قیمت چند مجوز تخفیف
پایگاه داده تهدید بدافزار بدافزار BEARDSHELL

بدافزار BEARDSHELL

تا Mezo در بدافزار, تهدید مداوم پیشرفته (APT), درهای پشتی
ترجمه به:

تیم واکنش اضطراری رایانه‌ای اوکراین (CERT-UA) در مورد یک کمپین حمله سایبری جدید که توسط APT28، یک گروه تهدید مرتبط با روسیه و همچنین با نام UAC-0001، سازماندهی شده است، هشدار داده است. این عملیات از پیام‌های چت Signal برای ارائه دو خانواده بدافزار تازه شناسایی شده، به نام‌های BEARDSHELL و COVENANT، استفاده می‌کند که نشان‌دهنده تکامل قابل توجه در تاکتیک‌های این گروه است.

BEARDSHELL و SLIMAGENT: یک زوج خطرناک

بدافزار BEARDSHELL که با زبان برنامه‌نویسی ++C توسعه داده شده است، اولین بار بین مارس و آوریل ۲۰۲۴ شناسایی شد و در کنار یک ابزار ضبط تصویر به نام SLIMAGENT روی یک سیستم ویندوزی مستقر شد. قابلیت‌های BEARDSHELL شامل اجرای اسکریپت‌های PowerShell و آپلود خروجی حاصل به یک سرور از راه دور با استفاده از رابط برنامه‌نویسی Icedrive است.

در زمان شناسایی اولیه، CERT-UA در مورد نحوه نفوذ بدافزار به سیستم، اطلاعات دقیقی ارائه نکرد. با این حال، یافته‌های اخیر، که ناشی از دسترسی غیرمجاز به یک حساب ایمیل 'gov.ua' بود، مسیر حمله اولیه مورد استفاده در حادثه ۲۰۲۴ را آشکار کرد. این تحقیقات عمیق‌تر، استقرار BEARDSHELL و یک چارچوب بدافزاری معروف به COVENANT را تأیید کرد.

زنجیره آلودگی: اسناد و DLLهای آلوده به ماکرو

حمله با یک پیام Signal حاوی یک سند مخرب مایکروسافت ورد با عنوان «Акт.doc» آغاز می‌شود. این سند شامل یک ماکروی جاسازی‌شده است که پس از فعال شدن، دو مؤلفه را ارائه می‌دهد:

  • یک DLL مخرب: ctec.dll
  • یک تصویر PNG مبدل: windows.png

سپس ماکرو تغییراتی در رجیستری ویندوز ایجاد می‌کند تا اطمینان حاصل شود که DLL در اجرای بعدی explorer.exe اجرا می‌شود. این DLL، shellcode پنهان شده در تصویر PNG را می‌خواند و چارچوب بدافزار COVENANT را که در حافظه قرار دارد، فعال می‌کند.

پس از فعال‌سازی، COVENANT اقدام به دانلود و اجرای دو پیلود میانی می‌کند که در نهایت درب پشتی BEARDSHELL را نصب می‌کنند و کنترل مداوم سیستم آلوده را در اختیار می‌گیرند.

کاونانت: چارچوب بدافزار پیشرفته در عمل

چارچوب COVENANT نقش محوری در این عملیات ایفا می‌کند و به عنوان مرکز اجرای بدافزارهای دیگر عمل می‌کند. طراحی ماژولار آن امکان استقرار انعطاف‌پذیر پیلودها را فراهم می‌کند که در این مورد مستقیماً به اجرای BEARDSHELL منجر می‌شود. این چارچوب مستقر در حافظه، از مکانیسم‌های تشخیص سنتی عبور می‌کند و آن را به ویژه برای محیط‌های هدف خطرناک می‌سازد.

توصیه‌های نظارت و کاهش

برای کاهش مواجهه با این کمپین، CERT-UA به شبکه‌های دولتی و سازمانی توصیه می‌کند تا ترافیک مرتبط با دامنه‌های زیر را رصد کنند:

  • app.koofr.net
  • api.icedrive.net

هوشیاری در مورد اتصالات خروجی به این دامنه‌ها می‌تواند به تشخیص علائم اولیه‌ی نفوذ کمک کند.

نتیجه‌گیری: تهدیدهای مداوم و در حال تکامل

APT28 همچنان به اصلاح تکنیک‌های حمله خود ادامه می‌دهد و پلتفرم‌های پیام‌رسان مدرن مانند سیگنال را در کنار آسیب‌پذیری‌های سیستم‌های قدیمی به کار می‌گیرد. این رویکرد دوگانه، با استفاده از بدافزارهای تازه توسعه‌یافته و اکسپلویت‌های شناخته‌شده، بر تداوم فعالیت این گروه و اهمیت دفاع‌های لایه‌ای امنیت سایبری تأکید می‌کند. سازمان‌ها، به‌ویژه سازمان‌های دولتی، باید هوشیار باشند و به‌طور فعال ترافیک شبکه را برای یافتن نشانه‌های نفوذ رصد کنند.

پرطرفدار

پربیننده ترین

بد افزار

فیشینگ, هرزنامه
35,126
پیام کلاهبرداری «Apple Pay Suspended» نوعی تاکتیک فیشینگ است که کاربران Apple Pay را هدف قرار می دهد. در این پیام ادعا شده است که کیف پول Apple Pay کاربر به حالت تعلیق درآمده است و از آن‌ها می‌خواهد برای بازیابی آن روی پیوندی کلیک کنند. با این حال، با کلیک بر روی لینک، کاربر به یک وب سایت جعلی هدایت می شود که برای سرقت اطلاعات شخصی و مالی آنها طراحی شده است. اگر کاربر قربانی این طرح شود، عواقب...
بارگذاری...