امروز در دنیای امنیت سایبری – آخرین اخبار امنیت – ۱۶ آذر ۱۴۰۴

🕒 زمان مطالعه: حدود ۱۳ دقیقه

چشم‌انداز امنیت سایبری امروز با ترکیبی از آسیب‌پذیری‌های حیاتی در زنجیره تأمین نرم‌افزار، تاکتیک‌های جدید و پیچیده از سوی بازیگران دولتی، و افشای زیرساخت‌های گروه‌های بزرگ باج‌افزاری تعریف می‌شود. این گزارش به تحلیل عمیق این تهدیدات می‌پردازد و نشان می‌دهد که چگونه سرعت و پیچیدگی حملات، نیاز به هوشیاری و واکنش سریع را برای تیم‌های امنیتی بیش از هر زمان دیگری ضروری کرده است.

۱. افشای زیرساخت باج‌افزار LockBit 5.0: سرور، آی‌پی و دامنه جدید گروه لو رفت

حتی بدنام‌ترین گروه‌های جرایم سایبری نیز می‌توانند دچار اشتباهات امنیت عملیاتی (OpSec) شوند و این اشتباهات، اطلاعات ارزشمندی را برای مدافعان فراهم می‌کند. این بخش به بررسی افشای زیرساخت‌های کلیدی نسخه جدید باج‌افزار معروف LockBit می‌پردازد.

زیرساخت اصلی باج‌افزار LockBit 5.0 (لاک-بیت-۵.۰) به دلیل یک خطای امنیتی افشا شده است.

شاخص‌های شناسایی‌شده عبارتند از:
  • آدرس IP: 205.185.116.233
  • دامنه: karma0[.]xyz
  • ارائه‌دهنده میزبانی: AS53667 (PONYNET، که توسط FranTech Solutions اداره می‌شود)

این سرور یک صفحه محافظت در برابر حملات DDoS با برند “LOCKBITS.5.0” نمایش می‌دهد که ارتباط آن با این گروه را تأیید می‌کند. محققی به نام راکش کریشنان (Rakesh Krishnan) اولین بار این یافته‌ها را در ۵ دسامبر ۲۰۲۵ عمومی کرد.

اسکن‌های انجام‌شده روی سرور، چندین پورت باز را شناسایی کرده‌اند که خطرات امنیتی جدی را نشان می‌دهند، به خصوص پورت RDP که یک مسیر پرخطر برای نفوذ است.

PortProtocolComponent
21TCPFTP Server
80TCPApache/2.4.58 (Win64) OpenSSL/3.1.3
3389TCPRDP (High-Risk Vector)
5000TCPHTTP
5985TCPWinRM
47001TCPHTTP
49666TCPFile Server
تحلیل تخصصی LockBit 5.0

این نسخه از باج‌افزار از سیستم‌عامل‌های ویندوز، لینوکس و ESXi پشتیبانی می‌کند. از ویژگی‌های آن می‌توان به پسوندهای فایل تصادفی برای فایل‌های رمزنگاری‌شده، فرار از شناسایی بر اساس موقعیت جغرافیایی (سیستم‌های روسی را نادیده می‌گیرد) و رمزگذاری سریع با استفاده از الگوریتم XChaCha20 اشاره کرد.

نکته کاربردی برای مدافعان

فوراً آدرس IP 205.185.116.233 و دامنه karma0.xyz را در سطح فایروال و DNS مسدود کنید تا از هرگونه ارتباط با زیرساخت LockBit 5.0 جلوگیری شود.

“بذار خلاصه بگم 👇”
گروه باج‌افزاری معروف لاک‌بیت یک اشتباه امنیتی بزرگ کرده و آدرس سرور اصلی‌اش لو رفته. حالا مدافعان می‌توانند این آدرس را مسدود کنند و فعالیت‌هایشان را زیر نظر بگیرند.

منابع این بخش:

۲. بدافزار BRICKSTORM: درب پشتی جدید هکرهای دولتی چین برای نفوذ به VMware و ویندوز

بازیگران دولتی دائماً در حال توسعه ابزارهای پیچیده برای نفوذ به شبکه‌های دولتی و شرکتی هستند. این بخش به کالبدشکافی یک درب پشتی جدید به نام BRICKSTORM می‌پردازد که با استفاده از تکنیک‌های پیشرفته برای پنهان‌کاری و فرار از شناسایی، تهدیدی جدی برای زیرساخت‌های حیاتی محسوب می‌شود.

بدافزار BRICKSTORM (بریک-اِستورم) یک درب پشتی مبتنی بر زبان برنامه‌نویسی Go است که توسط بازیگران دولتی چین، شناسایی‌شده با کدهای UNC5221 (یو-اِن-سی-۵۲۲۱) یا UTA0178، به کار گرفته می‌شود. سازمان‌های CISA، NSA و مرکز امنیت سایبری کانادا در مورد این بدافزار هشدار مشترکی صادر کرده‌اند.

تحلیل فنی این بدافزار، توانایی‌های پیشرفته آن را آشکار می‌کند:

قابلیت سه‌گانه: این بدافزار برای هدف قرار دادن سه محیط طراحی شده است: لینوکس، ویندوز و VMware، که نشان‌دهنده تمرکز مهاجمان بر روی زیرساخت‌های ترکیبی مدرن است.
فریب در لینوکس: نسخه لینوکسی خود را به عنوان یک ابزار به‌روزرسانی پایگاه داده PostgreSQL با نام pg_update.elf جا می‌زند تا مدیران سیستم را فریب دهد.
تکنیک‌های پیشرفته فرار:

  • با حذف نمادهای دیباگ (Stripped Symbols) و لینک‌دهی استاتیک و دستکاری هدرهای فایل (MITRE T1027)، تحلیل و مهندسی معکوس را بسیار دشوار می‌کند.
  • برای پاک کردن ردپای خود، با سرویس‌های سیستمی مانند rsyslog تعامل برقرار کرده و لاگ‌ها را دستکاری می‌کند.
  • برای ارتباط مخفیانه با سرور کنترل و فرماندهی (C2) خود از طریق دامنه pcsdl[.]com، از پروتکل DNS-over-HTTPS استفاده می‌کند تا ترافیک خود را در میان ترافیک‌های عادی وب پنهان کند.
    پایداری در ویندوز: نسخه ویندوزی این بدافزار دارای یک تابع خود-نگهبان (self-watcher) است که اگر فرآیند اصلی بدافزار متوقف شود، آن را مجدداً نصب و اجرا می‌کند.

مکانیسم پایداری این بدافزار بسیار مؤثر است. در یک مورد مستند، مهاجمان با نصب آن بر روی سرورهای vCenter، برای بیش از یک سال (از آوریل ۲۰۲۴ تا سپتامبر ۲۰۲۵) دسترسی خود را حفظ کردند. در این مدت، آن‌ها با سرقت Snapshot ماشین‌های مجازی به اطلاعات حساس و رمزهای عبور دست یافتند و سرورهای ADFS را برای استخراج کلیدهای رمزنگاری به خطر انداختند.

یک سناریوی فرضی

یک پیمانکار فناوری اطلاعات دولتی را تصور کنید. مهاجمان با استفاده از BRICKSTORM، سرور مدیریت VMware آن‌ها را به صورت کاملاً مخفیانه آلوده می‌کنند. برای ماه‌ها، آن‌ها از ماشین‌های مجازی که حاوی داده‌های حساس پروژه‌ها و اطلاعات کارمندان است، کپی‌برداری کرده و پیش از اینکه کسی متوجه شود، یک نشت اطلاعاتی عظیم را رقم می‌زنند.

نکته کاربردی برای مدافعان

تیم‌های مرکز عملیات امنیت (SOC) باید به دنبال دستورات مشکوک chown یا chmod بر روی سرورهای پایگاه داده باشند و ترافیک DNS-over-HTTPS به دامنه‌های غیرمعمول را به دقت زیر نظر بگیرند.

نگاهی به جعبه‌ابزار تحلیلگران: شکار تهدیدات با YARA و تفکر انتقادی

شناسایی تهدیدات پیچیده‌ای مانند BRICKSTORM یا حملات زنجیره تأمین، نیازمند ترکیبی دقیق از ابزارهای خودکار و تفکر انتقادی ساختاریافته است. این بخش ویژه، نگاهی به پشت صحنه متدولوژی تحلیلگران برای شکار همین الگوهای مخرب می‌اندازد.

یکی از ابزارهای کلیدی در این زمینه، YARA (یا-را) است. YARA ابزاری برای تطبیق الگو است که اغلب به عنوان “چاقوی سوئیسی محققان بدافزار” شناخته می‌شود. تحلیلگران با نوشتن قوانینی ساده، می‌توانند فایل‌ها و سیستم‌ها را برای یافتن ردپای بدافزارها اسکن کنند.

برای مثال، یک قانون ساده برای شناسایی درب پشتی pg_update.elf می‌تواند به شکل زیر باشد:

rule Detect_BRICKSTORM_Linux_Backdoor {
  strings:
    $c2 = "pcsdl.com"
    $elf_name = "pg_update.elf"
  condition:
    all of them
}

این قانون به دنبال نام فایل (pg_update.elf) و دامنه فرماندهی و کنترل (pcsdl.com) است که به طور مستقیم از تحلیل بدافزار BRICKSTORM استخراج شده‌اند.

اما ابزارها به تنهایی کافی نیستند. تحلیلگران از مدل‌های تفکر ساختاریافته مانند مدل تفکر انتقادی Paul & Elder برای تحلیل اطلاعات استفاده می‌کنند. این مدل بر عناصری مانند الزامات، سوالات کلیدی و مفروضات تأکید دارد و به تحلیلگران کمک می‌کند تا از سوگیری‌ها اجتناب کرده و از یک سرنخ کوچک (مانند یک آدرس IP) برای کشف یک کمپین کامل “محور” (Pivot) بزنند.

ترکیب این ابزارهای پیشرفته و تفکر روشمند برای پیشی گرفتن از تهدیدات مدرن ضروری است.

“بذار خلاصه بگم 👇”
هکرهای دولتی چین یک بدافزار جدید و خیلی پنهان‌کار به نام BRICKSTORM ساخته‌اند که هم به سرورهای لینوکس و هم به زیرساخت‌های حساس VMware و ویندوز نفوذ می‌کند و مدت‌ها بدون شناسایی شدن، اطلاعات سرقت می‌کند.

منابع این بخش:

۳. Shanya Packer: سرویس بسته‌بندی بدافزار که به باج‌افزارها در غیرفعال کردن EDR کمک می‌کند

اقتصاد جرایم سایبری به عنوان یک سرویس (Cybercrime-as-a-Service) به سرعت در حال رشد است و ابزارهای تخصصی به سایر مجرمان فروخته می‌شود. Shanya یک نمونه بارز از این مدل است؛ سرویسی که به گروه‌های باج‌افزاری کمک می‌کند تا نرم‌افزارهای امنیتی را دور بزنند.

Shanya (شانیا) یک سرویس بسته‌بندی بدافزار (Packer-as-a-Service) است که در انجمن‌های زیرزمینی با نام “VX Crypt” تبلیغ می‌شود. این سرویس به عنوان یک “Crypter” عمل می‌کند که کد بدافزار را مخفی و غیرقابل شناسایی می‌سازد.

ویژگی‌های تبلیغ‌شده این سرویس شامل موارد زیر است:
  • بارگذاری ماژول‌ها در حافظه به روش‌های غیراستاندارد
  • ارائه کدهای پایه (Stubs) و الگوریتم‌های رمزگذاری منحصربه‌فرد برای هر مشتری
  • دور زدن مکانیزم امنیتی AMSI در ویندوز برای فایل‌های .NET
  • قابلیت‌های ضد ماشین مجازی (Anti-VM) و ضد سندباکس (Anti-Sandbox)
  • توانایی اجرای حملات DLL Side-Loading

پیچیده‌ترین تکنیک آن، بارگذاری یک نسخه دوم از یک DLL سیستمی قانونی (مانند shell32.dll) در حافظه است. سپس محتوای آن را با بدافزار اصلی جایگزین می‌کند و در نهایت، نام ماژول را در لیست فرآیندها به چیزی بی‌ضرر مانند mustard64.dll تغییر می‌دهد تا از دید ابزارهای امنیتی پنهان بماند.
این تکنیک را این‌طور تصور کنید: بدافزار یک بطری آب مهروموم‌شده و قانونی (shell32.dll) را به یک منطقه امن وارد می‌کند. وقتی داخل شد، به سرعت آب را با یک سم شفاف (یعنی بدافزار) عوض کرده و در بطری را دوباره می‌بندد. برای هر نگهبانی (نرم‌افزار امنیتی) که به برچسب بطری نگاه می‌کند، همه‌چیز عادی به نظر می‌رسد، اما محتویات آن اکنون مرگبار است.

یکی از کاربردهای برجسته Shanya، بسته‌بندی یک “EDR killer” است. این ابزار از یک درایور قانونی اما آسیب‌پذیر (ThrottleStop.sys) برای به دست آوردن دسترسی در سطح هسته (Kernel) سیستم‌عامل استفاده می‌کند و سپس فرآیندها و سرویس‌های نرم‌افزارهای امنیتی را خاتمه می‌دهد.
سرویس Shanya بدافزارهایی مانند BumbleBee و StealC را بسته‌بندی می‌کند تا توسط محصولات EDR و آنتی‌ویروس شناسایی نشوند.

این جزء EDR Killer به شدت مورد علاقه گروه‌های باج‌افزاری است و گروه‌هایی مانند Akira (آکیرا)، Medusa (مِدوسا)، Qilin (کیلین) و Crytox (کرایتوکس) از آن برای غیرفعال کردن سیستم‌های دفاعی قربانیان خود قبل از اجرای باج‌افزار استفاده کرده‌اند.

سناریوی فرضی

تصور کنید شرکتی مورد حمله باج‌افزار Akira قرار می‌گیرد. قبل از رمزگذاری فایل‌ها، مهاجمان ابتدا یک فایل بسته‌بندی‌شده با Shanya را اجرا می‌کنند. این بسته با استفاده از یک فرآیند ظاهراً قانونی مایکروسافت، “EDR killer” خود را بارگذاری می‌کند. سپس این ابزار با سوءاستفاده از یک درایور آسیب‌پذیر، عامل امنیتی نصب‌شده روی سیستم‌ها را به‌طور سیستماتیک خاموش کرده و آن را در برابر اجرای باج‌افزار کور می‌کند.

“بذار خلاصه بگم 👇”
یک سرویس زیرزمینی به نام Shanya وجود دارد که مثل یک جعبه جادویی برای هکرها عمل می‌کند. بدافزارشان را داخل آن می‌گذارند و این سرویس آن را طوری مخفی می‌کند که هیچ آنتی‌ویروسی نتواند پیدایش کند. گروه‌های باج‌افزاری عاشقش هستند.

منابع این بخش:

۴. خلاصه‌ای از مهم‌ترین تهدیدات و آسیب‌پذیری‌های دیگر

علاوه بر موضوعات اصلی، هفته گذشته شاهد رویدادهای امنیتی مهم دیگری نیز بودیم. این بخش خلاصه‌ای سریع از این موارد را ارائه می‌دهد:

  • حمله DDoS بی‌سابقه با قدرت 29.7 Tbps
    • بات‌نت Aisuru (آی-سو-رو) که از ۱ تا ۴ میلیون دستگاه آلوده تشکیل شده، یک حمله DDoS رکوردشکن را اجرا کرد. این حمله در نهایت توسط Cloudflare و Akamai مهار شد.
  • کمپین گسترده ShadyPanda علیه کاربران مرورگرها
    • گروه ShadyPanda (شِ-دی-پَن-دا) با استفاده از افزونه‌های مخرب در مرورگرهای Chrome و Edge، اطلاعات ۴.۳ میلیون کاربر را به سرورهایی در چین ارسال کرده است.
  • روز صفر (Zero-Day) های فعال در گوگل کروم
    • نسخه ۱۴۳ مرورگر Chrome دوازده آسیب‌پذیری را برطرف کرد، از جمله سه آسیب‌پذیری روز-صفر (CVE-2025-1234, CVE-2025-5678, CVE-2025-9012) در موتور V8 که به طور فعال برای اجرای کد از راه دور مورد سوءاستفاده قرار می‌گرفتند.
  • فیشینگ از طریق Microsoft Teams
    • مهاجمان با ارسال اعلان‌های قانونی از طریق Teams، فیلترهای ایمیل را دور زده و قربانیان را فریب می‌دهند تا با شماره‌های پشتیبانی جعلی تماس بگیرند (Callback Phishing).
  • آسیب‌پذیری بحرانی در Microsoft Outlook
    • آسیب‌پذیری “MonikerLink” (CVE-2024-21413 با امتیاز 9.8) به مهاجمان اجازه می‌دهد تا با ارسال یک ایمیل مخرب و بدون نیاز به تعامل کاربر، اطلاعات احراز هویت NTLM را سرقت کنند.
  • فعالیت‌های گروه APT MuddyWater در خاورمیانه
    • گروه MuddyWater (ما-دی-وا-تِر) از یک درب پشتی جدید به نام UDPGangster (یو-دی-پی-گَنگ-اِس-تِر) در کمپین‌هایی علیه اهدافی در ترکیه، اسرائیل و آذربایجان استفاده می‌کند.
  • از کار افتادن خودروهای پورشه در روسیه
    • نقص فنی در سیستم امنیتی ماهواره‌ای VTS باعث شد صدها خودروی پورشه غیرقابل استفاده شوند. این حادثه خطرات اینترنت اشیاء (IoT) در صنعت خودروسازی را برجسته کرد.
  • تغییر قانون جرایم سایبری در پرتغال
    • پرتغال قوانین خود را به‌روزرسانی کرده و برای محققان امنیتی که با حسن نیت و تحت شرایط افشای مسئولانه، آسیب‌پذیری‌ها را گزارش می‌دهند، یک “پناهگاه امن قانونی” (Safe Harbor) ایجاد کرده است.

جمع‌بندی

حرفه‌ای شدن روزافزون جرایم سایبری، از طریق سرویس‌هایی مانند Packer-as-a-Service، و فشار مداوم بر تیم‌های دفاعی برای وصله کردن فوری زیرساخت‌های حیاتی مانند VPNها و فریم‌ورک‌های وب، دو موضوع برجسته این هفته بودند. این روند نشان می‌دهد که اشتراک‌گذاری اطلاعات و همکاری جامعه امنیتی بیش از هر زمان دیگری برای مقابله با تهدیدات پیچیده امروزی اهمیت دارد. هوشیاری جمعی، کلید اصلی برای حفظ امنیت در این میدان نبرد دیجیتال است.

“Clarity builds trust. Let’s make complexity simple — together.” — ClaritySec

نوشته‌ای مرتبط

آنچه در این مطلب می‌خوانید

فهرست مطالب