گروه هک ایرانی «بچهگربه جذاب» اخیراً بدافزار جدیدی به نام BellaCPP منتشر کرده است. این بدافزار که گونهای پیشرفته از BellaCiao است و با زبان ++C نوشته شده، تغییرات قابلتوجهی در تاکتیکهای این گروه ایجاد کرده است. این گروه که به هدف قرار دادن نهادهایی در آمریکا، خاورمیانه و هند معروف است، با BellaCPP قابلیت وبشل را کنار گذاشته و رویکرد سادهتری اتخاذ کرده است.
استقرار BellaCPP توسط «بچهگربه جذاب»: تکامل پیچیده بدافزار
گروه هک دولتی ایران، «بچهگربه جذاب»، BellaCPP را به کار گرفته است. BellaCPP گونهای از بدافزار BellaCiao است که قبلاً شناخته شده بود و با زبان ++C نوشته شده. این اقدام، توانایی فنی این گروه را نشان میدهد. این پیشرفت، تلاشهای مداوم این گروه را روشن میکند. این گروه به دنبال اصلاح ابزارهای جاسوسی سایبری خود و انطباق با مکانیسمهای تشخیص در حال تکامل است.
پیشینه «بچهگربه جذاب» و BellaCiao
«بچهگربه جذاب» با نامهای دیگری هم شناخته میشود. از جمله این نامها میتوان به APT35، Mint Sandstorm و TA453 اشاره کرد. این گروه، یک گروه تهدید مداوم پیشرفته (APT) وابسته به سپاه پاسداران انقلاب اسلامی ایران است. این گروه به دلیل استفاده از کمپینهای مهندسی اجتماعی معروف است. همچنین از آسیبپذیریهای شناخته شده برای نفوذ به اهداف باارزش استفاده میکند.
BellaCiao در آوریل ۲۰۲۳ توسط شرکت امنیت سایبری رومانیایی Bitdefender شناسایی شد. این بدافزار، یک دراپر بدافزار سفارشی است. برای ارائه محمولههای مخرب اضافی طراحی شده است. از این بدافزار در حملاتی استفاده شده که سازمانهایی در آمریکا، خاورمیانه و هند را هدف قرار میدهند. این بدافزار، پایداری پنهان یک وبشل را با قابلیت ایجاد تونلهای امن ترکیب میکند. این ویژگی، آن را به ابزاری همهکاره برای جاسوسی سایبری تبدیل میکند.
ظهور BellaCPP
محققان کسپرسکی اخیراً BellaCPP را کشف کردند. این کشف در حین بررسی یک سیستم آسیبدیده در آسیا اتفاق افتاد. این گونه جدید که «adhapl.dll» نام دارد، عملکردهای اصلی نسخه قبلی خود را حفظ میکند. اما تغییرات قابل توجهی را نشان میدهد که نشاندهنده تکامل در تاکتیکها است.
ویژگیهای کلیدی BellaCPP عبارتند از:
– سازگاری کد در ++C: BellaCiao مبتنی بر .NET بود. BellaCPP با زبان ++C نوشته شده است. این نشاندهنده توانایی «بچهگربه جذاب» در تنوع بخشیدن به قابلیتهای فنی خود است.
– معماری مبتنی بر DLL: BellaCPP به عنوان یک فایل کتابخانه پیوند پویا (DLL) عمل میکند. شامل کدی برای بارگیری DLL دیگری به نام «D3D12_1core.dll» است. اعتقاد بر این است که این DLL ثانویه، ایجاد یک تونل SSH را برای ارتباط پنهانی آسان میکند.
– عدم وجود قابلیت وبشل: یکی از ویژگیهای متمایز BellaCPP حذف قابلیت وبشل است. این قابلیت در BellaCiao وجود داشت. این قابلیت به مهاجمان اجازه میداد فایلها را آپلود و دانلود کنند یا دستوراتی را اجرا کنند. طراحی ساده، بر کاهش خطرات تشخیص تأکید دارد.
مسیرهای حمله و بهرهبرداری
گروه «بچهگربه جذاب» همچنان از آسیبپذیریهای موجود در برنامههای پرکاربرد بهرهبرداری میکند. برنامههایی مانند مایکروسافت اکسچنج سرور و Zoho ManageEngine . این گروه با هدف قرار دادن نقصهای امنیتی شناخته شده، از دفاعهای سنتی عبور میکند. این کار را برای استقرار بدافزار و دستیابی به پایداری در سیستمهای آسیبدیده انجام میدهد.
رویکرد آنها اغلب شامل کمپینهای مهندسی اجتماعی دقیق است. هدف این کمپینها جلب اعتماد اهداف است. این تاکتیک، توانایی آنها را برای ارائه مؤثر بدافزار افزایش میدهد. در عین حال از سوء ظن جلوگیری میکند.
پیامدهای BellaCPP
توسعه BellaCPP چندین روند حیاتی را در امنیت سایبری برجسته میکند:
1. سازگاری با مکانیسمهای تشخیص: «بچهگربه جذاب» از .NET به ++C روی آورده است. قابلیت وبشل را هم حذف کرده است. این نشان میدهد که به دنبال فرار از تکنیکهای تشخیص مدرن است.
2. پیچیدگی بیشتر: معماری اصلاح شده BellaCPP تخصص رو به رشد این گروه را در توسعه بدافزار نشان میدهد.
3. جاسوسی هدفمند: تمرکز بر اهداف سطح بالا در مناطقی مانند آمریکا، خاورمیانه و هند با منافع ژئوپلیتیکی گستردهتر ایران همسو است.
نتیجهگیری
«بچهگربه جذاب» BellaCPP را به کار گرفته است. این نشاندهنده یک تغییر استراتژیک در زرادخانه بدافزار آن است. توانایی این گروه را برای انطباق و نوآوری نشان میدهد. برای سازمانها و متخصصان امنیت سایبری، این یک یادآوری جدی است. اهمیت تشخیص فعال تهدید و مدیریت قوی آسیبپذیری را یادآوری میکند. پیشی گرفتن از چنین تهدیدهای پیشرفتهای نیازمند هوشیاری، همکاری و سرمایهگذاری مداوم در دفاعهای امنیت سایبری است.
اگر به خواندن کامل این مطلب علاقهمندید، روی لینک مقابل کلیک کنید: the hacker news
