مطالب پربازدید

1404/07/10 - 08:30- جنگ سایبری

«حملات تخریبی» به کشور۳ برابر شد/ افشای نام «اهداف اصلی» حملات هکرها

بر اساس داده‌های گزارش سالانه گراف، هوش مصنوعی مولد (GenAI) چشم‌انداز تهدیدات ایران را در سال ۱۴۰۳ دگرگون کرد؛ جایی که حملات با LLMJacking، باج‌افزار و فریب‌های پیشرفته، نهادهای دولتی و آموزشی را در کانون هدف قرار دادند.

1404/08/05 - 14:27- جنگ سایبری

اسرار نظامی و اطلاعات سری پدافند لیزری اسرائیل به دست هکرها افتاد

گروه هکری جبهه پشتیبانی سایبری «الجبهة الإسناد السيبرانية» اعلام کرد که با نفوذ به شرکت نظامی مایا، به اطلاعات محرمانه پدافند پیشرفته لیزری Iron Beam و تعداد زیادی از سلاح‌های پیشرفته اسرائیل دست یافته است.

1404/08/04 - 13:09- جنگ سایبری

افشای اطلاعات حساس وزارت جنگ رژیم صهیونیستی توسط گروه هکری جبهه پشتیبانی سایبری

گروه هکری «الجبهة الإسناد السيبرانية» با نفوذ به شرکت پوششی «مایا» وابسته به وزارت دفاع رژیم صهیونیستی، اطلاعات محرمانه‌ای از پروژه‌های نظامی این رژیم از جمله سامانه دفاع لیزری، پهپاد و موشک‌ها را فاش کرد.

انتشار شده در تاریخ 1397/05/30 - 12:09

بدافزار شاهزاده ایرانی

در گذشته پژوهشگران Palo Alto Networks گزارش‌هایی را درباره بدافزار شاهزاده ایرانی منتشر کردند که بنظر می‌رسد بیش از ۱۰ سال از فعالیتش می گذرد.

به گزارش کارگروه امنیت سایبربان؛ در دو سال گذشته پژوهشگران Palo Alto Networks گزارش‌هایی را درباره بدافزار شاهزاده ایرانی منتشر کردند که بنظر می‌رسد بیش از ۱۰ سال از فعالیتش می گذرد. در گزارش اول که Palo Alto Networks در سال ۲۰۱۶ منتشر کرد، این بدافزار با Infy و در گزارش دوم با Foudre نام گذاری شده است. در زمان انتشار این گزارش، Palo Alto Networks اظهار داشت که نسخه‌های ۱ و ۲ بدافزار Foudre مشاهده شده است. در گزارشی که Intezer به تازگی منتشر کرده است، شواهدی کشف شده است که نشان می‌دهد حملات بدافزار شاهزاده ایرانی همچنان فعال و در آن از نسخه ۸ بدافزار Foudre استفاده شده است. در این گزارش، ویژگی‌های جدید و منحصر به فرد نسخه جدید بدافزار Foudre مورد بررسی قرار گرفته‌اند.

نسخه‌های اولیه
گزارش اولیه Palo Alto Networks در سال ۲۰۱۶ منتشر شد که در آن بدافزار Infy تحلیل شده است. در حملات این بدافزار از ایمیل‌های فیشینگ استفاده شده است و این ایمیل‌ها حاوی پیوست‌هایی با فرمت اسناد Word یا PowerPoint مخرب هستند. این فایل‌ها دارای یک فایل آرشیو اجرایی خود استخراج شونده (self-extracting) هستند که پس از اجرا محتوای مخرب را منتقل می‌کنند. در یک نمونه از فایل PowerPoint مخرب، تصویر یک فایل ویدئویی جعلی قرار داده شده که بنظر می‌رسد متوقف شده است، قربانی با کلیک بر روی پخش فیلم، فایل آرشیو را اجرا می‌کند.
در گزارش دوم که در سال ۲۰۱۷ منتشر شد، نسخه تکامل یافته Infy با نام Foudre (به معنای رعد و برق در زبان فرانسوی) بررسی شد. نسخه تکامل یافته Infy نیز با ایمیل‌های فیشینگ با پیوست فایل‌های اجرایی خود استخراج شونده توزیع می‌شود. در صورت اجرا یک بارگذار کننده اجرایی، یک DLL مخرب و یک فایل readme به سیستم قربانی منتقل می‌شود. نسخه تکامل یافته قابلیت‌هایی نظیر keylogger، دریافت محتوای کلیپ‌برد در یک چرخه ده ثانیه‌ای و اطلاعات سیستم شامل لیست فرایندها، آنتی‌ویروس‌های نصب شده، کوکی‌ها و سایر اطلاعات مرورگر را دارد.

نسخه جدید Foudre
مشابه نسخه‌های قبلی، نسخه جدید بدافزار Foudre یعنی نسخه ۸ نیز در یک آرشیو WinRAR خود استخراج شونده قرار داده شده است. در این آرشیو چندین فایل اجرایی مخرب و یک فایل ویدئویی وجود دارد. فایل ویدئویی دارای فرمت MP۴ و هدف اصلی درج ویدئو در فایل آرشیو منحرف کردن قربانی و نصب بدافزار حین پخش ویدئو است.
بدافزار Foudre یک ابزا با دسترسی از راه دور است که قابلیت‌های اجرای دستور، سرقت اطلاعات سیستم (مانند کلیدهای وارد شده در صفحه کلید، اطلاعات فرایندهای پردازشی و غیره) و بروزرسانی خودکار را دارد. اکثر کد و عملکرد این نسخه مشابه Infy و نسخه‌های قبلی Foudre است. اما چندین ویژگی جدید و منحصر به فرد به آن اضافه شده است.
همانطور که گفته شد در فایل آرشیو WINRAR SFX سه فایل اجرایی وجود دارد. فایل اجرایی اصلی Foudre تقریبا در VirusTotal ناشناخته است و از ۶۷ مورد تنها ۳ مورد آن‌را شناسایی می‌کنند.