قیمت چند مجوز تخفیف
پایگاه داده تهدید بدافزار بدافزار EndRAT

بدافزار EndRAT

تا Mezo در بدافزار, تهدید مداوم پیشرفته (APT), ابزارهای مدیریت از راه دور
ترجمه به:

یک کمپین سایبری پیچیده منسوب به گروه تهدید Konni، رویکردی حساب‌شده برای نفوذ بلندمدت، استخراج داده‌ها و انتشار جانبی را نشان می‌دهد. در مرکز این عملیات، بدافزار EndRAT قرار دارد، یک تروجان قدرتمند دسترسی از راه دور که برای حفظ پایداری و استخراج بی‌سروصدای اطلاعات حساس طراحی شده است، در حالی که از کانال‌های ارتباطی قابل اعتماد برای گسترش دامنه دسترسی خود استفاده می‌کند.

نقطه ورود فریبنده: تاکتیک‌های فیشینگ هدفمند مسلح

این نفوذ با یک ایمیل فیشینگ هدفمند که با دقت طراحی شده و در قالب یک اطلاعیه رسمی ظاهر شده و گیرنده را به عنوان مدرس حقوق بشر کره شمالی منصوب می‌کند، آغاز می‌شود. این تاکتیک مهندسی اجتماعی برای سوءاستفاده از اعتبار و کنجکاوی طراحی شده است.

به محض اینکه گیرنده فایل فشرده‌ی پیوست‌شده را باز کند، یک فایل میانبر مخرب ویندوز (LNK) اجرا می‌شود. این اقدام یک زنجیره‌ی آلودگی چند مرحله‌ای را آغاز می‌کند:

  • فایل LNK یک payload ثانویه را از یک سرور راه دور بازیابی می‌کند.
  • ماندگاری از طریق وظایف زمان‌بندی‌شده ایجاد می‌شود تا دسترسی بلندمدت تضمین شود.
  • یک سند PDF فریبنده برای پرت کردن حواس قربانی نمایش داده می‌شود در حالی که فرآیندهای مخرب در پس‌زمینه اجرا می‌شوند.

این نفوذ اولیه، امکان استقرار EndRAT را بدون ایجاد سوءظن فوری فراهم می‌کند.

EndRAT رها شد: کنترل مداوم و استخراج داده‌ها

EndRAT (که با نام EndClient RAT نیز شناخته می‌شود) با استفاده از AutoIt توسعه داده شده و به عنوان ستون فقرات عملیاتی این حمله عمل می‌کند. پس از جاسازی در سیستم، امکان کنترل کامل از راه دور بر روی میزبان آسیب‌دیده را فراهم می‌کند.

قابلیت‌های کلیدی EndRAT عبارتند از:

  • دسترسی از راه دور به پوسته برای اجرای دستور
  • دستکاری سیستم فایل و استخراج داده‌ها
  • انتقال امن داده‌ها بین قربانی و مهاجم
  • جای پای ثابت از طریق مکانیسم‌های مخفی‌کاری

این بدافزار برای مدت طولانی پنهان می‌ماند و امکان نظارت مداوم و استخراج اسناد داخلی و داده‌های حساس را فراهم می‌کند.

استقرار لایه‌ای تهدید: چندین RAT برای انعطاف‌پذیری

تجزیه و تحلیل‌های بیشتر نشان می‌دهد که EndRAT به صورت جداگانه مستقر نشده است. اجزای مخرب دیگری، از جمله اسکریپت‌های مبتنی بر AutoIt مرتبط با RftRAT و RemcosRAT، به محیط آسیب‌دیده وارد می‌شوند.

این استراتژی استقرار لایه‌ای نشان می‌دهد که اهداف با ارزش بالا تحت مکانیسم‌های کنترل افزونه قرار می‌گیرند و تداوم عملیاتی را حتی در صورت شناسایی یا حذف یک گونه بدافزار تضمین می‌کنند. وجود چندین خانواده RAT به طور قابل توجهی توانایی مهاجم را در حفظ دسترسی و سازگاری با اقدامات دفاعی افزایش می‌دهد.

استفاده ابزاری از اعتماد: KakaoTalk به عنوان کانال توزیع بدافزار

یکی از ویژگی‌های بارز این کمپین، سوءاستفاده از برنامه دسکتاپ KakaoTalk نصب شده روی سیستم‌های آلوده است. مهاجمان با سوءاستفاده از جلسات احراز هویت شده کاربران، قربانیان را به توزیع‌کنندگان ناخواسته بدافزار تبدیل می‌کنند.

با استفاده از حساب کاربری هک‌شده، فایل‌های ZIP مخرب به صورت گزینشی برای مخاطبین درون شبکه قربانی ارسال می‌شوند. این فایل‌ها اغلب به عنوان محتوای مربوط به کره شمالی پنهان می‌شوند و احتمال تعامل و اجرا را افزایش می‌دهند.

این تاکتیک از روابط مبتنی بر اعتماد سوءاستفاده می‌کند، میزان موفقیت در سرایت را به طور قابل توجهی بهبود می‌بخشد و امکان جابجایی جانبی هدفمند در شبکه‌های اجتماعی و حرفه‌ای را فراهم می‌کند.

تکامل تاکتیک‌ها: از سوءاستفاده از پیام‌رسان‌ها تا خرابکاری در دستگاه‌ها

این کمپین بر اساس فعالیت‌های مشاهده‌شده‌ی قبلی از نوامبر ۲۰۲۵، زمانی که همین گروه تهدید از جلسات KakaoTalk برای توزیع آرشیوهای مخرب استفاده کرد، بنا شده است. در طول آن عملیات، مهاجمان همچنین از اعتبارنامه‌های گوگل سرقت‌شده برای شروع پاکسازی از راه دور دستگاه‌های اندروید قربانیان استفاده کردند.

استفاده مداوم از پلتفرم‌های پیام‌رسان، نشان‌دهنده یک استراتژی در حال تکامل است که بر ربودن حساب‌ها و کانال‌های ارتباطی قابل اعتماد به جای تکنیک‌های سنتی توزیع انبوه تمرکز دارد.

ارزیابی استراتژیک: یک مدل تهدید پایدار و تطبیقی

این عملیات نمونه‌ای از یک چارچوب حمله چند مرحله‌ای و بسیار هماهنگ است که بسیار فراتر از نفوذ اولیه گسترش می‌یابد. با ترکیب فیشینگ هدف‌دار، پایداری مخفیانه، دسترسی از راه دور پیشرفته از طریق EndRAT و انتشار مبتنی بر حساب کاربری، عامل تهدید به عمق و وسعت در استراتژی نفوذ خود دست می‌یابد.

هدف‌گیری گزینشی مخاطبین، همراه با محتوای فریبنده‌ی با دقت طراحی‌شده، رویکردی آگاهانه و مبتنی بر اطلاعات را برجسته می‌کند. اتکا به EndRAT به عنوان مکانیسم کنترل مرکزی، نقش آن را به عنوان ابزاری حیاتی در عملیات جاسوسی سایبری مدرن تقویت می‌کند و امکان دسترسی پایدار، سرقت داده‌ها و زنجیره‌های آلودگی مقیاس‌پذیر را در شبکه‌های مورد اعتماد فراهم می‌کند.

پرطرفدار

Beringlousnet.com

وب سایت های سرکش, ابزارهای تبلیغاتی مزاحم, ربایندگان مرورگر
احتیاط در هنگام مرور وب دیگر اختیاری نیست، بلکه ضروری است. مجرمان سایبری به طور مداوم تکنیک‌های فریبنده‌ای را برای سوءاستفاده از کاربران بی‌توجه توسعه می‌دهند. وب‌سایت‌های سرکش اغلب به تاکتیک‌های...

پربیننده ترین

بارگذاری...