خب بچهها، یه خبر داغ و هیجانی براتون دارم! اخیراً یه گروه هکری که گفتن احتمالاً ریشه چینی دارن (ولی مطمئن نیستن!) به یه شرکت نظامی فیلیپین حمله کردن و از یه بدافزار فوق پیشرفته و ناب جدید به اسم EggStreme استفاده کردن. حالا اجازه بدید ریز به ریز واستون تعریف کنم که این داستان چیه:
EggStreme اصلاً یه چیز معمولی نیست! این بدافزار به اصطلاح فایللس یا Fileless هست یعنی هیچ فایلی رو روی سیستم ذخیره نمیکنه. فقط مستقیم تو حافظه سیستم قربانی جا خوش میکنه و معمولاً قابل شناسایی توسط بیشتر آنتیویروسها نیست. خلاصه خیلی مخفیه!
ماجرا چیه؟
این بدافزار چندتا تیکه و ماژول مختلف داره، مثل یه جعبه ابزار پیشرفته:
۱- EggStremeFuel: این بخش اولشه که به عنوان یه فایل DLL (یعنی کتابخونه دینامیکی که نرمافزارها برای کارای اضافه ازش استفاده میکنن) بارگیری میشه. هکرها اینو با روش sideloading اجرا میکنن یعنی مثلاً فایل مخرب رو پشت نقاب یه برنامه عادی و مطمئن قایم میکنن تا گول آنتیویروس رو بخوره. این بخش یه remote shell یا به عبارتی دسترسی از راه دور هم میده!
۲- EggStremeLoader: این قسمت وظیفه خوندن فایلهای رمزگذاریشده و تزریق اونها به پروسههای مختلف سیستم رو داره – یعنی اطلاعات مخرب رو قایمکی وارد جاهای مختلف سیستم میکنه.
۳- EggStremeReflectiveLoader: بازکننده نهایی پرونده! این یکی payload نهایی رو رمزگشایی و اجرا میکنه.
۴- EggStremeAgent: اصل کاریِ ماجرا همینه؛ این یه backdoor کامله که یعنی راهی برای نفوذ مجدد. ۵۸ تا دستور مختلف میتونه اجرا کنه!
۵- EggStremeKeylogger: دیگه حدس زدید، همه چیهایی که تایپ میکنید رو میخونه و برای هکرها میفرسته. Keylogger یعنی برنامهای که مخفیانه هر چی شما تایپ میکنید رو برمیداره.
۶- EggStremeWizard: در اصل یه بکدور دومیه – یعنی اگه اولی گیر بیفته یا خراب شه، یکی دیگه هست که همچنان هکر رو تو سیستم نگه داره.
حالا چرا گفتن کار چینیهاست؟
راستش هیچ ردی از مشخصات همیشگی گروههای معروف چینی پیدا نکردن. ولی هدف و نحوهی کار خیلی شباهت داره به حملات قبلی گروههای معروف چینی که بهشون APT میگن (APT یعنی Advanced Persistent Threat – یه جور حمله پیچیده که تا مدت طولانی مخفی میمونه). این سبک حمله خیلی طرفدار داره بین هکرهای آسیا-اقیانوسیه، مثلاً چین چند ساله تو فیلیپین، ویتنام، تایوان و حتی کشورای دیگه سوابق مشابهی داره. یکی از معروفترین این گروهها Salt Typhoon هست که اخیراً تو چندین شرکت مخابراتی آمریکایی هم گیر افتادن!
این بدافزار چطور وارد سیستم شد؟
هنوز دقیقاً نمیدونن چطور فایل DLL آلوده وارد سیستم اون شرکت نظامی شده. روشهای معمولش یکی حمله زنجیره تامین یا Supply Chain هست (یعنی هکر تو نرمافزارهای اصلیای که شرکت استفاده میکنه خرابکاری میکنه)، یا اینکه خودش دستی فایل رو وارد میکنه اگه قبلاً دسترسی داشته باشه، یا حتی با حملات Drive-by (یعنی فقط با بازدید یه سایت آلوده، بدافزار وارد میشه). بعدش هم با یه executable معتبر فعال میشه تا کسی مشکوک نشه!
هدف؟ قطعاً جاسوسی سایبری و موندن طولانیمدت تو سیستم بدون اینکه کسی بفهمه. دقیقاً همون کاری که هکرهای حرفهای چینی دارن انجام میدن.
در آخر اگه موضوع امنیت براتون مهمه، یه نکته: همیشه نرمافزارها و مخصوصاً آنتیویروسهاتون رو آپدیت نگه دارین و مراقب برنامههای ناشناس باشین! امنیت دیجیتال شوخیبردار نیست، مخصوصاً وقتی همچین بدافزارهایی وسط باشن.
اگه دوست دارین تو این فضا حرفهایتر باشین، حتماً یه سر به اپلیکیشنهای مدیریت رمز عبور (Password Manager) و اپلیکیشنهای تائید هویت (Authenticator App) بزنین، هم امنیتتون میره بالا هم خیالتون راحتتر میشه. (راستی malware یعنی همون برنامههای مخرب و خرابکار سیستمهاتون!)
منبع: +
