مطالب پربازدید

1404/06/26 - 14:35- جنگ سایبری

تمرکز اسرائیل بر «پیجر» و جنگ الکترونیک در نبردهای آینده با ایران

مقامات رژیم صهیونیستی، طراحی عملیات‌های غافلگیر کننده ای همچون عملیات پیجرها برای جنگ آینده با ایران را ضروری می دانند.

1404/07/10 - 08:30- جنگ سایبری

«حملات تخریبی» به کشور۳ برابر شد/ افشای نام «اهداف اصلی» حملات هکرها

بر اساس داده‌های گزارش سالانه گراف، هوش مصنوعی مولد (GenAI) چشم‌انداز تهدیدات ایران را در سال ۱۴۰۳ دگرگون کرد؛ جایی که حملات با LLMJacking، باج‌افزار و فریب‌های پیشرفته، نهادهای دولتی و آموزشی را در کانون هدف قرار دادند.

1404/06/24 - 09:51- جنگ سایبری

نقش سرداران شهید « باقری و سلامی» در برتری قدرت سایبری ایران

رویکرد راهبردی شهیدان باقری و سلامی، نیروهای مسلح ایران را با تدوین دکترین سایبری نوآورانه به یکی از قدرت‌های سایبری تبدیل کرد.

دانیال مشتاق

انتشار شده در تاریخ 1401/06/13 - 15:44

نشت کد منبع بدافزار CodeRAT در گیت هاب

کد منبع بدافزار هدف قرار دهنده نرم افزارهای فارسی زبان CodeRAT پس از در معرض خطر قرار گرفتن، توسط عاملین آن در GitHub نشت پیدا کرد.

به گزارش کارگروه حملات سایبری سایبربان؛ کد منبع یک تروجان دسترسی راه دور (RAT) به نام CodeRAT (کُد رَت) پس از آن که تحلیلگران بدافزار به مقابله با توسعه دهندگان این ابزار پرداختند (به دلیل استفاده از آن در حملات)، در گیت هاب نشت پیدا کرد.

در این عملیات توسعه دهندگان بدافزار نام برده، نرم افزارهای فارسی زبان را با استفاده از یک سند ورد هدف قرار می دهد. این سند ورد شامل کد مخرب تبادل داده پویای مایکروسافت است.

این کد مخرب، کد رت را از مخزن گیت هاب بازیگر مخرب دانلود و اجرا می کند. این موضوع می تواند قابلیت های پسا آلودگی متنوعی را در اختیار عاملین راه دور تروجان نام برده قرار دهد.

کد رت حدود 50 دستور را پشتیبانی می کند و دارای قابلیت های نظارتی متنوعی است که وب میل ها، اسناد مایکروسافت آفیس، پایگاه های داده، پلتفرم های شبکه اجتماعی، محیط توسعه یکپارچه ویندوز و اندروید و حتی وبسایت هایی مانند پی پال را مورد هدف قرار می دهند.

شرکت امنیت سایبری سِیف بریچ گزارش داد که این بدافزار در ابزارهای ویندوزی مانند ویژوال استودیو، پایتون، پی اچ پی استورم و وِری لاگ نیز اقدام به جاسوسی می کند.

کد رت برای ارتباط با عاملینش و انتقال غیر مجاز داده های سرقتی از مکانیزمی مبتنی بر تلگرام استفاده می کند. این مکانیزم بر یک فایل عمومی بدون نام متکی است که به جای زیرساخت های سرور کنترل و فرمان متداول تر، رابط برنامه نویسی اپلیکیشن را آپلود می کند.

اگرچه، پس از تماس محققین با توسعه دهندگان بدافزار نام برده این کمپین به یکباره متوقف شد. حالا با عمومی شدن کد منبع آن، این تروجان، استفاده از آن رایج تر خواهد شد.

این بدافزار از حدود 50 دستور از جمله موارد زیر پشتیبانی می کند:

تهیه اسکرین شات
کپی کردن محتوای کلیپ برد
به دست آوردن لیست فرآیندهای در حال اجرا
نابود کردن فرآیندها
بررسی استفاده واحد پردازش گرافیکی
دانلود
آپلود
حذف فایل ها
اجرای برنامه ها

مهاجم می تواند از طریق ابزار رابط کاربری این دستورها را تولید کند. این ابزار، دستورات را ایجاد و مبهم سازی و سپس با استفاده از یکی از سه روش زیر آن ها را به بدافزار منتقل می کند:

API ربات تلگرام (بدون درخواست های مستقیم)
حالت دستی (گزینه USB را هم شامل می شود)
دستوراتی که به صورت محلی بر روی پوشه 'myPictures' بایگانی شده اند

هر سه روش بالا می توانند در جهت انتقال غیر مجاز داده شامل تک فایل و تمامی پوشه ها یا هدف قرار دادن افزونه های خاصی از فایل ها مورد استفاده قرار بگیرند.

در صورتی که تلگرام در آن کشور قربانی فیلتر باشد کد رت قابلیت ضد فیلتری را ارائه می دهد که کانال مسیریابی درخواست مجزایی را ایجاد می کند. این شرایط به عبور از محدودیت ها کمک شایانی خواهد کرد.

عاملین کد رت همچنین مدعی هستند این بدافزار می تواند بدون ایجاد تغییر در رجیستری ویندوز در میان ریبوت ها پایدار بماند اما سیف بریچ هیچ گونه اطلاعات جزئی دیگری را در ارتباط با این قابلیت منتشر نکرده است.

کد رت دارای قابلیت هایی است که به احتمال زیاد دیگر مجرمین سایبری را نیز مجذوب خواهد کرد. توسعه دهندگان بدافزار همواره به دنبال کد بدافزاری هستند که بتواند به یک محصول جدید تبدیل شود و منافع آن ها را بیشتر کند.