قیمت چند مجوز تخفیف
پایگاه داده تهدید بدافزار بدافزار TransferLoader

بدافزار TransferLoader

تا Mezo در بدافزار, تهدید مداوم پیشرفته (APT)
ترجمه به:

محققان امنیتی در حال کشف ارتباط بین عوامل بدنام پشت RomCom RAT و یک بدافزار به نام TransferLoader هستند. این کمپین که نهادها را با حملات جاسوسی و باج‌افزاری هدف قرار داده است، تکنیک‌های پیچیده و زیرساخت‌های همپوشانی را برجسته می‌کند که نیاز به بررسی دقیق دارند.

دو خوشه از عوامل تهدید: TA829 و UNK_GreenSec

محققان امنیت سایبری فعالیت‌های مرتبط با TransferLoader را به دو گروه اصلی از عوامل تهدید نسبت داده‌اند:

  • TA829، همچنین با نام‌های مستعاری مانند RomCom RAT، CIGAR، Nebulous Mantis، Storm-0978، Tropical Scorpius، UAC-0180، UAT-5647، UNC2596 و Void Rabisu ردیابی می‌شود.
  • UNK_GreenSec، یک خوشه کمتر شناخته‌شده که به موازات تاکتیک‌های مشابه فعالیت می‌کند.

گروه TA829 به ویژه به خاطر عملیات ترکیبی خود، که شامل ترکیبی از جاسوسی و حملات با انگیزه مالی است، قابل توجه است. این گروه وابسته به روسیه پیش از این از آسیب‌پذیری‌های روز صفر در موزیلا فایرفاکس و مایکروسافت ویندوز برای استقرار RomCom RAT استفاده کرده و سازمان‌های جهانی با ارزش بالا را هدف قرار داده است.

TransferLoader: ظهور و نقش آن در کمپین‌های بدافزاری

TransferLoader اولین بار در فوریه ۲۰۲۵ در جریان یک کمپین مربوط به باج‌افزار Morpheus، نسخه تغییر نام یافته باج‌افزار HellCat، شناسایی شد. این بدافزار علیه یک شرکت حقوقی ناشناس مستقر در ایالات متحده استفاده شد. برخلاف RomCom، TransferLoader در درجه اول به عنوان یک مکانیسم تحویل مخفیانه عمل می‌کند و امکان استقرار بارهای مخرب اضافی مانند Metasploit و Morpheus را فراهم می‌کند.

ماموریت TransferLoader ساده است: شناسایی نشدن و انتقال بدافزارهای بیشتر.

بهره‌برداری از زیرساخت پروکسی REM

هر دو گروه TA829 و UNK_GreenSec به سرویس‌های پروکسی REM متکی هستند که اغلب بر روی روترهای آسیب‌پذیر MikroTik میزبانی می‌شوند. این پروکسی‌ها برای مسیریابی ترافیک مخرب و پنهان کردن منشأ واقعی آن استفاده می‌شوند. این گروه‌ها از این زیرساخت برای موارد زیر استفاده می‌کنند:

  • ارسال ایمیل‌های فیشینگ از طریق سرویس‌های ایمیل رایگان (مثلاً Gmail، ukr.net)
  • رله کردن ترافیک برای پنهان کردن فعالیت‌های بالادستی
  • راه‌اندازی کمپین‌ها با استفاده از حساب‌های ایمیل تازه ایجاد شده و حساب‌های ایمیل هک شده

محققان به استفاده از ابزارهای سازنده ایمیل که آدرس‌های فرستنده مانند ximajazehox333@gmail.com و hannahsilva1978@ukr.net را به صورت انبوه تولید می‌کنند، برای توزیع فیشینگ مشکوک هستند.

مکانیزم فیشینگ و تحویل بار داده

پیام‌های فیشینگ ارسال‌شده توسط هر دو گروه اغلب حاوی لینک‌هایی هستند که در متن ایمیل یا پیوست‌های PDF جاسازی شده‌اند. قربانیانی که روی این لینک‌ها کلیک می‌کنند، از طریق Rebrandly در معرض زنجیره‌ای از تغییر مسیرها قرار می‌گیرند و در نهایت به صفحات جعلی Google Drive یا Microsoft OneDrive هدایت می‌شوند. این تغییر مسیرها شامل مکانیسم‌هایی برای موارد زیر هستند:

  • دور زدن محیط‌های سندباکس
  • سیستم‌هایی که مورد توجه نیستند را فیلتر کنید
  • بسته به گروه تهدید، بارهای نهایی متفاوتی را ارائه دهید

مسیرهای حمله واگرا :

  • UNK_GreenSec از این مسیر برای استقرار TransferLoader استفاده می‌کند.
  • TA829 اهداف را به بدافزار SlipScreen هدایت می‌کند

ابزارها و زیرساخت‌های مشترک

هر دو گروه بازیگران، ابزارها و انتخاب‌های زیرساختیِ همپوشانی را نشان می‌دهند:

  • استفاده از ابزار PLINK در PuTTY برای ایجاد تونل‌های SSH
  • میزبانی ابزارهای مخرب بر روی سرویس‌های IPFS (سیستم فایل بین سیاره‌ای)
  • استفاده از نقاط پایانی تغییر مسیر پویا مبتنی بر PHP برای فیلتر کردن ترافیک

این روش‌های مشترک، هماهنگی احتمالی یا اتخاذ متقابل تاکتیک‌های مؤثر را نشان می‌دهند.

مضامین مهندسی اجتماعی و تاکتیک‌های ارائه

کمپین‌های مربوط به TransferLoader اغلب خود را به عنوان ایمیل‌های فرصت شغلی جا می‌زنند و قربانیان را با لینک‌هایی که ادعا می‌کنند به رزومه‌های PDF منتهی می‌شوند، فریب می‌دهند. در واقع، این لینک باعث دانلود TransferLoader میزبانی شده در IPFS webshares می‌شود.

نکات فنی کلیدی عملیات TransferLoader

از شناسایی شدن فرار می‌کند – از تغییر مسیر، فیلتر کردن و میزبانی غیرمتمرکز برای دور زدن دفاع‌های سنتی استفاده می‌کند.

تحویل بار داده – به عنوان بارگذاری‌کننده‌ی بدافزارهای خطرناک‌تر، از جمله باج‌افزار و ابزارهای دسترسی از راه دور، عمل می‌کند.

تکنیک‌های متمایز – از ساختارهای تغییر مسیر منحصر به فرد (جاوااسکریپت به نقاط انتهایی PHP) برای پشتیبانی از تحویل محتوای پویا استفاده می‌کند.

نتیجه‌گیری: درک تهدید TransferLoader

TransferLoader به عنوان یک لودر مخفی که قادر به انجام حملات با تأثیر بالا است، تهدید قابل توجهی محسوب می‌شود. استفاده از آن توسط UNK_GreenSec و TA829 نشان می‌دهد که چگونه گروه‌های مجرمان سایبری به نوآوری، اشتراک‌گذاری ابزارها و سوءاستفاده از زیرساخت‌های غیرمتمرکز برای جلوگیری از شناسایی و دستیابی به اهداف خود ادامه می‌دهند.

نشانه‌های تهدید TransferLoader عبارتند از:

  • استفاده از سرویس‌های پروکسی REM
  • ایمیل‌های وسوسه‌انگیز با ارجاع به درخواست‌های شغلی یا رزومه‌ها
  • زنجیره‌های ریدایرکت شامل لینک‌های Rebrandly
  • بارهای داده میزبانی شده بر روی پلتفرم‌های مبتنی بر IPFS

سازمان‌ها باید هوشیار باشند، فیلترینگ قوی ایمیل و وب را پیاده‌سازی کنند و به طور مداوم رفتارهای غیرعادی شبکه مرتبط با این تاکتیک‌ها را رصد کنند.

پرطرفدار

پربیننده ترین

بد افزار

فیشینگ, هرزنامه
35,407
پیام کلاهبرداری «Apple Pay Suspended» نوعی تاکتیک فیشینگ است که کاربران Apple Pay را هدف قرار می دهد. در این پیام ادعا شده است که کیف پول Apple Pay کاربر به حالت تعلیق درآمده است و از آن‌ها می‌خواهد برای بازیابی آن روی پیوندی کلیک کنند. با این حال، با کلیک بر روی لینک، کاربر به یک وب سایت جعلی هدایت می شود که برای سرقت اطلاعات شخصی و مالی آنها طراحی شده است. اگر کاربر قربانی این طرح شود، عواقب...
بارگذاری...