالت با بقیهٔ ایالتها و حداقل ۴ منطقهٔ تحت حاکمیت آمریکا.
- فایلهای پیکربندی مربوط به سازمان های دولتی و زیرساختهای حیاتی آمریکا (بین ژانویه تا مارس ۲۰۲۴).
- اعتبارنامه های ادمین، نقشههای ترافیک شبکه، موقعیتهای جغرافیایی و اطلاعات شخصی (PII) اعضای گارد ملی.
گزارش هشدار میده که این فایلهای پیکربندی میتونن باعث سوءاستفاده های بعدی بشن، مثل:
1- دزدیدن دادهها
2- دستکاری حسابهای ادمین
3- حرکت جانبی بین شبکههای مختلف
چطور نفوذ کردن؟
با سوءاستفاده از آسیبپذیریهای شناختهشده در دستگاههای Cisco و Palo Alto Networks:
- CVE-2018-0171
- CVE-2023-20198
- CVE-2023-20273
- CVE-2024-3400 (مربوط به Palo Alto)
دسترسی به شبکههای گارد ملی میتونه شامل اطلاعات امنیت سایبری ایالتها، موقعیت کارمندان امنیتی و جزئیات شخصی اونها باشه چیزایی که میتونه هدف گیری های آینده رو دقیق تر کنه.
"انسار سکر" (مدیر امنیت سایبری SOCRadar) میگه:
"این که Salt Typhoon تقریباً یه سال تو شبکهٔ گارد ملی آمریکا موند، یه اتک جدی در فضای سایبریه. این یه نفوذ تصادفی نیست، بلکه یه جاسوسی درازمدته که هدفش دزدیدن اطلاعات استراتژیک به صورت پنهانیه."
"هدف این گروه فقط فایل دزدیدن نبود، احتمالاً داشتن:
1- نقشه زیرساخت رو میکشیدن
2- جریان ارتباطات رو رصد میکردن
3- نقاط ضعف رو علامت میزدن تا بعدها ازشون سوءاستفاده کنن
نگرانکنندهترین چیز اینه که تو یه محیط نظامی، اینهمه مدت متوجه حضور هکرها نشدن، این قضیه کلی سؤال پیش میاره: چرا سیستمهای نظارتی اینقدر ضعیف بودن؟
سیاستهای جداسازی شبکهها چقدر واقعاً اجرا میشه؟
آیا شبکههای ترکیبی فدرال-ایالتی امنیت کافی دارن؟
🔥3❤1🤓1
یه گروه هکری که میگن از طرف چین پشتیبانی میشه و اسمش APT41 هست، تازگیا یه عملیات جاسوسی سایبری جدید راه انداخته که هدفش سرویسهای IT دولتهای آفریقاییه.
محققای Kaspersky به اسم دنیس کولیک و دانیل پوگورلف گفتن: «هکرها توی بدافزارهاشون یهسری اسم از پیشتعیین شده برای سرویس های داخلی، آی پی آدرس و سرورهای پراکسی گذاشته بودن.» یکی از سرورهای C2 (یعنی همون سروری که مهاجمها ازش فرمان صادر میکنن)، در واقع یه سرور SharePoint بود که تو زیرساخت خود قربانی وجود داشت.
جالبه بدونینAPT41 یه گروه خیلی فعال و معروفه که به دولت چین نسبت داده میشه. اینا قبلاً کلی سازمان مختلف رو هدف گرفتن؛ از مخابرات و شرکتهای انرژی گرفته تا دانشگاهها، بیمارستانها و شرکتهای IT توی بیشتر از ۳۰ تا کشور.
چیزی که این عملیات رو خاص کرده، اینه که تمرکزش رو گذاشته روی قاره آفریقا؛ جایی که قبلاً این گروه فعالیت زیادی توش نداشته. البته شرکت Trend Micro هم قبلاً گزارش داده بود که از اواخر ۲۰۲۲، آفریقا افتاده توی لیست اهداف این گروه.
از طرفی Kaspersky گفته که وقتی روی یهسری سیستم از یه سازمان ناشناس دیدن یه رفتار مشکوک در حال رخ دادنه، شروع کردن به بررسی. این رفتار شامل اجرای دستوراتی بود که هدفش بررسی این بود که آیا سرور فرماندهی (C2) هنوز در دسترس هست یا نه، چه بهصورت مستقیم چه از طریق پراکسی داخلی که از قبل هک شده بوده.
محققها گفتن: «منبع این رفتار مشکوک یه سیستم بود که هیچکس روش نظارت نداشت و هک شده بود. روی اون سیستم، ابزار Impacket اجرا شده بود با دسترسی سرویسی. بعد از اینکه ماژولهای Atexec و WmiExec اجرا شدن، هکرها یه مدت فعالیتشونو متوقف کردن.»
خیلی زود بعدش، هکرها شروع کردن به جمعکردن اطلاعات مربوط به اکانتهایی که دسترسی بالا دارن تا بتونن دسترسیشونو توی سیستم بیشتر کنن و به قسمت های دیگه هم نفوذ کنن. در نهایت، از ابزار معروف Cobalt Strike استفاده کردن تا با استفاده از تکنیکی به اسم DLL side-loading، با سیستم قربانی ارتباط برقرار کنن.
نکته جالب اینه که این DLL های مخرب اول بررسی میکنن ببینن چه زبان هایی روی سیستم نصب هست. فقط اگه زبانهایی مثل ژاپنی، کرهای، چینی (چه چینِ اصلی چه تایوان) نباشن، عملیات خودشونو ادامه میدن.
تو این حمله، هکرها از یه سرور SharePoint هک شده استفاده کردن برای اینکه دستوراتو از طریقش به بدافزار C#ای که روی سیستم قربانی ریخته بودن بفرستن.
و دوباره Kaspersky گفته: «فایلهایی به اسم agents.exe و agentx.exe از طریق پروتکل SMB ارسال شده بودن برای ارتباط با سرور. در واقع این فایلها تروجان هایی به زبان C# بودن که وظیفه شون اجرای دستوراتی بود که از یه web shell به اسم CommandHandler.aspx دریافت میکردن. این وبشل روی همون سرور SharePoint نصب شده بود.»
این تکنیک ترکیبی از بدافزار کلاسیکه با روشهایی که بهش میگن "زندگی با امکانات موجود" (Living off the Land)؛ یعنی از سرویسهای مورد اعتماد مثل SharePoint بهعنوان کانال مخفی برای کنترل استفاده میشه. این رفتارا دقیقاً تو دسته بندی MITRE ATT&CK میوفتن، مثلاً T1071.001 (پروتکلهای وب) و T1047 (WMI)، که باعث میشه ابزارهایی که فقط دنبال امضای بدافزارها میگردن، نتونن راحت شناساییشون کنن.
هکرها بعد از اینکه توی سیستم های ارزشمندتر ردپا پیدا کردن، یه مرحله دیگه هم انجام دادن. این کار با اجرای دستور cmd.exe انجام شد تا یه فایل HTML مخرب (HTA) که توش جاوااسکریپت کار گذاشته بودن رو از یه منبع خارجی دانلود کنن و با mshta.exe اجراش کنن.
جالب اینجاست که اون منبع خارجی شبیه سایت GitHub جعل شده بود، آدرسش هم این بوده: github.githubassets.net. هنوز دقیقاً معلوم نیست این فایل مخرب چیکار میکرده، ولی بررسی یکی از اسکریپتهای مشابه نشون داده که هدفش ساختن یه reverse shell بوده .
علاوه بر این، هکرها از ابزارهای مختلف برای دزدیدن اطلاعات حساس استفاده کردن، بعدشم همه اطلاعاتو از طریق همون SharePoint فرستادن بیرون.
بعضی از ابزارهایی که استفاده شده، اینا بودن:
محققای Kaspersky به اسم دنیس کولیک و دانیل پوگورلف گفتن: «هکرها توی بدافزارهاشون یهسری اسم از پیشتعیین شده برای سرویس های داخلی، آی پی آدرس و سرورهای پراکسی گذاشته بودن.» یکی از سرورهای C2 (یعنی همون سروری که مهاجمها ازش فرمان صادر میکنن)، در واقع یه سرور SharePoint بود که تو زیرساخت خود قربانی وجود داشت.
جالبه بدونینAPT41 یه گروه خیلی فعال و معروفه که به دولت چین نسبت داده میشه. اینا قبلاً کلی سازمان مختلف رو هدف گرفتن؛ از مخابرات و شرکتهای انرژی گرفته تا دانشگاهها، بیمارستانها و شرکتهای IT توی بیشتر از ۳۰ تا کشور.
چیزی که این عملیات رو خاص کرده، اینه که تمرکزش رو گذاشته روی قاره آفریقا؛ جایی که قبلاً این گروه فعالیت زیادی توش نداشته. البته شرکت Trend Micro هم قبلاً گزارش داده بود که از اواخر ۲۰۲۲، آفریقا افتاده توی لیست اهداف این گروه.
از طرفی Kaspersky گفته که وقتی روی یهسری سیستم از یه سازمان ناشناس دیدن یه رفتار مشکوک در حال رخ دادنه، شروع کردن به بررسی. این رفتار شامل اجرای دستوراتی بود که هدفش بررسی این بود که آیا سرور فرماندهی (C2) هنوز در دسترس هست یا نه، چه بهصورت مستقیم چه از طریق پراکسی داخلی که از قبل هک شده بوده.
محققها گفتن: «منبع این رفتار مشکوک یه سیستم بود که هیچکس روش نظارت نداشت و هک شده بود. روی اون سیستم، ابزار Impacket اجرا شده بود با دسترسی سرویسی. بعد از اینکه ماژولهای Atexec و WmiExec اجرا شدن، هکرها یه مدت فعالیتشونو متوقف کردن.»
خیلی زود بعدش، هکرها شروع کردن به جمعکردن اطلاعات مربوط به اکانتهایی که دسترسی بالا دارن تا بتونن دسترسیشونو توی سیستم بیشتر کنن و به قسمت های دیگه هم نفوذ کنن. در نهایت، از ابزار معروف Cobalt Strike استفاده کردن تا با استفاده از تکنیکی به اسم DLL side-loading، با سیستم قربانی ارتباط برقرار کنن.
نکته جالب اینه که این DLL های مخرب اول بررسی میکنن ببینن چه زبان هایی روی سیستم نصب هست. فقط اگه زبانهایی مثل ژاپنی، کرهای، چینی (چه چینِ اصلی چه تایوان) نباشن، عملیات خودشونو ادامه میدن.
تو این حمله، هکرها از یه سرور SharePoint هک شده استفاده کردن برای اینکه دستوراتو از طریقش به بدافزار C#ای که روی سیستم قربانی ریخته بودن بفرستن.
و دوباره Kaspersky گفته: «فایلهایی به اسم agents.exe و agentx.exe از طریق پروتکل SMB ارسال شده بودن برای ارتباط با سرور. در واقع این فایلها تروجان هایی به زبان C# بودن که وظیفه شون اجرای دستوراتی بود که از یه web shell به اسم CommandHandler.aspx دریافت میکردن. این وبشل روی همون سرور SharePoint نصب شده بود.»
این تکنیک ترکیبی از بدافزار کلاسیکه با روشهایی که بهش میگن "زندگی با امکانات موجود" (Living off the Land)؛ یعنی از سرویسهای مورد اعتماد مثل SharePoint بهعنوان کانال مخفی برای کنترل استفاده میشه. این رفتارا دقیقاً تو دسته بندی MITRE ATT&CK میوفتن، مثلاً T1071.001 (پروتکلهای وب) و T1047 (WMI)، که باعث میشه ابزارهایی که فقط دنبال امضای بدافزارها میگردن، نتونن راحت شناساییشون کنن.
هکرها بعد از اینکه توی سیستم های ارزشمندتر ردپا پیدا کردن، یه مرحله دیگه هم انجام دادن. این کار با اجرای دستور cmd.exe انجام شد تا یه فایل HTML مخرب (HTA) که توش جاوااسکریپت کار گذاشته بودن رو از یه منبع خارجی دانلود کنن و با mshta.exe اجراش کنن.
جالب اینجاست که اون منبع خارجی شبیه سایت GitHub جعل شده بود، آدرسش هم این بوده: github.githubassets.net. هنوز دقیقاً معلوم نیست این فایل مخرب چیکار میکرده، ولی بررسی یکی از اسکریپتهای مشابه نشون داده که هدفش ساختن یه reverse shell بوده .
علاوه بر این، هکرها از ابزارهای مختلف برای دزدیدن اطلاعات حساس استفاده کردن، بعدشم همه اطلاعاتو از طریق همون SharePoint فرستادن بیرون.
بعضی از ابزارهایی که استفاده شده، اینا بودن:
از Pillager (نسخه دستکاریشده) برای دزدیدن رمزهای ذخیرهشده توی مرورگرها، دیتابیسها، ابزارای مدیریتی مثل MobaXterm، سورسکدها، اسکرینشاتها، چتها، ایمیلها، نشستهای SSH و FTP، لیست برنامههای نصبشده، خروجی دستورای سیستم مثل systeminfo و tasklist، و اکانتهای پیامرسانها و ایمیل کلاینتها.
از Checkout برای برداشتن اطلاعات فایلهای دانلودی و دادههای کارت بانکی که توی مرورگرهایی مثل Yandex، Opera، OperaGX، Vivaldi، Chrome، Brave ذخیره شده بودن.
❤4🤓1
یه بدافزار جاسوسی جدید برای اندروید کشف شده که خیلی احتمالش هست به وزارت اطلاعات ایران وصل باشه. این بدافزار خودش رو به شکل اپهای VPN و حتی اپ مربوط به اینترنت ماهوارهای Starlink جا زده تا بتونه مخالفای حکومت رو هدف بگیره و ازشون جاسوسی کنه.
شرکت امنیت موبایل Lookout گفته که چهار نسخه از این بدافزار که اسمش رو گذاشتن DCHSpy، حدود یه هفته بعد از شروع درگیریهای ایران و اسرائیل پیدا شده. ولی دقیقاً مشخص نیست چند نفر این اپها رو نصب کردن.
محققای امنیتی "اسلاماوغلو" و "آلبریشت" گفتن: «DCHSpy اطلاعات واتساپ، اکانتها، مخاطبا، پیامکها، فایلها، لوکیشن، و لیست تماسها رو جمع میکنه؛ حتی میتونه صدا ضبط کنه و عکس بگیره»
این بدافزار برای اولین بار توی جولای ۲۰۲۴ شناسایی شد و احتمال زیاد کار یه گروه هکری معروف به اسم MuddyWater هست که به وزارت اطلاعات ایران وصله. البته این گروه کلی اسم دیگه هم داره مثلاً: Boggy Serpens، Cobalt Ulster، Earth Vetala، ITG17، Mango Sandstorm (که قبلاً اسمش Mercury بود)، Seedworm، Static Kitten، TA450، و Yellow Nix. خلاصه از بس اسماش زیاده، انگار خودشونم یادشون میره کی بودن...
نسخههای اولیه DCHSpy قبلاً سراغ کاربراش رفته بودن، اونم از طریق کانال های تلگرامی که معمولاً حرفای ضد حکومتی میزدن و مخاطباش فارسی زبان یا انگلیسی زبان بودن. از اونجایی که بدافزار با عنوان VPN تبلیغ میشده، به احتمال خیلی زیاد مخالفای سیاسی، فعالها و خبرنگارها هدفش بودن.
حالا نسخههای جدید این بدافزار، احتمال زیاد بعد از شروع درگیری های اخیر منطقه داره پخش میشه و خودش رو به اسم اپهایی مثل اینا جا میزنه:
لازم به ذکره که ماه پیش، اینترنت ماهوارهای Starlink توی ایران فعال شده بود (اونم وسط قطعی اینترنتی که دولت اعمال کرده بود)، ولی بعدش مجلس اومد و استفاده ازش رو ممنوع کرد چون "غیرمجاز" بوده.
این DCHSpy یه بدافزار چندبخشی یا ماژولاره؛ یعنی کلی قابلیت داره و میتونه یه عالمه اطلاعات رو جمع کنه، از جمله:
جالبه بدونی که این بدافزار از همون زیرساختهایی استفاده میکنه که یه بدافزار دیگه به اسم SandStrike هم ازش استفاده میکرد. اون یکی رو شرکت Kaspersky توی نوامبر ۲۰۲۲ شناسایی کرده بود و اونم دقیقاً خودشو جای VPN بیضرر جا زده بود تا فارسیزبانها رو هدف بگیره.
این کشف جدید، یه نمونه دیگست از بدافزارهای جاسوسی برای اندروید که مشخصاً برای هدف قرار دادن افراد و نهادها توی خاورمیانه طراحی شدن. قبلاً هم بدافزارهایی مثل:
از طرفی Lookout گفته: «DCHSpy دقیقاً مثل SandStrike عمل میکنه؛ هم از لحاظ زیرساخت، هم روش پخش. این بدافزار از طریق لینکهای آلودهای که مستقیم توی پیامرسانها (مثلاً تلگرام) ارسال میشن، به هدفها میرسه.»
«این نسخههای جدید DCHSpy نشون میدن که این بدافزار همچنان در حال توسعه هست و داره استفاده میشه، مخصوصاً حالا که بعد از آتشبس ایران و اسرائیل، فشار روی مردم بیشتر شده.»
شرکت امنیت موبایل Lookout گفته که چهار نسخه از این بدافزار که اسمش رو گذاشتن DCHSpy، حدود یه هفته بعد از شروع درگیریهای ایران و اسرائیل پیدا شده. ولی دقیقاً مشخص نیست چند نفر این اپها رو نصب کردن.
محققای امنیتی "اسلاماوغلو" و "آلبریشت" گفتن: «DCHSpy اطلاعات واتساپ، اکانتها، مخاطبا، پیامکها، فایلها، لوکیشن، و لیست تماسها رو جمع میکنه؛ حتی میتونه صدا ضبط کنه و عکس بگیره»
این بدافزار برای اولین بار توی جولای ۲۰۲۴ شناسایی شد و احتمال زیاد کار یه گروه هکری معروف به اسم MuddyWater هست که به وزارت اطلاعات ایران وصله. البته این گروه کلی اسم دیگه هم داره مثلاً: Boggy Serpens، Cobalt Ulster، Earth Vetala، ITG17، Mango Sandstorm (که قبلاً اسمش Mercury بود)، Seedworm، Static Kitten، TA450، و Yellow Nix. خلاصه از بس اسماش زیاده، انگار خودشونم یادشون میره کی بودن...
نسخههای اولیه DCHSpy قبلاً سراغ کاربراش رفته بودن، اونم از طریق کانال های تلگرامی که معمولاً حرفای ضد حکومتی میزدن و مخاطباش فارسی زبان یا انگلیسی زبان بودن. از اونجایی که بدافزار با عنوان VPN تبلیغ میشده، به احتمال خیلی زیاد مخالفای سیاسی، فعالها و خبرنگارها هدفش بودن.
حالا نسخههای جدید این بدافزار، احتمال زیاد بعد از شروع درگیری های اخیر منطقه داره پخش میشه و خودش رو به اسم اپهایی مثل اینا جا میزنه:
Earth VPN (: com.earth.earth_vpn)نکته جالب اینجاست که یکی از این اپهای Earth VPN توی فایل APK به اسم "starlink_vpn(1.3.0)-3012 (1).apk" پخش شده. یعنی هکرها حتی از اسم Starlink هم استفاده کردن تا مردم رو گول بزنن.
Comodo VPN (: com.comodoapp.comodovpn)
Hide VPN (: com.hv.hide_vpn)
لازم به ذکره که ماه پیش، اینترنت ماهوارهای Starlink توی ایران فعال شده بود (اونم وسط قطعی اینترنتی که دولت اعمال کرده بود)، ولی بعدش مجلس اومد و استفاده ازش رو ممنوع کرد چون "غیرمجاز" بوده.
این DCHSpy یه بدافزار چندبخشی یا ماژولاره؛ یعنی کلی قابلیت داره و میتونه یه عالمه اطلاعات رو جمع کنه، از جمله:
اکانتهایی که رو گوشی لاگین شدن
مخاطبا
پیامکها
تماسها
فایلها
موقعیت جغرافیایی
صداهای اطراف
عکسها
و اطلاعات واتساپ
جالبه بدونی که این بدافزار از همون زیرساختهایی استفاده میکنه که یه بدافزار دیگه به اسم SandStrike هم ازش استفاده میکرد. اون یکی رو شرکت Kaspersky توی نوامبر ۲۰۲۲ شناسایی کرده بود و اونم دقیقاً خودشو جای VPN بیضرر جا زده بود تا فارسیزبانها رو هدف بگیره.
این کشف جدید، یه نمونه دیگست از بدافزارهای جاسوسی برای اندروید که مشخصاً برای هدف قرار دادن افراد و نهادها توی خاورمیانه طراحی شدن. قبلاً هم بدافزارهایی مثل:
AridSpyدیده شده بودن.
BouldSpy
GuardZoo
RatMilad
SpyNote
از طرفی Lookout گفته: «DCHSpy دقیقاً مثل SandStrike عمل میکنه؛ هم از لحاظ زیرساخت، هم روش پخش. این بدافزار از طریق لینکهای آلودهای که مستقیم توی پیامرسانها (مثلاً تلگرام) ارسال میشن، به هدفها میرسه.»
«این نسخههای جدید DCHSpy نشون میدن که این بدافزار همچنان در حال توسعه هست و داره استفاده میشه، مخصوصاً حالا که بعد از آتشبس ایران و اسرائیل، فشار روی مردم بیشتر شده.»
❤4❤🔥1👍1🤓1
یه گروه محقق امنیت سایبری تازه یه بک دور روی لینوکس پیدا کردن که اسمشو گذاشتن Plague (یعنی طاعون). این بک دور اینقدر باهوشه که یه سال کامل تو سیستم ها بوده ولی کسی نفهمیده.
یه محقق از شرکت Nextron به اسم پیر هنری پی زیه میگه:
«این بدافزار خودش رو به شکل یه ماژول PAM (ماژول پلاگین احراز هویت) مخفی کرده. یعنی یه جوری طراحی شده که بی سروصدا از سیستمهای احراز هویت رد میشه و به هکرها اجازه میده همیشه و راحت از طریق SSH وارد سیستم بشن.»
اگه نمیدونین PAM چیه، باید بگم یه سری کتابخونه های مشترک هستن که سیستم های لینوکسی و یونیکسی برای شناسایی کاربرها استفاده میکنن، یعنی وقتی میخوای لاگین کنی، این PAM ها میان و میگن «این آدم درسته یا نه؟»
حالا چون این PAMها توی پروسه های خیلی حساس و مهم اجرا میشن، اگه یه PAM خرابکار باشه میتونه رمز کاربرها رو بدزده، سیستم رو دور بزنه و هیچ آنتیویروسی هم نفهمه.
شرکت امنیتی Nextron میگه از 29 جولای 2024 تا الان چند نمونه از این Plague رو توی VirusTotal پیدا کردن که حتی یه آنتی ویروس هم هنوز نتونسته تشخیصش بده که خطرناکه.
این یعنی سازنده های این بدافزار همچنان دارن روش کار میکنن و دارن نسخه های جدیدش رو میسازن.
این بدافزار Plague چهار تا قابلیت خیلی باحال داره:
یه رمز عبور ثابت داره که هکرها بتونن راحت و مخفیانه وارد بشن و خودش رو طوری میسازه که آدم نتونه راحت بفهمه چطوری کار میکنه (تحلیل و مهندسی معکوس رو سخت میکنه)
کلی تکنیک ضد دیباگینگ و پنهون کاری استفاده میکنه
کلی باهوشیه که بعد از اینکه SSH زدن، هیچ مدرکی از خودش باقی نمیذاره.
وقتی یه هکر با SSH وصل میشه، معمولا سیستم یه سری متغیر محیطی مثل SSH_CONNECTION و SSH_CLIENT ذخیره میکنه که بگه چه کسی وصل شده. Plague این متغیرها رو پاک میکنه که هیچ رد و اثری نمونه.
همچنین فایل history (تاریخچه دستورات) که معمولا دستورات وارد شده رو نگه میداره رو به /dev/null هدایت میکنه یعنی اصلا هیچ دستوری ذخیره نمیشه.
پی زیه گفته: «Plague خودش رو خیلی عمیق تو پروسه احراز هویت جا میده، حتی اگه سیستم آپدیت بشه، باز سر جاش میمونه، و تقریبا هیچ اثری برای تحقیقهای بعدی نمیذاره.»
با توجه به روشهای پیچیدهای که برای پنهونکاری و خرابکاری استفاده میکنه، خیلی سخته با ابزارهای معمولی امنیتی پیداش کنی.
یه محقق از شرکت Nextron به اسم پیر هنری پی زیه میگه:
«این بدافزار خودش رو به شکل یه ماژول PAM (ماژول پلاگین احراز هویت) مخفی کرده. یعنی یه جوری طراحی شده که بی سروصدا از سیستمهای احراز هویت رد میشه و به هکرها اجازه میده همیشه و راحت از طریق SSH وارد سیستم بشن.»
اگه نمیدونین PAM چیه، باید بگم یه سری کتابخونه های مشترک هستن که سیستم های لینوکسی و یونیکسی برای شناسایی کاربرها استفاده میکنن، یعنی وقتی میخوای لاگین کنی، این PAM ها میان و میگن «این آدم درسته یا نه؟»
حالا چون این PAMها توی پروسه های خیلی حساس و مهم اجرا میشن، اگه یه PAM خرابکار باشه میتونه رمز کاربرها رو بدزده، سیستم رو دور بزنه و هیچ آنتیویروسی هم نفهمه.
شرکت امنیتی Nextron میگه از 29 جولای 2024 تا الان چند نمونه از این Plague رو توی VirusTotal پیدا کردن که حتی یه آنتی ویروس هم هنوز نتونسته تشخیصش بده که خطرناکه.
این یعنی سازنده های این بدافزار همچنان دارن روش کار میکنن و دارن نسخه های جدیدش رو میسازن.
این بدافزار Plague چهار تا قابلیت خیلی باحال داره:
یه رمز عبور ثابت داره که هکرها بتونن راحت و مخفیانه وارد بشن و خودش رو طوری میسازه که آدم نتونه راحت بفهمه چطوری کار میکنه (تحلیل و مهندسی معکوس رو سخت میکنه)
کلی تکنیک ضد دیباگینگ و پنهون کاری استفاده میکنه
کلی باهوشیه که بعد از اینکه SSH زدن، هیچ مدرکی از خودش باقی نمیذاره.
وقتی یه هکر با SSH وصل میشه، معمولا سیستم یه سری متغیر محیطی مثل SSH_CONNECTION و SSH_CLIENT ذخیره میکنه که بگه چه کسی وصل شده. Plague این متغیرها رو پاک میکنه که هیچ رد و اثری نمونه.
همچنین فایل history (تاریخچه دستورات) که معمولا دستورات وارد شده رو نگه میداره رو به /dev/null هدایت میکنه یعنی اصلا هیچ دستوری ذخیره نمیشه.
پی زیه گفته: «Plague خودش رو خیلی عمیق تو پروسه احراز هویت جا میده، حتی اگه سیستم آپدیت بشه، باز سر جاش میمونه، و تقریبا هیچ اثری برای تحقیقهای بعدی نمیذاره.»
با توجه به روشهای پیچیدهای که برای پنهونکاری و خرابکاری استفاده میکنه، خیلی سخته با ابزارهای معمولی امنیتی پیداش کنی.
👍7🔥1🤓1
پروتکل ارتباطات موبایلی نسل پنجم (5G) شاید پیچیدهترین پروتکل وایرلسیه که تا حالا ساخته شده. سرعت دانلودش وحشتناک بالاست، از ایستگاههای پایه با beamforming استفاده میکنه، و خب یهعالمه اضافات عجیب و غریب غیر استاندارد هم داره. واسه همینم بررسی کردنش برای یه هکر یا محقق خونگی کار خیلی سنگینی به نظر میاد. ولی این موضوع باعث نشد که گروه تحقیقاتی ASSET دست از کار بکشه؛ اونا یه sniffer و یه downlink injector برای 5G ساختن.
بخش دیگه مهم پروژه یه فریمورک اکسپلویته که کلی برد حمله داره و هم ASSET و هم گروه های دیگه توسعه اش دادن. وقتی یه SDR رو تبدیل میکنی به یه ایستگاه پایه مخرب 5G، میتونی از کلی باگ و «ویژگی» استفاده کنی که نتیجه اش میتونه از داون گرید کردن کانکشن به 4G گرفته تا فینگرپرینتینگ و خیلی چیزای دیگه باشه. حتی یه روش حمله هم توش هست به اسم 5Ghull که قبلاً دربارهش نوشته بودن؛ این یکی میتونه باعث بشه گوشی قفل کنه و فقط با درآوردن سیمکارت درست شه. این آسیبپذیری ها یه نگاه خیلی خاص به پشت پرده 5G بهمون میدن.
اگه تو هم به sniff کردن 5G علاقه داری ولی سختافزارش رو نداری، یه هک جالب هست که باهاش میتونی یه گوشی Qualcomm رو تبدیل به sniffer کنی.
اصل پروژه بیشتر روی sniff کردن real-time تمرکز داره و با یکی از دو مدل USRP (یعنی همون رادیوهای نرمافزاری SDR معروف) انجام میشه، البته همراه با یه مقدار خیلی زیاد توان پردازشی. دیتاهایی که sniff میشن حتی میتونی مستقیم ببری توی Wireshark و فیلتراسیون انجام بدی. فرکانس ها هم به صورت hard-code داخل sniffer تعریف شدن تا پرفورمنس بهتر باشه، و تا الان روی باندهای n78 و n41 تست شده. هرچند میدونیم بیشتر شماها اون سختافزار USRP رو ندارین، ولی یه فایل نمونه از کپچر دادهها هم گذاشتن که اگه خواستین خودتون تحلیل کنین ...
این لینک ها به دردتون میخوره :
link
link
link
بخش دیگه مهم پروژه یه فریمورک اکسپلویته که کلی برد حمله داره و هم ASSET و هم گروه های دیگه توسعه اش دادن. وقتی یه SDR رو تبدیل میکنی به یه ایستگاه پایه مخرب 5G، میتونی از کلی باگ و «ویژگی» استفاده کنی که نتیجه اش میتونه از داون گرید کردن کانکشن به 4G گرفته تا فینگرپرینتینگ و خیلی چیزای دیگه باشه. حتی یه روش حمله هم توش هست به اسم 5Ghull که قبلاً دربارهش نوشته بودن؛ این یکی میتونه باعث بشه گوشی قفل کنه و فقط با درآوردن سیمکارت درست شه. این آسیبپذیری ها یه نگاه خیلی خاص به پشت پرده 5G بهمون میدن.
اگه تو هم به sniff کردن 5G علاقه داری ولی سختافزارش رو نداری، یه هک جالب هست که باهاش میتونی یه گوشی Qualcomm رو تبدیل به sniffer کنی.
اصل پروژه بیشتر روی sniff کردن real-time تمرکز داره و با یکی از دو مدل USRP (یعنی همون رادیوهای نرمافزاری SDR معروف) انجام میشه، البته همراه با یه مقدار خیلی زیاد توان پردازشی. دیتاهایی که sniff میشن حتی میتونی مستقیم ببری توی Wireshark و فیلتراسیون انجام بدی. فرکانس ها هم به صورت hard-code داخل sniffer تعریف شدن تا پرفورمنس بهتر باشه، و تا الان روی باندهای n78 و n41 تست شده. هرچند میدونیم بیشتر شماها اون سختافزار USRP رو ندارین، ولی یه فایل نمونه از کپچر دادهها هم گذاشتن که اگه خواستین خودتون تحلیل کنین ...
این لینک ها به دردتون میخوره :
link
link
link
GitHub
GitHub - asset-group/Sni5Gect-5GNR-sniffing-and-exploitation: A 5G Sniffer and Downlink Injector Framework on steroids... And yes…
A 5G Sniffer and Downlink Injector Framework on steroids... And yes, Wireshark supported!!! - asset-group/Sni5Gect-5GNR-sniffing-and-exploitation
یه خبر دیگه که خیلی برام جالب بود این بود که یه عده هکر چجوری از یه باگ امنیتی توی ویندوز سوء استفاده کردن (که البته الان پچ شده) تا بدافزار PipeMagic رو توی حملات باجافزاری RansomExx استفاده کنن.
ماجرا اینجوریه که مهاجمها از CVE-2025-29824 استفاده کردن، که یه باگ افزایش سطح دسترسی توی Windows Common Log File System (CLFS) هست. مایکروسافت این باگ رو توی آوریل ۲۰۲۵ فیکس کرد. این خبر رو Kaspersky و BI.ZONE توی گزارش مشترکی فکر کنم چند دیروز منتشر کردن.
باید بدونیم که PipeMagic اولین بار سال ۲۰۲۲ شناسایی شد؛ اون موقع توی حملات RansomExx علیه شرکتهای صنعتی توی آسیای جنوب شرقی استفاده میشد. این بدافزار میتونه نقش یه بک دور کامل رو بازی کنه، یعنی دسترسی ریموت بده و یه عالمه دستور رو روی سیستم قربانی اجرا کنه.
توی اون حملات قبلی، هکرها از CVE-2017-0144 (باگ RCE توی Windows SMB) استفاده کرده بودن برای ورود به شبکهی قربانی. بعداً زنجیره های آلودگی که توی اکتبر ۲۰۲۴ توی عربستان دیده شد، یه اپلیکیشن فیک ChatGPT رو به عنوان طعمه استفاده میکردن تا بدافزار رو برسونن.
تازه، همین آوریل ۲۰۲۵، مایکروسافت گفت که سوء استفاده از CVE-2025-29824 و استقرار PipeMagic کار گروهی به اسم Storm-2460 بوده.
یکی از ویژگیهای خاص PipeMagic اینه که یه آرایهی رندوم ۱۶ بایتی درست میکنه تا یه named pipe بسازه با فرمت:
بعدش یه thread راه میندازه که مدام این pipe رو میسازه، ازش دیتا میخونه و بعد پاکش میکنه. این روش ارتباطیه که بک دور ازش استفاده میکنه تا payload های رمزنگاری شده و نوتیفیکیشن ها رو بفرسته.
از طرفی PipeMagic ماژولاره و به صورت پلاگینی طراحی شده. از یه دامنه روی Microsoft Azure استفاده میکنه تا بقیه کامپوننت ها رو لود کنه. توی حملات ۲۰۲۵ توی عربستان و برزیل، یه فایل Microsoft Help Index به اسم "metafile.mshi" نقش لودر رو داشته. این لودر، کد C# رو آنپک میکنه که بعدش شلکدی که توش embed شده رو decrypt و اجرا میکنه.
اون شل کدی که تزریق میشه، executable مخصوص ویندوز ۳۲ بیتیه، و یه فایل اجرایی غیر رمزنگاری شده رو که داخل خودش embed شده بارگذاری میکنه. و Kaspersky حتی نمونههای لودر PipeMagic رو پیدا کرده که توی ۲۰۲۵ خودشون رو به شکل کلاینت ChatGPT جا زده بودن، دقیقاً شبیه همون چیزی که توی اکتبر ۲۰۲۴ دیده بودیم. این نمونهها از تکنیک DLL hijacking استفاده میکنن و یه DLL مخرب رو با اسم "googleupdate.dll" اجرا میکنن، که مثلاً خودش رو به جای آپدیت گوگل کروم جا میزنه.
حالا هر روشی که برای لود کردن استفاده بشه، تهش همه چی میرسه به اجرای بک دور PipeMagic که چند ماژول مختلف داره:
یه ماژول ارتباط async که پنج تا دستور ساپورت میکنه (بستن پلاگین، خوندن/نوشتن فایل، قطع یه عملیات فایل، یا قطع همه عملیاتها)
یه لودر برای تزریق payloadهای اضافه توی مموری و اجرای اونا
یه اینجکتور که یه executable نوشته شده با C# رو اجرا میکنه
ماژولهای مربوط به امنیت هویتی (Identity Security Risk Assessment)
محققها گفتن: «اینکه PipeMagic مدام توی حملات علیه سازمان های عربستان دیده میشه و حالا توی برزیل هم سر درآورده، نشون میده که این بدافزار هنوز فعاله و مهاجما هم دارن هی قابلیتهاشو بیشتر میکنن.»
نسخههایی که توی ۲۰۲۵ دیده شدن نسبت به ۲۰۲۴ پیشرفت داشتن، مخصوصاً برای پایداری روی سیستم قربانی و lateral movement توی شبکههای داخلی. توی همین حملات ۲۰۲۵، هکرها از ابزار ProcDump (که اسمشو به dllhost.exe تغییر داده بودن) استفاده کردن تا مموری پروسه LSASS رو dump کنن.
مایکروسافت میگه PipeMagic یه فریمورک کامله که هم انعطاف پذیری داره، هم موندگاری. این بدافزار میتونه payload ها رو به صورت داینامیک اجرا کنه و در عین حال یه ارتباط C2 خیلی قوی و اختصاصی با سرور فرماندهی داشته باشه.
«وقتی بدافزار ماژولهای payload رو از سرور C2 میگیره و بارگذاری میکنه، به هکر اجازه میده تا با دقت خیلی بالا روی اجرای کد توی سیستم قربانی کنترل داشته باشه.» تیم Microsoft Threat Intelligence اینو گفته. «با جدا کردن وظایف شبکه ای و بک دور بین ماژولهای مختلف، PipeMagic یه معماری ماژولار، مخفی کار و خیلی قابل توسعه پیدا کرده که کشف و آنالیزش رو به شدت سخت میکنه.»
اسم PipeMagic هم از این گرفته شده که برای ارتباطات بین پروسهها از named pipe های رمزنگاری شده استفاده میکنه. بدافزار با سرور C2 روی TCP ارتباط میگیره و ماژول ها رو از طریق همون named pipe و همون C2 میفرسته. همه payload ها توی مموری نگهداری میشن با استفاده از یه ساختار داده به اسم doubly linked list، بدون این که چیزی روی دیسک بمونه.
ماجرا اینجوریه که مهاجمها از CVE-2025-29824 استفاده کردن، که یه باگ افزایش سطح دسترسی توی Windows Common Log File System (CLFS) هست. مایکروسافت این باگ رو توی آوریل ۲۰۲۵ فیکس کرد. این خبر رو Kaspersky و BI.ZONE توی گزارش مشترکی فکر کنم چند دیروز منتشر کردن.
باید بدونیم که PipeMagic اولین بار سال ۲۰۲۲ شناسایی شد؛ اون موقع توی حملات RansomExx علیه شرکتهای صنعتی توی آسیای جنوب شرقی استفاده میشد. این بدافزار میتونه نقش یه بک دور کامل رو بازی کنه، یعنی دسترسی ریموت بده و یه عالمه دستور رو روی سیستم قربانی اجرا کنه.
توی اون حملات قبلی، هکرها از CVE-2017-0144 (باگ RCE توی Windows SMB) استفاده کرده بودن برای ورود به شبکهی قربانی. بعداً زنجیره های آلودگی که توی اکتبر ۲۰۲۴ توی عربستان دیده شد، یه اپلیکیشن فیک ChatGPT رو به عنوان طعمه استفاده میکردن تا بدافزار رو برسونن.
تازه، همین آوریل ۲۰۲۵، مایکروسافت گفت که سوء استفاده از CVE-2025-29824 و استقرار PipeMagic کار گروهی به اسم Storm-2460 بوده.
یکی از ویژگیهای خاص PipeMagic اینه که یه آرایهی رندوم ۱۶ بایتی درست میکنه تا یه named pipe بسازه با فرمت:
\\.\pipe\1.<hex string> بعدش یه thread راه میندازه که مدام این pipe رو میسازه، ازش دیتا میخونه و بعد پاکش میکنه. این روش ارتباطیه که بک دور ازش استفاده میکنه تا payload های رمزنگاری شده و نوتیفیکیشن ها رو بفرسته.
از طرفی PipeMagic ماژولاره و به صورت پلاگینی طراحی شده. از یه دامنه روی Microsoft Azure استفاده میکنه تا بقیه کامپوننت ها رو لود کنه. توی حملات ۲۰۲۵ توی عربستان و برزیل، یه فایل Microsoft Help Index به اسم "metafile.mshi" نقش لودر رو داشته. این لودر، کد C# رو آنپک میکنه که بعدش شلکدی که توش embed شده رو decrypt و اجرا میکنه.
اون شل کدی که تزریق میشه، executable مخصوص ویندوز ۳۲ بیتیه، و یه فایل اجرایی غیر رمزنگاری شده رو که داخل خودش embed شده بارگذاری میکنه. و Kaspersky حتی نمونههای لودر PipeMagic رو پیدا کرده که توی ۲۰۲۵ خودشون رو به شکل کلاینت ChatGPT جا زده بودن، دقیقاً شبیه همون چیزی که توی اکتبر ۲۰۲۴ دیده بودیم. این نمونهها از تکنیک DLL hijacking استفاده میکنن و یه DLL مخرب رو با اسم "googleupdate.dll" اجرا میکنن، که مثلاً خودش رو به جای آپدیت گوگل کروم جا میزنه.
حالا هر روشی که برای لود کردن استفاده بشه، تهش همه چی میرسه به اجرای بک دور PipeMagic که چند ماژول مختلف داره:
یه ماژول ارتباط async که پنج تا دستور ساپورت میکنه (بستن پلاگین، خوندن/نوشتن فایل، قطع یه عملیات فایل، یا قطع همه عملیاتها)
یه لودر برای تزریق payloadهای اضافه توی مموری و اجرای اونا
یه اینجکتور که یه executable نوشته شده با C# رو اجرا میکنه
ماژولهای مربوط به امنیت هویتی (Identity Security Risk Assessment)
محققها گفتن: «اینکه PipeMagic مدام توی حملات علیه سازمان های عربستان دیده میشه و حالا توی برزیل هم سر درآورده، نشون میده که این بدافزار هنوز فعاله و مهاجما هم دارن هی قابلیتهاشو بیشتر میکنن.»
نسخههایی که توی ۲۰۲۵ دیده شدن نسبت به ۲۰۲۴ پیشرفت داشتن، مخصوصاً برای پایداری روی سیستم قربانی و lateral movement توی شبکههای داخلی. توی همین حملات ۲۰۲۵، هکرها از ابزار ProcDump (که اسمشو به dllhost.exe تغییر داده بودن) استفاده کردن تا مموری پروسه LSASS رو dump کنن.
مایکروسافت میگه PipeMagic یه فریمورک کامله که هم انعطاف پذیری داره، هم موندگاری. این بدافزار میتونه payload ها رو به صورت داینامیک اجرا کنه و در عین حال یه ارتباط C2 خیلی قوی و اختصاصی با سرور فرماندهی داشته باشه.
«وقتی بدافزار ماژولهای payload رو از سرور C2 میگیره و بارگذاری میکنه، به هکر اجازه میده تا با دقت خیلی بالا روی اجرای کد توی سیستم قربانی کنترل داشته باشه.» تیم Microsoft Threat Intelligence اینو گفته. «با جدا کردن وظایف شبکه ای و بک دور بین ماژولهای مختلف، PipeMagic یه معماری ماژولار، مخفی کار و خیلی قابل توسعه پیدا کرده که کشف و آنالیزش رو به شدت سخت میکنه.»
اسم PipeMagic هم از این گرفته شده که برای ارتباطات بین پروسهها از named pipe های رمزنگاری شده استفاده میکنه. بدافزار با سرور C2 روی TCP ارتباط میگیره و ماژول ها رو از طریق همون named pipe و همون C2 میفرسته. همه payload ها توی مموری نگهداری میشن با استفاده از یه ساختار داده به اسم doubly linked list، بدون این که چیزی روی دیسک بمونه.
تا همین چند وقت پیش یک باگ زیرو کلیک توی Agent Deep Research چتجیپیتی openai بود که میتونست به یه مهاجم اجازه بده با فقط فرستادن یه ایمیل مخصوص، بدون اینکه کاربر حتی یه کاری بکنه، اطلاعات حساس اینباکس جیمیل رو لو بده.
اسم این کلاس جدید از حمله رو Radware گذاشته ShadowLeak. بعد از اینکه موضوع روز ۱۸ ژوئن ۲۰۲۵ بهصورت مسئولانه گزارش شد، اوپنایآی اوایل آگوست مشکل رو برطرف کرد.
«حمله از یه تزریق پرامپت غیرمستقیم استفاده میکنه که میشه توی HTML ایمیل قایمش کرد (فونت خیلی ریز، متن سفید روی زمینه سفید، ترفندهای لِیآوت) تا کاربر اصلاً متوجه دستورات نشه، ولی ایجنټ همچنان اونا رو میخونه و اجرا میکنه.»
این جمله رو محققای امنیت Zvika Babo، Gabi Nakibly و Maor Uziel گفتن:
«برخلاف پژوهشای قبلی که برای راهانداختن نشت باید رندر تصویر سمت کلاینت فعال میشد، این حمله داده ها رو مستقیماً از زیرساخت ابری اوپنایآی بیرون میکشه، و این یعنی دفاعای محلی یا شرکتی معمولی عملاً هیچ دیدی نسبت بهش ندارن.»
از طرفی Deep Research که اوپنایآی فوریه ۲۰۲۵ راه انداخت، یه قابلیت عامل محور توی چتجیپیتیه که چندمرحله ای روی اینترنت تحقیق میکنه تا گزارش های مفصل بده. طی سال گذشته، قابلیت های تحلیلی مشابه به بعضی چت باتای معروف دیگه مثل Google Gemini و Perplexity هم اضافه شده.
طبق توضیحات Radware، توی حمله، یه ایمیل ظاهراً بیخطر فرستاده میشه به قربانی که داخلش با متن سفید روی زمینه سفید یا ترفندهای CSS دستورات نامریی قرار داده شده دستورات میگن ایجنت بره اطلاعات شخصیشون رو از بقیه ایمیلهای توی اینباکس جمع کنه و به یه سرور خارجی بفرسته.
بعد وقتی قربانی از ChatGPT Deep Research میخواد ایمیلهای جیمیلش رو تحلیل کنه، ایجنت اون تزریق پرامپت غیرمستقیم داخل ایمیل مخرب رو میخونه و اطلاعات رو در قالب Base64 رمزگذاری شده به مهاجم میفرسته با استفاده از ابزار browser.open().
نقل قول:
«ما یه پرامپت جدید ساختیم که صریحاً به ایجنټ گفته بود از ابزار browser.open() با اون URL مخرب استفاده کنه.» Radware گفت. «استراتژی نهایی و موفق مون این بود که ایجنت رو وادار کنیم قبل از چسبوندن دادهها به URL، اطلاعات PII استخراج شده رو به Base64 تبدیل کنه. ما این کار رو بهعنوان یه تدبیر امنیتی برای محافظت از دادهها طی انتقال قالببندی کردیم.»
اثبات مفهوم (PoC) به فعال بودن اتصال Gmail توسط کاربر بستگی داره، اما این حمله میتونه به هر کانکتوری که ChatGPT پشتیبانی میکنه گسترش پیدا کنه مثل Box، Dropbox، GitHub، Google Drive، HubSpot، Microsoft Outlook، Notion یا SharePoint — که عملاً سطح حمله رو بزرگتر میکنه.
برخلاف حمله هایی مثل AgentFlayer و EchoLeak که سمت کلاینت رخ میدن، نشت اطلاعات توی ShadowLeak مستقیم داخل فضای ابری اوپنایآی رخ میده و از کنترل های امنیتی سنتی هم عبور میکنه. همین نبودِ دید و نظارت، تفاوت اصلی این حمله با بقیه آسیب پذیری های تزریق غیرمستقیم پرامپته.
همزمان با این افشا، پلتفرم امنیتی AI به اسم SPLX نشون داد که با پرامپت های دقیق و context poisoning میشه محدودیت های داخلی ایجنت چتجیپیتی رو دور زد و حتی کپچاهای تصویری ای که برای ثابت کردن انسان بودن تعبیه شدهاند رو حل کرد.
اساسا میان یه چت معمولی ChatGPT-4o باز میکنن و مدل رو قانع میکنن که برای چیزی که بهش گفته شده لیستی از کپچا های تقلبی رو حل کنه. مرحله بعد، یه چت ایجنټ جدید باز میکنن و گفتگوی قبلی با LLM رو اونجا پیست میکنن و میگن این «بحث قبلی ما» بوده در نتیجه مدل بدون مقاومت کپچاها رو حل میکنه.
«ترفند این بود که کپچا رو بهعنوان 'تقلبی' قاببندی کنن و مکالمهای بسازن که توش ایجنټ قبلا قبول کرده ادامه بده. با به ارث بردن اون کانتکست، دیگه علائم هشداردهنده معمول رو نمیدید.» محقق امنیتی Dorian Schultz گفت.
«ایجنت فقط کپچاهای ساده رو حل نکرد، حتی کپچاهای تصویری رو هم حل کرد طوری که مکاننمای موس رو هم طوری حرکت میداد که شبیه رفتار انسانی باشه. مهاجمها میتونن کنترلهای واقعی رو 'تقلبی' جا بزنن تا دورشون بزنن؛ این موضوع ضرورت حفظ یکپارچگی کانتکست memory hygiene و رد تیمینگ مداوم رو روشن میکنه.»
اسم این کلاس جدید از حمله رو Radware گذاشته ShadowLeak. بعد از اینکه موضوع روز ۱۸ ژوئن ۲۰۲۵ بهصورت مسئولانه گزارش شد، اوپنایآی اوایل آگوست مشکل رو برطرف کرد.
«حمله از یه تزریق پرامپت غیرمستقیم استفاده میکنه که میشه توی HTML ایمیل قایمش کرد (فونت خیلی ریز، متن سفید روی زمینه سفید، ترفندهای لِیآوت) تا کاربر اصلاً متوجه دستورات نشه، ولی ایجنټ همچنان اونا رو میخونه و اجرا میکنه.»
این جمله رو محققای امنیت Zvika Babo، Gabi Nakibly و Maor Uziel گفتن:
«برخلاف پژوهشای قبلی که برای راهانداختن نشت باید رندر تصویر سمت کلاینت فعال میشد، این حمله داده ها رو مستقیماً از زیرساخت ابری اوپنایآی بیرون میکشه، و این یعنی دفاعای محلی یا شرکتی معمولی عملاً هیچ دیدی نسبت بهش ندارن.»
از طرفی Deep Research که اوپنایآی فوریه ۲۰۲۵ راه انداخت، یه قابلیت عامل محور توی چتجیپیتیه که چندمرحله ای روی اینترنت تحقیق میکنه تا گزارش های مفصل بده. طی سال گذشته، قابلیت های تحلیلی مشابه به بعضی چت باتای معروف دیگه مثل Google Gemini و Perplexity هم اضافه شده.
طبق توضیحات Radware، توی حمله، یه ایمیل ظاهراً بیخطر فرستاده میشه به قربانی که داخلش با متن سفید روی زمینه سفید یا ترفندهای CSS دستورات نامریی قرار داده شده دستورات میگن ایجنت بره اطلاعات شخصیشون رو از بقیه ایمیلهای توی اینباکس جمع کنه و به یه سرور خارجی بفرسته.
بعد وقتی قربانی از ChatGPT Deep Research میخواد ایمیلهای جیمیلش رو تحلیل کنه، ایجنت اون تزریق پرامپت غیرمستقیم داخل ایمیل مخرب رو میخونه و اطلاعات رو در قالب Base64 رمزگذاری شده به مهاجم میفرسته با استفاده از ابزار browser.open().
نقل قول:
«ما یه پرامپت جدید ساختیم که صریحاً به ایجنټ گفته بود از ابزار browser.open() با اون URL مخرب استفاده کنه.» Radware گفت. «استراتژی نهایی و موفق مون این بود که ایجنت رو وادار کنیم قبل از چسبوندن دادهها به URL، اطلاعات PII استخراج شده رو به Base64 تبدیل کنه. ما این کار رو بهعنوان یه تدبیر امنیتی برای محافظت از دادهها طی انتقال قالببندی کردیم.»
اثبات مفهوم (PoC) به فعال بودن اتصال Gmail توسط کاربر بستگی داره، اما این حمله میتونه به هر کانکتوری که ChatGPT پشتیبانی میکنه گسترش پیدا کنه مثل Box، Dropbox، GitHub، Google Drive، HubSpot، Microsoft Outlook، Notion یا SharePoint — که عملاً سطح حمله رو بزرگتر میکنه.
برخلاف حمله هایی مثل AgentFlayer و EchoLeak که سمت کلاینت رخ میدن، نشت اطلاعات توی ShadowLeak مستقیم داخل فضای ابری اوپنایآی رخ میده و از کنترل های امنیتی سنتی هم عبور میکنه. همین نبودِ دید و نظارت، تفاوت اصلی این حمله با بقیه آسیب پذیری های تزریق غیرمستقیم پرامپته.
همزمان با این افشا، پلتفرم امنیتی AI به اسم SPLX نشون داد که با پرامپت های دقیق و context poisoning میشه محدودیت های داخلی ایجنت چتجیپیتی رو دور زد و حتی کپچاهای تصویری ای که برای ثابت کردن انسان بودن تعبیه شدهاند رو حل کرد.
اساسا میان یه چت معمولی ChatGPT-4o باز میکنن و مدل رو قانع میکنن که برای چیزی که بهش گفته شده لیستی از کپچا های تقلبی رو حل کنه. مرحله بعد، یه چت ایجنټ جدید باز میکنن و گفتگوی قبلی با LLM رو اونجا پیست میکنن و میگن این «بحث قبلی ما» بوده در نتیجه مدل بدون مقاومت کپچاها رو حل میکنه.
«ترفند این بود که کپچا رو بهعنوان 'تقلبی' قاببندی کنن و مکالمهای بسازن که توش ایجنټ قبلا قبول کرده ادامه بده. با به ارث بردن اون کانتکست، دیگه علائم هشداردهنده معمول رو نمیدید.» محقق امنیتی Dorian Schultz گفت.
«ایجنت فقط کپچاهای ساده رو حل نکرد، حتی کپچاهای تصویری رو هم حل کرد طوری که مکاننمای موس رو هم طوری حرکت میداد که شبیه رفتار انسانی باشه. مهاجمها میتونن کنترلهای واقعی رو 'تقلبی' جا بزنن تا دورشون بزنن؛ این موضوع ضرورت حفظ یکپارچگی کانتکست memory hygiene و رد تیمینگ مداوم رو روشن میکنه.»
🔥5
یه گروه روسی که بهش COLDRIVER میگن، تازه یه دور جدید از حملات به سبک ClickFix راه انداخته که هدفشون نصب دو خانواده بدافزار با سبک جدید هستن، که محققا بهشون میگن BAITSWITCH و SIMPLEFIX.
شرکت Zscaler ThreatLabz که اوایل همین ماه کمپین چندمرحلهای جدید ClickFix رو کشف کرده بود، BAITSWITCH رو یه downloader معرفی کرده که در نهایت SIMPLEFIX رو میریزه . SIMPLEFIX هم یه backdoor نوشته شده با PowerShell هستش .
از طرفی COLDRIVER که بعضیا بهش Callisto یا Star Blizzard یا UNC4057 هم میگن، نامیه که به یه شخص مرتبط با روسیه دادن. این گروه از ۲۰۱۹ تا حالا کلی بخش مختلف رو هدف گرفته. موج های اول کارشون معمولاً با فیشینگ هدفمند بودن که کاربر رو میفرستادن صفحههای دزدی credential، اما کمکم ابزارای اختصاصی هم ساختن مثل SPICA و LOSTKEYS، که نشون میده از نظر فنی حسابی سطحشون بالاتر رفته.
استفادهٔ این گروه از تاکتیکهای ClickFix قبلاً هم توسط Google Threat Intelligence Group (GTIG) توی می ۲۰۲۵ مستندسازی شده بود؛ اونجا گفتن که از سایتای تقلبی استفاده میکردن که یه CAPTCHA دروغین نشون میدن و کاربر رو فریب میدادن تا یه دستور PowerShell اجرا کنه که قرار بوده LOSTKEYS رو تحویل بده (با Visual Basic Script).
Zscaler تو گزارشش نوشته: «استفادهٔ مداوم از ClickFix نشون میده که این روش هنوز هم یه وکتور نفوذ موثر، حتی اگه جدید یا از نظر فنی خیلی پیچیده نباشه.»
اینو Sudeep Singh و Yin Hong Chang از محققای امنیت Zscaler نوشتن.
زنجیره جدید حمله تقریباً همون مدل قبلیه: قربانی رو فریب میدن که یه DLL مخرب رو تو پنجرهٔ Run ویندوز اجرا کنه، تحت پوشش اینکه دارن یه CAPTCHA رو تکمیل میکنن. همون DLL که BAITSWITCH نام داره به یه دامنه کنترلشده توسط مهاجم میره ("captchanom.top") تا SIMPLEFIX رو دانلود کنه، و همزمان یه فایل فریبنده (decoy) روی Google Drive به قربانی نشون داده میشه.
از طرفی BAITSWITCH چندتا درخواست HTTP هم به همون سرور میزنه تا اطلاعات سیستم رو بفرسته، دستوراتی بگیره برای ساخت persistence، payloadهای رمزگذاری شده رو تو رجیستری ویندوز ذخیره کنه، یه stager PowerShell دانلود کنه، و بعد جدیدترین دستور اجراشده در Run dialog رو پاک کنه تا عملاً ردپاهای حمله ClickFix که باعث آلوده شدن شدن رو پاک کنه.
اون PowerShell stager که دانلود میشه بعدش میره به سرور خارجی دیگه ای ("southprovesolutions.com") تا SIMPLEFIX رو بگیره، و SIMPLEFIX بعد از نصب با سرور command-and-control (C2) کانکت میشه تا PowerShell اسکریپتها، فرمانها و باینری هایی که روی آدرس های ریموت میزبانی شدن رو اجرا کنه.
یکی از اسکریپت های PowerShell که از طریق SIMPLEFIX اجرا میشه، اطلاعات مربوط به یه لیست از نوع فایلها رو که تو یه لیست از پوشه ها از پیش کانفیگ شده دنبال میکنه و بیرون میکشه. اون لیست پوشه ها و پسوند فایل هایی که اسکن میشن تا حدودی با لیست LOSTKEYS هم تلاقی داره.
Zscaler گفته: «گروه APT COLDRIVER معمولاً اعضای NGOها، مدافعان حقوق بشر، اندیشکدهها تو مناطق غربی و همچنین افراد تبعیدی یا ساکن خارج از روسیه رو هدف قرار میده.» تمرکز این کمپین هم دقیقاً با این «ویکتیمولوژی»شون همخوانی داره؛ یعنی هدفشون اعضای جامعه مدنی که ارتباطی با روسیه دارن بوده.
در همین حال، کسپرسکی گفته اوایل سپتامبر یه کمپین جدید فیشینگ علیه شرکتهای روسی دیدن که توسط گروه BO Team (همون Black Owl یا Hoody Hyena یا Lifting Zmiy) انجام شده؛ تو این حمله از آرشیو های RAR با رمزعبور استفاده کردن تا نسخه جدیدی از BrockenDoor که با C# بازنویسی شده و یه نسخهٔ بهروز از ZeronetKit رو تحویل بدن.
ZeronetKit که با زبان Golang نوشته شده، یه backdoor که قابلیت هایی مثل دسترسی ریموت به هاستهای آلوده، آپلود/دانلود فایل، اجرای فرمان با cmd.exe و ایجاد یه تونل TCP/IPv4 داره. بعضی نسخههای جدیدتر حتی از دانلود و اجرای shellcode پشتیبانی میکنن، و زمانبندی ارتباط با C2 و لیست سرورهای C2 هم توش تغییر کرده.
کسپرسکی میگه: «ZeronetKit به تنهایی نمیتونه خودشو روی سیستم آلوده پابرجا کنه، پس مهاجمین از BrockenDoor استفاده میکنن تا backdoor دانلود شده رو تو startup کپیش کنن.» یعنی BrockenDoor کار persistence کردن رو انجام میده.
همچنین یه گروه تازه به اسم Bearlyfy هم ظهور کرده که از نمونههای باج افزار مثل LockBit 3.0 و Babuk تو حملاتش علیه روسیه استفاده کرده؛ ابتدا شرکتای کوچیکتر رو میزدن و باجای کمتر میگرفتن، بعد از آوریل ۲۰۲۵ سراغ شرکتهای بزرگتر هم رفتن، طبق گزارش F6. تا اوت ۲۰۲۵، تخمین زده میشه حداقل ۳۰ قربانی داشتن.
شرکت Zscaler ThreatLabz که اوایل همین ماه کمپین چندمرحلهای جدید ClickFix رو کشف کرده بود، BAITSWITCH رو یه downloader معرفی کرده که در نهایت SIMPLEFIX رو میریزه . SIMPLEFIX هم یه backdoor نوشته شده با PowerShell هستش .
از طرفی COLDRIVER که بعضیا بهش Callisto یا Star Blizzard یا UNC4057 هم میگن، نامیه که به یه شخص مرتبط با روسیه دادن. این گروه از ۲۰۱۹ تا حالا کلی بخش مختلف رو هدف گرفته. موج های اول کارشون معمولاً با فیشینگ هدفمند بودن که کاربر رو میفرستادن صفحههای دزدی credential، اما کمکم ابزارای اختصاصی هم ساختن مثل SPICA و LOSTKEYS، که نشون میده از نظر فنی حسابی سطحشون بالاتر رفته.
استفادهٔ این گروه از تاکتیکهای ClickFix قبلاً هم توسط Google Threat Intelligence Group (GTIG) توی می ۲۰۲۵ مستندسازی شده بود؛ اونجا گفتن که از سایتای تقلبی استفاده میکردن که یه CAPTCHA دروغین نشون میدن و کاربر رو فریب میدادن تا یه دستور PowerShell اجرا کنه که قرار بوده LOSTKEYS رو تحویل بده (با Visual Basic Script).
Zscaler تو گزارشش نوشته: «استفادهٔ مداوم از ClickFix نشون میده که این روش هنوز هم یه وکتور نفوذ موثر، حتی اگه جدید یا از نظر فنی خیلی پیچیده نباشه.»
اینو Sudeep Singh و Yin Hong Chang از محققای امنیت Zscaler نوشتن.
زنجیره جدید حمله تقریباً همون مدل قبلیه: قربانی رو فریب میدن که یه DLL مخرب رو تو پنجرهٔ Run ویندوز اجرا کنه، تحت پوشش اینکه دارن یه CAPTCHA رو تکمیل میکنن. همون DLL که BAITSWITCH نام داره به یه دامنه کنترلشده توسط مهاجم میره ("captchanom.top") تا SIMPLEFIX رو دانلود کنه، و همزمان یه فایل فریبنده (decoy) روی Google Drive به قربانی نشون داده میشه.
از طرفی BAITSWITCH چندتا درخواست HTTP هم به همون سرور میزنه تا اطلاعات سیستم رو بفرسته، دستوراتی بگیره برای ساخت persistence، payloadهای رمزگذاری شده رو تو رجیستری ویندوز ذخیره کنه، یه stager PowerShell دانلود کنه، و بعد جدیدترین دستور اجراشده در Run dialog رو پاک کنه تا عملاً ردپاهای حمله ClickFix که باعث آلوده شدن شدن رو پاک کنه.
اون PowerShell stager که دانلود میشه بعدش میره به سرور خارجی دیگه ای ("southprovesolutions.com") تا SIMPLEFIX رو بگیره، و SIMPLEFIX بعد از نصب با سرور command-and-control (C2) کانکت میشه تا PowerShell اسکریپتها، فرمانها و باینری هایی که روی آدرس های ریموت میزبانی شدن رو اجرا کنه.
یکی از اسکریپت های PowerShell که از طریق SIMPLEFIX اجرا میشه، اطلاعات مربوط به یه لیست از نوع فایلها رو که تو یه لیست از پوشه ها از پیش کانفیگ شده دنبال میکنه و بیرون میکشه. اون لیست پوشه ها و پسوند فایل هایی که اسکن میشن تا حدودی با لیست LOSTKEYS هم تلاقی داره.
Zscaler گفته: «گروه APT COLDRIVER معمولاً اعضای NGOها، مدافعان حقوق بشر، اندیشکدهها تو مناطق غربی و همچنین افراد تبعیدی یا ساکن خارج از روسیه رو هدف قرار میده.» تمرکز این کمپین هم دقیقاً با این «ویکتیمولوژی»شون همخوانی داره؛ یعنی هدفشون اعضای جامعه مدنی که ارتباطی با روسیه دارن بوده.
در همین حال، کسپرسکی گفته اوایل سپتامبر یه کمپین جدید فیشینگ علیه شرکتهای روسی دیدن که توسط گروه BO Team (همون Black Owl یا Hoody Hyena یا Lifting Zmiy) انجام شده؛ تو این حمله از آرشیو های RAR با رمزعبور استفاده کردن تا نسخه جدیدی از BrockenDoor که با C# بازنویسی شده و یه نسخهٔ بهروز از ZeronetKit رو تحویل بدن.
ZeronetKit که با زبان Golang نوشته شده، یه backdoor که قابلیت هایی مثل دسترسی ریموت به هاستهای آلوده، آپلود/دانلود فایل، اجرای فرمان با cmd.exe و ایجاد یه تونل TCP/IPv4 داره. بعضی نسخههای جدیدتر حتی از دانلود و اجرای shellcode پشتیبانی میکنن، و زمانبندی ارتباط با C2 و لیست سرورهای C2 هم توش تغییر کرده.
کسپرسکی میگه: «ZeronetKit به تنهایی نمیتونه خودشو روی سیستم آلوده پابرجا کنه، پس مهاجمین از BrockenDoor استفاده میکنن تا backdoor دانلود شده رو تو startup کپیش کنن.» یعنی BrockenDoor کار persistence کردن رو انجام میده.
همچنین یه گروه تازه به اسم Bearlyfy هم ظهور کرده که از نمونههای باج افزار مثل LockBit 3.0 و Babuk تو حملاتش علیه روسیه استفاده کرده؛ ابتدا شرکتای کوچیکتر رو میزدن و باجای کمتر میگرفتن، بعد از آوریل ۲۰۲۵ سراغ شرکتهای بزرگتر هم رفتن، طبق گزارش F6. تا اوت ۲۰۲۵، تخمین زده میشه حداقل ۳۰ قربانی داشتن.
❤4
GeekNotif
یه گروه روسی که بهش COLDRIVER میگن، تازه یه دور جدید از حملات به سبک ClickFix راه انداخته که هدفشون نصب دو خانواده بدافزار با سبک جدید هستن، که محققا بهشون میگن BAITSWITCH و SIMPLEFIX. شرکت Zscaler ThreatLabz که اوایل همین ماه کمپین چندمرحلهای جدید ClickFix…
در ادامه :
تو یکی از حملات علیه یه شرکت مشاوره ای، مهاجمین از یه نسخهٔ آسیب پذیر Bitrix برای دسترسی اولیه استفاده کردن و بعد از اون با بهره برداری از باگ Zerologon سطح دسترسی رو بالا بردن. در یه مورد دیگه که تو جولای ثبت شده، دسترسی اولیه از طریق یه شرکت شریک (نامعلوم) فراهم شده بوده.
گفته: «تو آخرین حمله ثبت شده، مهاجمین ۸۰,۰۰۰ یورو به صورت رمزارز درخواست کردن، در حالی که تو اولین حمله باج چند هزار دلار بود.» به خاطر مبلغ نسبتاً پایین باج، به طور متوسط از هر پنج قربانی، دکریپتور رو از مهاجم میخره یکیشون .
تحلیلگران میگن Bearlyfy از ژانویهٔ ۲۰۲۵ فعاله، و بررسی عمیق ابزارهاشون نشون داده که زیرساخت هایی شبیه یه گروه احتمالا طرفدار اوکراین به اسم PhantomCore دارن، که از ۲۰۲۲ شرکتهای روسی و بلاروسی رو هدف میگرفته. با وجود این شباهت ها، فرض میشه Bearlyfy یه گروه مستقل باشه.
شرکت (تحلیلگر) گفته: «PhantomCore حملات چند مرحله ای و پیچیده ای رو پیاده میکنه که شبیه کمپینهای APT هست، اما Bearlyfy مدل متفاوتی داره: حملاتی با کمترین آمادهسازی و تمرکز صرفا روی نتیجه فوری. دسترسی اولیه معمولاً از طریق سوء استفاده از سرویس های خارجی یا اپلیکیشنهای آسیبپذیر انجام میشه. ابزار اصلیشون برای رمزگذاری، تخریب یا تغییر دادههاست.»
تو یکی از حملات علیه یه شرکت مشاوره ای، مهاجمین از یه نسخهٔ آسیب پذیر Bitrix برای دسترسی اولیه استفاده کردن و بعد از اون با بهره برداری از باگ Zerologon سطح دسترسی رو بالا بردن. در یه مورد دیگه که تو جولای ثبت شده، دسترسی اولیه از طریق یه شرکت شریک (نامعلوم) فراهم شده بوده.
گفته: «تو آخرین حمله ثبت شده، مهاجمین ۸۰,۰۰۰ یورو به صورت رمزارز درخواست کردن، در حالی که تو اولین حمله باج چند هزار دلار بود.» به خاطر مبلغ نسبتاً پایین باج، به طور متوسط از هر پنج قربانی، دکریپتور رو از مهاجم میخره یکیشون .
تحلیلگران میگن Bearlyfy از ژانویهٔ ۲۰۲۵ فعاله، و بررسی عمیق ابزارهاشون نشون داده که زیرساخت هایی شبیه یه گروه احتمالا طرفدار اوکراین به اسم PhantomCore دارن، که از ۲۰۲۲ شرکتهای روسی و بلاروسی رو هدف میگرفته. با وجود این شباهت ها، فرض میشه Bearlyfy یه گروه مستقل باشه.
شرکت (تحلیلگر) گفته: «PhantomCore حملات چند مرحله ای و پیچیده ای رو پیاده میکنه که شبیه کمپینهای APT هست، اما Bearlyfy مدل متفاوتی داره: حملاتی با کمترین آمادهسازی و تمرکز صرفا روی نتیجه فوری. دسترسی اولیه معمولاً از طریق سوء استفاده از سرویس های خارجی یا اپلیکیشنهای آسیبپذیر انجام میشه. ابزار اصلیشون برای رمزگذاری، تخریب یا تغییر دادههاست.»
صنعت مخابرات و بخش تولید تو کشور های مرکزی و جنوبی آسیا حسابی هدف یه کمپین شدن که داره یه واریانت جدید از یه بدافزار معروف به اسم PlugX (همونی که بعضی ها Korplug یا SOGU هم میگن) پخش میکنه.
«ویژگی های واریانت جدید با هر دو بکدور RainyDay و Turian همپوشونی داره، از جمله سو استفاده از همون برنامه های مشروع برای DLL side-loading، الگوریتم XOR-RC4-RtlDecompressBuffer که برای رمزنگاری/رمزگشایی payload ها استفاده میشه و همینطور کلیدهای RC4 که استفاده میشن.» اینو محققای Cisco Talos، Joey Chen و Takahiro Takeda، تو یه تحلیل که این هفته منتشر کردن گفتن.
شرکت امنیت سایبری اشاره کرده که پیکربندی همراه با واریانت PlugX خیلی با فرمت معمول پیکربندی PlugX متفاوته؛ در واقع ساختارش همون ساختاریه که تو RainyDay استفاده میشه ، یعنی همون ساختار بکدوری که قبلا به یه گروه مرتبط با چین به اسم Lotus Panda (که بعضیا Naikon APT صداش میزنن) نسبت داده شده بود. همینطور به نظر میاد کسپرسکی اینو به اسم FoundCore دنبال میکنه و اون گروهی که کسپرسکی میگه بهش Cycldek میگن، احتمالا چینی زبان این قضیه باشه.
از طرفی DFIR Retainer Services
این PlugX یه RAT ماژولار (remote access trojan) هست که کلی گروه هک مرتبط با
چین ازش استفاده میکنن، ولی معروف ترین استفاده کنندش Mustang Panda هست (که کلی نام مستعار داره مثل BASIN، Bronze President، Camaro Dragon، Earth Preta، HoneyMyte، RedDelta، Red Lich، Stately Taurus، TEMP.Hex، و Twill Typhoon).
از طرف دیگه Turian (که بعضی جاها Quarian یا Whitebird هم صداش میزنن)، برآورد میشه یه بکدوریه که صرفا توسط یه گروه APT دیگه با ربط به چین که بهش BackdoorDiplomacy میگن (اسمای دیگش CloudComputating یا Faking Dragon هست) تو حملات علیه خاورمیانه به کار رفته.
الگوی قربانیها بهویژه تمرکز روی شرکت های مخابراتی و پیاده سازی فنی بدافزار شواهدی داده که نشون میده احتمالا یه ارتباطایی بین Lotus Panda و BackdoorDiplomacy وجود داره. این یعنی یا اون دو خوشه در واقع یکی هستن، یا اینکه هر دو دارن از یه فروشنده ابزار عمومی مشترک ابزار میگیرن.
تو یه مورد که شرکت کشف کرده، گفته میشه Naikon یه شرکت مخابراتی تو قزاقستان رو هدف گرفته کشوری که با ازبکستان هم مرز و ازبکستان قبلا توسطBackdoorDiplomacy نشونه رفته بود. ضمنا هر دو گروه هکر روی کشورهای جنوب آسیا هم زوم کردن.
رنج حمله ها اساسا اینه که از یه اجرایی مشروع مرتبط با Mobile Popup Application سو استفاده میشه تا یه DLL مخرب رو sideload کنن، و اون DLL بعدا برای رمزگشایی و اجرا کردن payload های PlugX، RainyDay و Turian در حافظه استفاده میشه. موجهای اخیر حمله که توسط این بازیگر اجرا شده خیلی روی PlugX تکیه داشتن، که اونم از همون ساختار پیکربندی RainyDay استفاده میکنه و حتی یه پلاگین keylogger هم داخلش جاسازی شده.
«با اینکه ما نمیتونیم قطعی بگیم که یه ارتباط کاملا روشن بین Naikon و BackdoorDiplomacy وجود داره، ولی جنبههای همپوشون قابل توجهی هست مثل انتخاب اهداف، روش های رمزنگاری و رمزگشایی payload، بازاستفاده از کلیدهای رمزنگاری و استفاده از ابزارهایی که توسط همون فروشنده پشتیبانی میشن.» Talos گفته. «این شباهت ها یه لینک با اعتماد متوسط به یه بازیگر چینی زبان رو تو این کمپین نشون میده.»
این افشا شدن همزمان شده با اینکه Palo Alto Networks Unit 42 درباره عملکرد داخلی بدافزار Bookworm که از ۲۰۱۵ توسط بازیگر Mustang Panda استفاده شده، اطلاعات منتشر کرده؛ بدافزاری پیشرفته که کنترل گستردهای روی سیستم های آلوده فراهم میکنه. این RAT پیشرفته قابلیت اجرای فرمان دلخواه، آپلود و دانلود فایل، خروج اطلاعات و برقرار کردن دسترسی پایدار رو داره.
اوایل همین مارس، اون شرکت امنیتی گفت حملاتی که کشورهایی که عضو ASEAN هستن رو هدف گرفته بودن برای پخش این بدافزار شناسایی کرده.
از طرفی Bookworm از دامینهای ظاهرا مشروع بهدست اومده برای مقاصد C2 استفاده میکنه تا با ترافیک شبکه عادی قاطی شه. بعضی واریانت های انتخاب شده از این بدافزار هم تداخلهایی با TONESHELL دارن، بکدور شناختهشدهای که از اواخر ۲۰۲۲ با Mustang Panda مرتبط شده.
مثل PlugX و TONESHELL، زنجیره های حمله ای که Bookworm رو پخش میکنن هم روی DLL side-loading برای اجرای payload تکیه دارن، هرچند واریانت های جدیدتر تکنیکی رو پذیرفتن که shellcode رو به صورت رشتههای UUID بستهبندی میکنه، بعد اونها رو decode کرده و اجرا میکنه.
«ویژگی های واریانت جدید با هر دو بکدور RainyDay و Turian همپوشونی داره، از جمله سو استفاده از همون برنامه های مشروع برای DLL side-loading، الگوریتم XOR-RC4-RtlDecompressBuffer که برای رمزنگاری/رمزگشایی payload ها استفاده میشه و همینطور کلیدهای RC4 که استفاده میشن.» اینو محققای Cisco Talos، Joey Chen و Takahiro Takeda، تو یه تحلیل که این هفته منتشر کردن گفتن.
شرکت امنیت سایبری اشاره کرده که پیکربندی همراه با واریانت PlugX خیلی با فرمت معمول پیکربندی PlugX متفاوته؛ در واقع ساختارش همون ساختاریه که تو RainyDay استفاده میشه ، یعنی همون ساختار بکدوری که قبلا به یه گروه مرتبط با چین به اسم Lotus Panda (که بعضیا Naikon APT صداش میزنن) نسبت داده شده بود. همینطور به نظر میاد کسپرسکی اینو به اسم FoundCore دنبال میکنه و اون گروهی که کسپرسکی میگه بهش Cycldek میگن، احتمالا چینی زبان این قضیه باشه.
از طرفی DFIR Retainer Services
این PlugX یه RAT ماژولار (remote access trojan) هست که کلی گروه هک مرتبط با
چین ازش استفاده میکنن، ولی معروف ترین استفاده کنندش Mustang Panda هست (که کلی نام مستعار داره مثل BASIN، Bronze President، Camaro Dragon، Earth Preta، HoneyMyte، RedDelta، Red Lich، Stately Taurus، TEMP.Hex، و Twill Typhoon).
از طرف دیگه Turian (که بعضی جاها Quarian یا Whitebird هم صداش میزنن)، برآورد میشه یه بکدوریه که صرفا توسط یه گروه APT دیگه با ربط به چین که بهش BackdoorDiplomacy میگن (اسمای دیگش CloudComputating یا Faking Dragon هست) تو حملات علیه خاورمیانه به کار رفته.
الگوی قربانیها بهویژه تمرکز روی شرکت های مخابراتی و پیاده سازی فنی بدافزار شواهدی داده که نشون میده احتمالا یه ارتباطایی بین Lotus Panda و BackdoorDiplomacy وجود داره. این یعنی یا اون دو خوشه در واقع یکی هستن، یا اینکه هر دو دارن از یه فروشنده ابزار عمومی مشترک ابزار میگیرن.
تو یه مورد که شرکت کشف کرده، گفته میشه Naikon یه شرکت مخابراتی تو قزاقستان رو هدف گرفته کشوری که با ازبکستان هم مرز و ازبکستان قبلا توسطBackdoorDiplomacy نشونه رفته بود. ضمنا هر دو گروه هکر روی کشورهای جنوب آسیا هم زوم کردن.
رنج حمله ها اساسا اینه که از یه اجرایی مشروع مرتبط با Mobile Popup Application سو استفاده میشه تا یه DLL مخرب رو sideload کنن، و اون DLL بعدا برای رمزگشایی و اجرا کردن payload های PlugX، RainyDay و Turian در حافظه استفاده میشه. موجهای اخیر حمله که توسط این بازیگر اجرا شده خیلی روی PlugX تکیه داشتن، که اونم از همون ساختار پیکربندی RainyDay استفاده میکنه و حتی یه پلاگین keylogger هم داخلش جاسازی شده.
«با اینکه ما نمیتونیم قطعی بگیم که یه ارتباط کاملا روشن بین Naikon و BackdoorDiplomacy وجود داره، ولی جنبههای همپوشون قابل توجهی هست مثل انتخاب اهداف، روش های رمزنگاری و رمزگشایی payload، بازاستفاده از کلیدهای رمزنگاری و استفاده از ابزارهایی که توسط همون فروشنده پشتیبانی میشن.» Talos گفته. «این شباهت ها یه لینک با اعتماد متوسط به یه بازیگر چینی زبان رو تو این کمپین نشون میده.»
این افشا شدن همزمان شده با اینکه Palo Alto Networks Unit 42 درباره عملکرد داخلی بدافزار Bookworm که از ۲۰۱۵ توسط بازیگر Mustang Panda استفاده شده، اطلاعات منتشر کرده؛ بدافزاری پیشرفته که کنترل گستردهای روی سیستم های آلوده فراهم میکنه. این RAT پیشرفته قابلیت اجرای فرمان دلخواه، آپلود و دانلود فایل، خروج اطلاعات و برقرار کردن دسترسی پایدار رو داره.
اوایل همین مارس، اون شرکت امنیتی گفت حملاتی که کشورهایی که عضو ASEAN هستن رو هدف گرفته بودن برای پخش این بدافزار شناسایی کرده.
از طرفی Bookworm از دامینهای ظاهرا مشروع بهدست اومده برای مقاصد C2 استفاده میکنه تا با ترافیک شبکه عادی قاطی شه. بعضی واریانت های انتخاب شده از این بدافزار هم تداخلهایی با TONESHELL دارن، بکدور شناختهشدهای که از اواخر ۲۰۲۲ با Mustang Panda مرتبط شده.
مثل PlugX و TONESHELL، زنجیره های حمله ای که Bookworm رو پخش میکنن هم روی DLL side-loading برای اجرای payload تکیه دارن، هرچند واریانت های جدیدتر تکنیکی رو پذیرفتن که shellcode رو به صورت رشتههای UUID بستهبندی میکنه، بعد اونها رو decode کرده و اجرا میکنه.
GeekNotif
صنعت مخابرات و بخش تولید تو کشور های مرکزی و جنوبی آسیا حسابی هدف یه کمپین شدن که داره یه واریانت جدید از یه بدافزار معروف به اسم PlugX (همونی که بعضی ها Korplug یا SOGU هم میگن) پخش میکنه. «ویژگی های واریانت جدید با هر دو بکدور RainyDay و Turian همپوشونی…
در ادامه همین خبر :
«باید توجه کنیم که Bookworm بخاطر معماری ماژولار خاصش شناخته شده، که اجازه میده عملکرد اصلی اش با لود کردن ماژول های اضافی مستقیما از سرور C2 گسترش پیدا کنه.» Kyle Wilhoit محقق Unit 42 گفته. «این ماژولار بودن تحلیل استاتیک رو سخت تر میکنه، چون ماژول Leader به DLLهای دیگه وابسته هست تا عملکرد خاصی رو فراهم کنن.»
«این استقرار و سازگاری Bookworm، که همزمان با سایر عملیاتهای Stately Taurus اجرا میشه، نقش بلندمدت اون در زرادخانه بازیگر رو نشون میده. همچنین نشوندهنده تعهد بلندمدت و پایدار گروه به توسعه و استفاده از این بدافزاره.»
«باید توجه کنیم که Bookworm بخاطر معماری ماژولار خاصش شناخته شده، که اجازه میده عملکرد اصلی اش با لود کردن ماژول های اضافی مستقیما از سرور C2 گسترش پیدا کنه.» Kyle Wilhoit محقق Unit 42 گفته. «این ماژولار بودن تحلیل استاتیک رو سخت تر میکنه، چون ماژول Leader به DLLهای دیگه وابسته هست تا عملکرد خاصی رو فراهم کنن.»
«این استقرار و سازگاری Bookworm، که همزمان با سایر عملیاتهای Stately Taurus اجرا میشه، نقش بلندمدت اون در زرادخانه بازیگر رو نشون میده. همچنین نشوندهنده تعهد بلندمدت و پایدار گروه به توسعه و استفاده از این بدافزاره.»
🤓2