مطالب پربازدید

1404/02/21 - 07:21- تروریسم سایبری

پیشنهاد رئیس سابق اداره ملی سایبری رژیم صهیونیستی درمورد ایران

رئیس سابق اداره سایبری ملی رژیم صهیونیستی گفت که این رژیم باید یک پیمان دفاع سایبری علیه ایران تشکیل دهد.

1404/01/16 - 14:04- جرم سایبری

حمله سایبری آژانس‌های اطلاعاتی آمریکا علیه کاربران موبایل

یک گزارش منتشرشده توسط یک ائتلاف صنعتی چینی، فعالیت‌های نظارتی و سرقت داده‌ای آژانس‌های اطلاعاتی آمریکا را که کاربران جهانی تلفن‌های هوشمند و سامانه‌های ارتباطی را هدف قرار می‌دهد، افشا کرد.

1404/01/26 - 08:33- آمریکا

برگزاری رزمایش پاسخ هماهنگ به حمله سایبری توسط اعضای ناتو

متحدان ناتو در یک رزمایش در ماه آوریل سال جاری، پاسخ هماهنگ به حمله سایبری را تمرین کردند.

کامیار عزیزی

انتشار شده در تاریخ 1402/05/15 - 11:34

استفاده از رپتایل روت کیت در حمله علیه سیستم های لینوکس در کره جنوبی

محققان عوامل تهدیدی را مشاهده کرده اند که از یک روت کیت منبع باز به نام رپتایل (Reptile) در حملاتی که به سیستم‌های کره جنوبی صورت گرفته اند، استفاده می‌کنند.

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، رپتایل یک روت کیت ماژول هسته منبع باز است که برای هدف قرار دادن سیستم های لینوکس طراحی شده است و برخلاف سایر روت کیت ها، پوسته معکوس نیز ارائه می دهد.

این بدافزار از ضربه زدن پورت پشتیبانی می کند، یک پورت خاص را روی یک سیستم آلوده باز می کند و منتظر بسته جادویی است که توسط مهاجمان ارسال می شود تا یک اتصال کنترل و فرمان (C2) برقرار کند.

محققان از سال 2022 چندین کمپین را مشاهده کرده اند که از رپتایل استفاده می کرده اند.

اخیرا ماندیانت (Mandiant) گزارشی درباره کمپینی منتسب به یک گروه ای پی تی (APT) مرتبط با چین منتشر کرده است که از روت کیت رپتایل استفاده کرده و از آسیب‌پذیری روز صفر (CVE-2022-41328) در محصولات فورتی نت (Fortinet) سوء استفاده کرده است.

محققان اکزاترک (ExaTrack) نیز کمپینی را با استفاده از بدافزار ملوفی (Mélofée) و روت کیت رپتایل را شرح داده اند.

محققان این کمپین را به گروه جاسوسی سایبری وینتی (Winnti) مرتبط با چین نسبت می دهند.

بدافزار رپتایل از یک لودر استفاده می کند که یک ماژول هسته است که با استفاده از ابزار منبع باز کماتریوشکا (kmatryoshka) بسته بندی شده است.

این ابزار برای رمزگشایی روت کیت و بارگذاری ماژول هسته آن در حافظه استفاده می شود و سپس ماژول هسته یک پورت خاص را باز می کند و منتظر ارتباطات مهاجم می شود.

رپتایل برای به دام انداختن توابع هسته لینوکس به موتوری به نام خوک (KHOOK) متکی است.

این روت کیت در حملات گذشته علیه شرکت های کره جنوبی استفاده شده است.

گزارش ASEC بیان می کند روش اولیه نفوذ ناشناخته باقی مانده است، اما پس از بررسی، روت کیت رپتایل، پوسته معکوس، خط فرمان (Cmd) و اسکریپت راه‌اندازی همگی گنجانده شده‌اند که اجازه می‌دهد پیکربندی اولیه مشخص شود.

در این مورد حمله خاص، به غیر از رپتایل، یک پوسته مبتنی بر ICMP به نام ISH نیز توسط عامل تهدید مورد استفاده قرار گرفته است.

ISH یک نوع بدافزار است که از پروتکل ICMP برای ارائه یک پوسته به عامل تهدید استفاده می کند.

به طور معمول، پوسته‌های معکوس یا پوسته‌های اتصال از پروتکل‌هایی مانند TCP یا HTTP استفاده می‌کنند، اما حدس زده می‌شود که عامل تهدید برای فرار از تشخیص شبکه ناشی از این پروتکل‌های ارتباطی، ISH را انتخاب کرده است.

محققان هشدار می دهند که رپتایل می تواند به راحتی توسط عوامل مختلف تهدید مورد استفاده قرار گیرد زیرا کد آن به عنوان منبع باز در دسترس است.

عامل تهدید همچنین می‌تواند روت‌کیت را در حملات آینده شخصی‌سازی کند و از آن در ارتباط با بدافزارهای دیگر استفاده کند.

این گزارش همچنین شامل شاخص های سازش (IOC) برای این تهدید می باشد.