قیمت چند مجوز تخفیف
پایگاه داده تهدید تهدید مداوم پیشرفته (APT) عملیات حمله اولالامپو

عملیات حمله اولالامپو

تا Mezo در تهدید مداوم پیشرفته (APT), بدافزار
ترجمه به:

گروه تهدید وابسته به دولت ایران، MuddyWater، که با نام‌های Earth Vetala، Mango Sandstorm و MUDDYCOAST نیز شناخته می‌شود، یک کمپین سایبری جدید با نام عملیات Olalampo راه‌اندازی کرده است. این عملیات در درجه اول سازمان‌ها و افراد را در سراسر منطقه خاورمیانه و شمال آفریقا (MENA) هدف قرار داده است.

این کمپین که اولین بار در ۲۶ ژانویه ۲۰۲۶ شناسایی شد، ضمن استفاده مجدد از اجزایی که قبلاً با این گروه مرتبط بودند، چندین خانواده بدافزار جدید را معرفی می‌کند. محققان امنیتی گزارش می‌دهند که این فعالیت نشان دهنده ادامه الگوهای عملیاتی تثبیت شده MuddyWater است و حضور مداوم آن را در منطقه META (خاورمیانه، ترکیه و آفریقا) تقویت می‌کند.

بردارهای عفونت و زنجیره‌های حمله

این کمپین از یک روش نفوذ آشنا که با عملیات‌های قبلی MuddyWater سازگار است، پیروی می‌کند. دسترسی اولیه معمولاً با ایمیل‌های فیشینگ هدفمند حاوی پیوست‌های مخرب مایکروسافت آفیس آغاز می‌شود. این اسناد کد ماکرو را که برای رمزگشایی و اجرای پیلودها روی سیستم قربانی طراحی شده است، جاسازی می‌کنند و در نهایت کنترل از راه دور را به مهاجمان می‌دهند.

چندین نوع حمله مشاهده شده است:

  • یک سند مخرب مایکروسافت اکسل، قربانیان را وادار به فعال کردن ماکروها می‌کند و باعث راه‌اندازی درب پشتی مبتنی بر Rust به نام CHAR می‌شود.
  • یک نوع مرتبط، دانلودکننده‌ی GhostFetch را ارائه می‌دهد که متعاقباً بدافزار GhostBackDoor را نصب می‌کند.
  • زنجیره‌ی آلودگی سوم، به جای جعل هویت یک شرکت خدمات دریایی و انرژی خاورمیانه، از فریب‌های موضوعی مانند بلیط هواپیما یا گزارش‌های عملیاتی برای توزیع دانلودکننده‌ی HTTP_VIP استفاده می‌کند. این نوع در نهایت برنامه‌ی ریموت دسکتاپ AnyDesk را برای دسترسی مداوم نصب می‌کند.

علاوه بر این، مشاهده شده است که این گروه از آسیب‌پذیری‌های تازه افشا شده در سرورهای اینترنتی برای دسترسی اولیه به محیط‌های هدف سوءاستفاده می‌کند.

زرادخانه بدافزار: ابزارهای سفارشی و ایمپلنت‌های ماژولار

عملیات اولالامپو بر یک اکوسیستم بدافزاری چند مرحله‌ای و ساختاریافته متکی است که برای شناسایی، پایداری و کنترل از راه دور طراحی شده است. ابزارهای اصلی شناسایی شده در این کمپین عبارتند از:

GhostFetch – یک دانلودکننده‌ی مرحله‌ی اول که با اعتبارسنجی حرکت ماوس و وضوح صفحه نمایش، تشخیص ابزارهای اشکال‌زدایی، شناسایی مصنوعات ماشین مجازی و بررسی نرم‌افزار آنتی‌ویروس، سیستم‌های آسیب‌دیده را شناسایی می‌کند. این بدافزار، پیلودهای ثانویه را مستقیماً در حافظه بازیابی و اجرا می‌کند.

GhostBackDoor - یک بدافزار مرحله دوم که توسط GhostFetch ارائه می‌شود. این بدافزار امکان دسترسی تعاملی به پوسته، عملیات خواندن/نوشتن فایل و راه‌اندازی مجدد GhostFetch را فراهم می‌کند.

HTTP_VIP – یک دانلودکننده‌ی بومی که شناسایی سیستم را انجام می‌دهد و برای احراز هویت به دامنه‌ی خارجی "codefusiontech(dot)org" متصل می‌شود. این برنامه AnyDesk را از یک سرور فرمان و کنترل (C2) مستقر می‌کند. نسخه‌ی جدیدتر، عملکرد را با جمع‌آوری داده‌های قربانی، اجرای پوسته‌ی تعاملی، انتقال فایل، ضبط کلیپ‌بورد و فواصل زمانی قابل تنظیم برای ارسال سیگنال بهبود می‌بخشد.

CHAR – یک درب پشتی مبتنی بر Rust که از طریق یک ربات تلگرام با نام 'Olalampo' (نام کاربری: stager_51_bot) کنترل می‌شود. این ربات از پیمایش دایرکتوری و اجرای دستورات cmd.exe یا PowerShell پشتیبانی می‌کند.

قابلیت PowerShell مرتبط با CHAR امکان اجرای یک پروکسی معکوس SOCKS5 یا یک درب پشتی اضافی به نام Kalim را فراهم می‌کند. همچنین استخراج داده‌های مرورگر را تسهیل کرده و فایل‌های اجرایی با برچسب‌های 'sh.exe' و 'gshdoc_release_X64_GUI.exe' را اجرا می‌کند.

توسعه به کمک هوش مصنوعی و همپوشانی کد

تجزیه و تحلیل فنی کد منبع CHAR، نشانه‌هایی از توسعه با کمک هوش مصنوعی را نشان داد. وجود ایموجی‌ها در رشته‌های اشکال‌زدایی با یافته‌های قبلی افشا شده توسط گوگل مطابقت دارد، که گزارش داده بود MuddyWater در حال آزمایش ابزارهای هوش مصنوعی مولد برای بهبود توسعه بدافزار، به ویژه برای انتقال فایل و قابلیت‌های اجرای از راه دور، بوده است.

تجزیه و تحلیل بیشتر، شباهت‌های ساختاری و محیطی بین CHAR و بدافزار مبتنی بر Rust به نام BlackBeard که با نام Archer RAT یا RUSTRIC نیز شناخته می‌شود و قبلاً توسط این گروه علیه نهادهای خاورمیانه‌ای به کار گرفته شده بود را نشان می‌دهد. این همپوشانی‌ها نشان‌دهنده‌ی خطوط توسعه‌ی مشترک و اصلاح مکرر ابزارها است.

گسترش قابلیت‌ها و هدف استراتژیک

MuddyWater همچنان یک عامل تهدید پایدار و در حال تکامل در منطقه META است. ادغام توسعه مبتنی بر هوش مصنوعی، اصلاح مداوم بدافزارهای سفارشی، بهره‌برداری از آسیب‌پذیری‌های عمومی و تنوع‌بخشی به زیرساخت‌های C2، در مجموع نشان‌دهنده تعهد بلندمدت به گسترش عملیاتی است.

عملیات اولالامپو، تمرکز پایدار این گروه بر اهداف مستقر در منطقه خاورمیانه و شمال آفریقا را برجسته می‌کند و پیچیدگی روزافزون قابلیت‌های نفوذ آن را برجسته می‌سازد. سازمان‌های فعال در منطقه باید هوشیاری خود را افزایش دهند، محدودیت‌های کلان را اعمال کنند، ارتباطات خروجی فرماندهی و کنترل (C2) را رصد کنند و رفع آسیب‌پذیری‌ها را به موقع در اولویت قرار دهند تا میزان مواجهه با این چشم‌انداز تهدید در حال تحول را کاهش دهند.

پرطرفدار

کلاهبرداری ایمیلی با موضوع جبران خسارت بانک فدرال...

فیشینگ, هرزنامه
هوشیاری در مواجهه با ایمیل‌های غیرمنتظره در چشم‌انداز تهدیدهای امروزی ضروری است. مجرمان سایبری اغلب برای جلب اعتماد، خود را به جای نهادهای معتبر جا می‌زنند و گیرندگان را برای افشای اطلاعات حساس یا ارسال پول فریب می‌دهند. ایمیل موسوم به «صندوق جبران خسارت بانک فدرال» یکی از این نمونه‌هاست. این پیام‌ها به هیچ شرکت، بانک، سازمان یا نهاد دولتی معتبری مرتبط نیستند. در عوض، آنها بخشی از یک کلاهبرداری...

Cosmobotshield.co.in

وب سایت های سرکش, ابزارهای تبلیغاتی مزاحم, ربایندگان مرورگر
مرور وب بدون احتیاط می‌تواند به سرعت منجر به مشکلات جدی امنیتی و حریم خصوصی شود. مجرمان سایبری به طور مداوم تکنیک‌های فریبنده‌ای را برای فریب کاربران جهت اعطای مجوز یا افشای اطلاعات حساس توسعه...

پربیننده ترین

بد افزار

فیشینگ, هرزنامه
24,140
پیام کلاهبرداری «Apple Pay Suspended» نوعی تاکتیک فیشینگ است که کاربران Apple Pay را هدف قرار می دهد. در این پیام ادعا شده است که کیف پول Apple Pay کاربر به حالت تعلیق درآمده است و از آن‌ها می‌خواهد برای بازیابی آن روی پیوندی کلیک کنند. با این حال، با کلیک بر روی لینک، کاربر به یک وب سایت جعلی هدایت می شود که برای سرقت اطلاعات شخصی و مالی آنها طراحی شده است. اگر کاربر قربانی این طرح شود، عواقب...
بارگذاری...