رادار تكنولوژي

حمله هکرهای چینی به ارتش فیلیپین با بدافزار عجیب و غریب EggStreme!

  • ۲۱ شهریور ۱۴۰۴

خب بچه‌ها، یه خبر داغ و هیجانی براتون دارم! اخیراً یه گروه هکری که گفتن احتمالاً ریشه چینی دارن (ولی مطمئن نیستن!) به یه شرکت نظامی فیلیپین حمله کردن و از یه بدافزار فوق پیشرفته و ناب جدید به اسم EggStreme استفاده کردن. حالا اجازه بدید ریز به ریز واستون تعریف کنم که این داستان چیه:

EggStreme اصلاً یه چیز معمولی نیست! این بدافزار به اصطلاح فایل‌لس یا Fileless هست یعنی هیچ فایلی رو روی سیستم ذخیره نمی‌کنه. فقط مستقیم تو حافظه سیستم قربانی جا خوش می‌کنه و معمولاً قابل شناسایی توسط بیشتر آنتی‌ویروس‌ها نیست. خلاصه خیلی مخفیه!

ماجرا چیه؟
این بدافزار چندتا تیکه و ماژول مختلف داره، مثل یه جعبه ابزار پیشرفته:

۱- EggStremeFuel: این بخش اولشه که به عنوان یه فایل DLL (یعنی کتابخونه دینامیکی که نرم‌افزارها برای کارای اضافه ازش استفاده می‌کنن) بارگیری میشه. هکرها اینو با روش sideloading اجرا می‌کنن یعنی مثلاً فایل مخرب رو پشت نقاب یه برنامه عادی و مطمئن قایم می‌کنن تا گول آنتی‌ویروس رو بخوره. این بخش یه remote shell یا به عبارتی دسترسی از راه دور هم میده!

۲- EggStremeLoader: این قسمت وظیفه خوندن فایل‌های رمزگذاری‌شده و تزریق اون‌ها به پروسه‌های مختلف سیستم رو داره – یعنی اطلاعات مخرب رو قایمکی وارد جاهای مختلف سیستم می‌کنه.

۳- EggStremeReflectiveLoader: بازکننده نهایی پرونده! این یکی payload نهایی رو رمزگشایی و اجرا می‌کنه.

۴- EggStremeAgent: اصل کاریِ ماجرا همینه؛ این یه backdoor کامله که یعنی راهی برای نفوذ مجدد. ۵۸ تا دستور مختلف می‌تونه اجرا کنه!

۵- EggStremeKeylogger: دیگه حدس زدید، همه چی‌هایی که تایپ می‌کنید رو می‌خونه و برای هکرها می‌فرسته. Keylogger یعنی برنامه‌ای که مخفیانه هر چی شما تایپ می‌کنید رو برمی‌داره.

۶- EggStremeWizard: در اصل یه بک‌دور دومیه – یعنی اگه اولی گیر بیفته یا خراب شه، یکی دیگه هست که همچنان هکر رو تو سیستم نگه داره.

حالا چرا گفتن کار چینی‌هاست؟
راستش هیچ ردی از مشخصات همیشگی گروه‌های معروف چینی پیدا نکردن. ولی هدف و نحوه‌ی کار خیلی شباهت داره به حملات قبلی گروه‌های معروف چینی که بهشون APT می‌گن (APT یعنی Advanced Persistent Threat – یه جور حمله پیچیده که تا مدت طولانی مخفی می‌مونه). این سبک حمله خیلی طرفدار داره بین هکرهای آسیا-اقیانوسیه، مثلاً چین چند ساله تو فیلیپین، ویتنام، تایوان و حتی کشورای دیگه سوابق مشابهی داره. یکی از معروف‌ترین این گروه‌ها Salt Typhoon هست که اخیراً تو چندین شرکت مخابراتی آمریکایی هم گیر افتادن!

این بدافزار چطور وارد سیستم شد؟
هنوز دقیقاً نمی‌دونن چطور فایل DLL آلوده وارد سیستم اون شرکت نظامی شده. روش‌های معمولش یکی حمله زنجیره تامین یا Supply Chain هست (یعنی هکر تو نرم‌افزارهای اصلی‌ای که شرکت استفاده می‌کنه خرابکاری می‌کنه)، یا اینکه خودش دستی فایل رو وارد می‌کنه اگه قبلاً دسترسی داشته باشه، یا حتی با حملات Drive-by (یعنی فقط با بازدید یه سایت آلوده، بدافزار وارد میشه). بعدش هم با یه executable معتبر فعال می‌شه تا کسی مشکوک نشه!

هدف؟ قطعاً جاسوسی سایبری و موندن طولانی‌مدت تو سیستم بدون اینکه کسی بفهمه. دقیقاً همون کاری که هکرهای حرفه‌ای چینی دارن انجام می‌دن.

در آخر اگه موضوع امنیت براتون مهمه، یه نکته: همیشه نرم‌افزار‌ها و مخصوصاً آنتی‌ویروس‌هاتون رو آپدیت نگه دارین و مراقب برنامه‌های ناشناس باشین! امنیت دیجیتال شوخی‌بردار نیست، مخصوصاً وقتی همچین بدافزارهایی وسط باشن.

اگه دوست دارین تو این فضا حرفه‌ای‌تر باشین، حتماً یه سر به اپلیکیشن‌های مدیریت رمز عبور (Password Manager) و اپلیکیشن‌های تائید هویت (Authenticator App) بزنین، هم امنیتتون میره بالا هم خیالتون راحت‌تر میشه. (راستی malware یعنی همون برنامه‌های مخرب و خرابکار سیستم‌هاتون!)

منبع: +