قیمت چند مجوز تخفیف
پایگاه داده تهدید درهای پشتی MiniFast Backdoor

MiniFast Backdoor

تا Mezo در درهای پشتی, تهدید مداوم پیشرفته (APT)
ترجمه به:

گروه تهدید تحت حمایت دولت ایران، معروف به نیمبوس مانتیکور (Nimbus Manticore) مرتبط با سپاه پاسداران انقلاب اسلامی، که با نام‌های Screening Serpens و UNC1549 نیز ردیابی می‌شود، پس از حملات مشترک آمریکا و اسرائیل به ایران در فوریه ۲۰۲۶، کمپین‌های سایبری خود را علیه سازمان‌هایی در ایالات متحده، اروپا و خاورمیانه تشدید کرده است. این گروه با استفاده از تکنیک‌های نفوذ پیچیده و روش‌های انتقال بدافزار، شرکت‌هایی را در صنایع هوانوردی و نرم‌افزار هدف قرار داده است.

محققان امنیتی چندین تغییر عملیاتی را شناسایی کردند که کمپین‌های اخیر را از فعالیت‌های قبلی متمایز می‌کند. این تغییرات شامل معرفی یک درب پشتی جدید به نام MiniFast، استفاده گسترده از ربودن AppDomain و یک چرخش استراتژیک به سمت مسمومیت سئو برای آلوده کردن قربانیان از طریق پورتال‌های دانلود نرم‌افزار جعلی است. تحلیلگران همچنین شاخص‌هایی را کشف کردند که نشان می‌دهد توسعه با کمک هوش مصنوعی ممکن است ایجاد این بدافزار را تسریع کرده باشد.

از پیشنهادهای شغلی جعلی گرفته تا دستکاری در موتورهای جستجو

نیمبوس مانتیکور از لحاظ تاریخی بر اهداف دفاعی، هوانوردی و مخابراتی از طریق کمپین‌های فیشینگ با موضوع شغلی که معمولاً به عنوان عملیات «شغل رویایی ایرانی» شناخته می‌شوند، تمرکز داشته است. این تاکتیک‌ها شباهت زیادی به عملیات شغل رویایی، یک کمپین مهندسی اجتماعی طولانی مدت مرتبط با بازیگران تهدید کره شمالی، دارند.

بین فوریه و آوریل ۲۰۲۶، این گروه سه موج مبارزاتی مجزا را بدون وقفه اجرا کرد و سرعت عملیاتی تهاجمی خود را در طول درگیری منطقه‌ای نشان داد.

در فوریه ۲۰۲۶، کارمندان سازمان‌های هوانوردی و نرم‌افزاری در عربستان سعودی و استرالیا پیشنهادهای شغلی جعلی حاوی آرشیوهای ZIP میزبانی‌شده در OnlyOffice دریافت کردند. باز کردن یک فایل اجرایی بی‌خطر در داخل آرشیو، باعث ربودن AppDomain شد که در نهایت DLL بدافزار MiniJunk را مستقر کرد.

در مارس ۲۰۲۶، عامل تهدید، زنجیره آلودگی مشابهی را اتخاذ کرد، اما یک نصب‌کننده زوم آلوده به تروجان را در این فرآیند گنجاند. این بدافزار احتمالاً از طریق دعوت‌نامه‌های جعلی برای جلسات توزیع شده و در نهایت، درب پشتی MiniFast که به تازگی شناسایی شده بود را نصب کرده است.

در آوریل ۲۰۲۶، نیمباس مانتیکور با به‌کارگیری تکنیک‌های مسمومیت سئو، استراتژی کاملاً متفاوتی را معرفی کرد. گردانندگان این حمله یک صفحه دانلود جعلی با جعل هویت Oracle SQL Developer ایجاد کردند و با ثبت دامنه‌های پشتیبانی متعدد که برای افزایش بازدید سایت طراحی شده بودند، رتبه‌بندی موتورهای جستجو در بینگ و داک‌داک‌گو را دستکاری کردند.

این اولین نمونه شناخته‌شده‌ای بود که در آن این گروه، فیشینگ هدفمند سنتی را کنار گذاشت و به توزیع بدافزار مبتنی بر موتور جستجو روی آورد. مهاجمان به جای هدف قرار دادن مستقیم قربانیان از طریق ایمیل‌های فریبنده، منتظر ماندند تا توسعه‌دهندگان و پرسنل فناوری اطلاعات، نرم‌افزارهای رایج را به صورت آنلاین جستجو کنند و سپس فایل‌های نصب آلوده را تحویل دهند.

درب پشتی MiniFast قابلیت‌های فنی رو به گسترشی را آشکار می‌کند

MiniFast که با نام MiniUpdate نیز شناخته می‌شود، نشان‌دهنده‌ی پیشرفت بزرگی در زرادخانه‌ی بدافزاری Nimbus Manticore است. محققان این بدافزار را به عنوان یک درِ پشتیِ کاملاً مجهز توصیف می‌کنند که برای دسترسی مداوم، اجرای دستورات از راه دور و عملیات جاسوسی طولانی‌مدت طراحی شده است.

این بدافزار قبل از ورود به حلقه فرمان خود، اطلاعات اولیه سیستم را از طریق HTTP به زیرساخت فرمان و کنترل خود منتقل می‌کند. سپس به طور مداوم دستورالعمل‌ها را بازیابی می‌کند، نتایج اجرا را آپلود می‌کند، فایل‌ها را استخراج می‌کند و بارهای داده اضافی را دانلود می‌کند.

این درِ پشتی از طیف گسترده‌ای از قابلیت‌ها پشتیبانی می‌کند، از جمله:

  • دستکاری فایل و شمارش دایرکتوری
  • فهرست کردن فرآیندها و خاتمه اجباری فرآیند از طریق PID
  • اجرای دستورات از راه دور از طریق cmd.exe
  • بارگذاری DLL و ایجاد آرشیو ZIP
  • پشتکار در انجام وظایف برنامه‌ریزی‌شده
  • افزایش سطح دسترسی با استفاده از دستور 'runas'
  • فواصل زمانی قابل تنظیم برای چراغ‌های راهنما به همراه لرزش قابل تنظیم برای تصادفی‌سازی ارتباطات

محققان همچنین نشانه‌هایی را مشاهده کردند که نشان می‌دهد ابزارهای کدنویسی با کمک هوش مصنوعی ممکن است در توسعه این بدافزار نقش داشته باشند. شواهد شامل مدیریت خطای غیرمعمول و طولانی، منطق برنامه‌نویسی دفاعی بیش از حد، قراردادهای نامگذاری تکراری، پیام‌های وضعیت بسیار دقیق به سبک اشکال‌زدایی و ساختار کد ماژولار غیرمعمول برای بدافزاری با این مقیاس و پیچیدگی است.

درگیری، عملیات سایبری سریع‌تر و گسترده‌تر را تشدید کرد

کارشناسان امنیت سایبری معتقدند که این کمپین‌ها نشان‌دهنده‌ی تکامل عملیاتی قابل توجه نیمبوس مانتیکور هستند. این گروه به جای کاهش سرعت در طول درگیری‌های ژئوپلیتیکی فعال، سرعت و پیچیدگی فعالیت‌های خود را گسترش داده است.

استقرار سریع یک درِ پشتیِ تازه توسعه‌یافته در میان عملیات جاری، نشان‌دهنده‌ی چرخه‌های توسعه‌ی بدافزارِ شتاب‌یافته است که احتمالاً توسط ابزارهای هوش مصنوعی پشتیبانی می‌شوند. در عین حال، گذار از فیشینگ هدفمند به مسمومیت سئو، نشان‌دهنده‌ی جاه‌طلبی گسترده‌تری است که فراتر از نفوذهای سنتیِ متمرکز بر جاسوسی در خاورمیانه گسترش می‌یابد.

با ترکیب عملیات فیشینگ، ربودن AppDomain، توسعه بدافزار با کمک هوش مصنوعی و دستکاری موتور جستجو در چندین موج کمپین، Nimbus Manticore یک مدل تهدید بسیار تطبیق‌پذیر را نشان داد که قادر است به سرعت در دوره‌های بی‌ثباتی ژئوپلیتیکی تکامل یابد.

پرطرفدار

به‌روزرسانی امنیتی برای شناسایی دستگاه‌ها و مکان‌های...

فیشینگ, هرزنامه
ایمیل‌های غیرمنتظره‌ای که درخواست اقدام فوری دارند، باید همیشه با احتیاط بررسی شوند، به خصوص زمانی که شامل هشدارهای امنیتی حساب یا درخواست تأیید اطلاعات شخصی باشند. مجرمان سایبری اغلب پیام‌های فیشینگ را به عنوان اعلان‌های رسمی پنهان می‌کنند تا گیرندگان را برای افشای اطلاعات حساس فریب دهند. ایمیل‌های «به‌روزرسانی امنیتی برای شناسایی دستگاه‌ها و مکان‌های مورد اعتماد» بخشی از چنین کمپین کلاهبرداری...

Aibrowseruodate.com

وب سایت های سرکش, ابزارهای تبلیغاتی مزاحم, ربایندگان مرورگر
رعایت احتیاط هنگام مرور اینترنت بیش از هر زمان دیگری اهمیت دارد. مجرمان سایبری و تبلیغ‌کنندگان فریبکار دائماً وب‌سایت‌های جعلی ایجاد می‌کنند که برای فریب بازدیدکنندگان و وادار کردن آنها به انجام...

پربیننده ترین

بارگذاری...