قیمت چند مجوز تخفیف
پایگاه داده تهدید بدافزار RTX RAT

RTX RAT

تا Mezo در بدافزار, ابزارهای مدیریت از راه دور
ترجمه به:

یک حادثه امنیتی مربوط به CPUID، کاربران را از طریق وب‌سایت رسمی آن، cpuid.com، در معرض نرم‌افزارهای مخرب قرار داد. برای مدت کمتر از ۲۴ ساعت، عوامل تهدید با موفقیت لینک‌های دانلود را دستکاری کردند تا نسخه‌های آلوده ابزارهای نظارت سخت‌افزاری پرکاربرد را توزیع کنند.

این نفوذ بین ساعت 15:00 UTC از 9 آوریل تا ساعت 10:00 UTC از 10 آوریل رخ داده است که طی آن لینک‌های نصب‌کننده‌ی قانونی به طور متناوب با ریدایرکت‌های مخرب جایگزین شده‌اند. نکته‌ی مهم این است که CPUID تأیید کرده است که فایل‌های باینری امضا شده‌ی اصلی آن دست نخورده باقی مانده‌اند، زیرا این نقض امنیتی ناشی از یک ویژگی ثانویه، اساساً یک API جانبی، بوده است که باعث شده وب‌سایت به جای تغییر خود نرم‌افزار اصلی، به طور تصادفی لینک‌های مضر را نمایش دهد.

زیرساخت‌های مخرب: دامنه‌های سرکش پشت این حمله

تحقیقات محققان امنیت سایبری چندین دامنه را که برای میزبانی و ارائه بارهای تروجان‌شده استفاده می‌شدند، شناسایی کرد. این وب‌سایت‌های مخرب نقش اصلی را در هدایت کاربران ناآگاه به دانلودهای آلوده ایفا می‌کردند:

  • شناسه وب cahayailmukreatif[.]
  • pub-45c2577dbd174292a02137c18e7b1b5a.r2[.]dev
  • ترانزیت‌پالرمو[.]com
  • واتروبران[.]ساعت

این دامنه‌ها بخشی از یک زیرساخت گسترده‌تر بودند که برای پشتیبانی از توزیع بدافزار و عملیات فرمان و کنترل طراحی شده بود.

مکانیسم تحویل مخفیانه: سوءاستفاده از بارگذاری جانبی DLL

مهاجمان از یک تکنیک فرار شناخته‌شده به نام بارگذاری جانبی DLL استفاده کردند. بسته‌های مخرب هم به صورت آرشیوهای ZIP و هم به صورت نصب‌کننده‌های مستقل توزیع شدند که هر کدام شامل دو جزء بودند: یک فایل اجرایی قانونی و امضا شده و یک کتابخانه پیوند پویای جعلی به نام 'CRYPTBASE.dll'.

با سوءاستفاده از اعتماد موجود در فایل‌های باینری امضا شده، DLL مخرب در حین اجرا بارگذاری می‌شد و امکان نفوذ مخفیانه را فراهم می‌کرد. این بدافزار قبل از شروع اقدامات بیشتر، بررسی‌های ضد سندباکس را برای جلوگیری از شناسایی در محیط‌های تحلیلی انجام داد. پس از گذراندن این بررسی‌ها، برای بازیابی بارهای داده اضافی با یک سرور خارجی تماس گرفت.

استقرار STX RAT: ابزاری همه‌کاره برای پس از بهره‌برداری

هدف نهایی این کمپین، استقرار STX RAT، یک تروجان قدرتمند دسترسی از راه دور مجهز به قابلیت‌های محاسبات شبکه مجازی پنهان (HVNC) و قابلیت سرقت گسترده داده‌ها بود.

این بدافزار مهاجمان را قادر می‌سازد تا کنترل مداوم بر سیستم‌های آلوده را حفظ کرده و طیف گسترده‌ای از فعالیت‌های پس از بهره‌برداری را اجرا کنند، از جمله:

  • اجرای درون حافظه‌ای اسکریپت‌های EXE، DLL، PowerShell و shellcode
  • پروکسی معکوس و تونل سازی شبکه
  • تعامل و نظارت از راه دور با دسکتاپ

چنین قابلیت‌هایی، STX RAT را به طور خاص در محیط‌های شخصی و سازمانی خطرناک می‌کند.

همپوشانی کمپین‌ها: پیوندها به حملات قبلی FileZilla

تجزیه و تحلیل نشان داد که زیرساخت فرماندهی و کنترل (C2) مورد استفاده در این حادثه، قبلاً با یک کمپین جداگانه شامل نصب‌کننده‌های تروجان‌شده‌ی FileZilla مرتبط بوده است. استفاده مجدد از پیکربندی‌های سرور و دامنه‌های ارتباطی یکسان، قویاً نشان‌دهنده‌ی همپوشانی عملیاتی بین این دو کمپین است.

این تکرار تاکتیک‌ها، تکنیک‌ها و زیرساخت‌ها، شاخص‌های ارزشمندی را برای تشخیص و انتساب فراهم کرد.

عملیات بلندمدت: جدول زمانی کمپین ۱۰ ماهه

تحقیقات بیشتر نشان می‌دهد که نقض CPUID بخشی از یک کمپین گسترده‌تر است که از ژوئیه ۲۰۲۵ آغاز شده است. اولین نمونه بدافزار شناخته شده، که با نام «superbad.exe» شناسایی شده است، در حال برقراری ارتباط با یک سرور فرمان و کنترل با آدرس ۹۵.۲۱۶.۵۱.۲۳۶ مشاهده شد.

کارشناسان امنیتی ارزیابی می‌کنند که عامل تهدید احتمالاً روسی زبان است و ممکن است انگیزه مالی داشته باشد یا به عنوان یک کارگزار دسترسی اولیه فعالیت کند، نهادی که در به دست آوردن جایگاه در سیستم‌ها و فروش آن دسترسی به سایر مجرمان سایبری تخصص دارد.

ارزیابی تأثیر: دسترسی جهانی با قربانیان متنوع

این حمله بیش از ۱۵۰ قربانی تایید شده، عمدتاً کاربران شخصی، را تحت تأثیر قرار داده است. با این حال، سازمان‌هایی در صنایع مختلف نیز مورد نفوذ قرار گرفته‌اند، از جمله بخش‌های خرده‌فروشی، تولید، مشاوره، مخابرات و کشاورزی.

از نظر جغرافیایی، اکثر آلودگی‌ها در برزیل، روسیه و چین شناسایی شده‌اند که نشان‌دهنده یک استراتژی هدف‌گیری گسترده و فرصت‌طلبانه است.

نقاط ضعف عملیاتی: خطاهایی که منجر به شناسایی شدند

علیرغم گستردگی این کمپین، چندین نقص امنیتی عملیاتی به طور قابل توجهی اثربخشی مهاجمان را تضعیف کرد. استفاده مجدد از زنجیره‌های آلودگی یکسان، بارهای داده STX RAT و دامنه‌های فرمان و کنترل از کمپین‌های قبلی، ردیابی و همبستگی این فعالیت را آسان‌تر کرد.

این کاستی‌ها نشان دهنده پیچیدگی نسبتاً کم در شیوه‌های توسعه و استقرار بدافزار است. در نتیجه، مدافعان توانستند حمله watering hole را به سرعت پس از شروع آن تشخیص دهند و تأثیر کلی و بازه زمانی افشای آن را محدود کنند.

پرطرفدار

کلاهبرداری ایمیلی نیازمند تأیید امنیتی

فیشینگ, هرزنامه
احتیاط در مواجهه با ایمیل‌های غیرمنتظره برای حفظ امنیت آنلاین ضروری است. مجرمان سایبری اغلب پیام‌های مخرب را به عنوان ارتباطات مشروع پنهان می‌کنند تا از اعتماد و فوریت سوءاستفاده کنند. کلاهبرداری ایمیلی موسوم به «نیاز به تأیید امنیتی» نمونه بارز این تاکتیک است. این ایمیل‌ها، علیرغم ظاهر قانع‌کننده‌شان، به هیچ شرکت، سازمان یا ارائه‌دهنده خدمات مشروعی مرتبط نیستند. نگاهی دقیق‌تر به کلاهبرداری...

پربیننده ترین

بارگذاری...