مطالب پربازدید

1403/12/06 - 20:15- تروریسم سایبری

ادعای مؤسسه صهیونیستی آلما درباره واحد ۳۰۰ سازمان جنگ الکترونیک؛ پروپاگاندایی برای توجیه تجاوزات سایبری رژیم

مؤسسه تحقیقاتی اسرائیلی آلما در مقاله‌ای ادعا کرد که برخی یگان‌های ایران از جمله واحد 300 درگیر کمک‌های نظامی برای احیای حزب‌الله هستند.

1403/12/23 - 15:23- ایران

مقاله اندیشکده هندی درباره گروه هکری سایبر اونجرز

سایت هندی متخصص در زمینه سایبر به نام «TheSecMaster» مقاله‌ای جدید درمورد گروه هکری انتقام‌جویان سایبری منتشر کرد.

1403/11/17 - 09:27- تروریسم سایبری

یک اندیشکده آمریکایی حملات سایبری منتسب به ایران را اغراق‌آمیز توصیف کرد

اندیشکده FDD ادعا کرد که ایران اغلب یک بازیگر سایبری درجه دوم است که هکرهای آن به طور مرتب از عملیات‌های نفوذ فقط برای تحریک و ایجاد وحشت استفاده می‌کنند.

کامیار عزیزی

انتشار شده در تاریخ 1402/05/15 - 11:34

استفاده از رپتایل روت کیت در حمله علیه سیستم های لینوکس در کره جنوبی

محققان عوامل تهدیدی را مشاهده کرده اند که از یک روت کیت منبع باز به نام رپتایل (Reptile) در حملاتی که به سیستم‌های کره جنوبی صورت گرفته اند، استفاده می‌کنند.

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، رپتایل یک روت کیت ماژول هسته منبع باز است که برای هدف قرار دادن سیستم های لینوکس طراحی شده است و برخلاف سایر روت کیت ها، پوسته معکوس نیز ارائه می دهد.

این بدافزار از ضربه زدن پورت پشتیبانی می کند، یک پورت خاص را روی یک سیستم آلوده باز می کند و منتظر بسته جادویی است که توسط مهاجمان ارسال می شود تا یک اتصال کنترل و فرمان (C2) برقرار کند.

محققان از سال 2022 چندین کمپین را مشاهده کرده اند که از رپتایل استفاده می کرده اند.

اخیرا ماندیانت (Mandiant) گزارشی درباره کمپینی منتسب به یک گروه ای پی تی (APT) مرتبط با چین منتشر کرده است که از روت کیت رپتایل استفاده کرده و از آسیب‌پذیری روز صفر (CVE-2022-41328) در محصولات فورتی نت (Fortinet) سوء استفاده کرده است.

محققان اکزاترک (ExaTrack) نیز کمپینی را با استفاده از بدافزار ملوفی (Mélofée) و روت کیت رپتایل را شرح داده اند.

محققان این کمپین را به گروه جاسوسی سایبری وینتی (Winnti) مرتبط با چین نسبت می دهند.

بدافزار رپتایل از یک لودر استفاده می کند که یک ماژول هسته است که با استفاده از ابزار منبع باز کماتریوشکا (kmatryoshka) بسته بندی شده است.

این ابزار برای رمزگشایی روت کیت و بارگذاری ماژول هسته آن در حافظه استفاده می شود و سپس ماژول هسته یک پورت خاص را باز می کند و منتظر ارتباطات مهاجم می شود.

رپتایل برای به دام انداختن توابع هسته لینوکس به موتوری به نام خوک (KHOOK) متکی است.

این روت کیت در حملات گذشته علیه شرکت های کره جنوبی استفاده شده است.

گزارش ASEC بیان می کند روش اولیه نفوذ ناشناخته باقی مانده است، اما پس از بررسی، روت کیت رپتایل، پوسته معکوس، خط فرمان (Cmd) و اسکریپت راه‌اندازی همگی گنجانده شده‌اند که اجازه می‌دهد پیکربندی اولیه مشخص شود.

در این مورد حمله خاص، به غیر از رپتایل، یک پوسته مبتنی بر ICMP به نام ISH نیز توسط عامل تهدید مورد استفاده قرار گرفته است.

ISH یک نوع بدافزار است که از پروتکل ICMP برای ارائه یک پوسته به عامل تهدید استفاده می کند.

به طور معمول، پوسته‌های معکوس یا پوسته‌های اتصال از پروتکل‌هایی مانند TCP یا HTTP استفاده می‌کنند، اما حدس زده می‌شود که عامل تهدید برای فرار از تشخیص شبکه ناشی از این پروتکل‌های ارتباطی، ISH را انتخاب کرده است.

محققان هشدار می دهند که رپتایل می تواند به راحتی توسط عوامل مختلف تهدید مورد استفاده قرار گیرد زیرا کد آن به عنوان منبع باز در دسترس است.

عامل تهدید همچنین می‌تواند روت‌کیت را در حملات آینده شخصی‌سازی کند و از آن در ارتباط با بدافزارهای دیگر استفاده کند.

این گزارش همچنین شامل شاخص های سازش (IOC) برای این تهدید می باشد.