about-3 back-contact back-deep eitaa کانال روبیکاخبرگزاری سایبربان
اروپا
مطالب پربازدید
استفاده
1404/05/18 - 08:57- تروریسم سایبری

استفاده از مایکروسافت آژور برای جاسوسی از فلسطینیان

رژیم صهیونیستی از مایکروسافت آژور برای جاسوسی از فلسطینیان، آماده‌سازی حملات هوایی مرگبار و سازماندهی عملیات‌های نظامی در غزه و کرانه باختری استفاده می‌کند.

نگاهی
1404/05/23 - 14:10- هوش مصنوعي

نگاهی به فیلم سینمایی همنشین(Companion)

تمرکز
1404/06/26 - 14:35- جنگ سایبری

تمرکز اسرائیل بر «پیجر» و جنگ الکترونیک در نبردهای آینده با ایران

مقامات رژیم صهیونیستی، طراحی عملیات‌های غافلگیر کننده ای همچون عملیات پیجرها برای جنگ آینده با ایران را ضروری می دانند.

انتشار شده در تاریخ

هشدار اوکراین درمورد توزیع بدافزار در فایل‌های اکسل

اوکراین در مورد فایل‌های XLL مسلح که بدافزار «CABINETRAT» را از طریق آرشیوهای زیپ توزیع می‌کنند، هشدار داد.

به گزارش کارگروه بین‌الملل سایبربان؛ تیم ملی واکنش به حوادث سایبری اوکراین (CERT-UA) هشدار فوری در مورد یک کمپین بدافزار جدید صادر کرد که از فایل‌های افزونه اکسل (XLL) برای استقرار درب پشتی «CABINETRAT» استفاده می‌کند.

در طول سپتامبر 2025، تحلیلگران تیم ملی واکنش به حوادث سایبری اوکراین چندین فایل XLL مخرب را کشف کردند که به عنوان اسناد بی‌خطر، از جمله «Звернення УБД.xll» و «recept_ruslana_nekitenko.xll» ظاهر می‌شدند و از افزونه مدیریت افزونه اکسل و تابع خروجی «xlAutoOpen» برای اجرا در سیستم‌های هدف سوءاستفاده می‌کردند.

این عملیات از آن زمان فراتر از فریب‌های ایمیلی گسترش یافته است. اطلاعات به اشتراک گذاشته شده از طریق سیگنال نشان داد که مهاجمان یک آرشیو زیپ به نام «500.zip» را تحت پوشش سندی توزیع کرده‌اند که جزئیات دستگیری‌ها در مرز اوکراین را شرح می‌دهد.

در این آرشیو «dodatok.xll» وجود داشت، یک افزونه مخرب که هنگام بارگیری، چندین بار داده را روی دستگاه قربانی قرار می‌دهد. این موارد عبارتند از:

• یک فایل اجرایی با نام تصادفی، که در «runner.exe» نامیده می‌شود، که هم در پوشه %APPDATA%\Microsoft\Office\ و هم در پوشه Startup کاربر قرار دارد.
• یک فایل لودر XLL با نام «BasicExcelMath.xll»، نام داخلی «loader.xll»، که در پوشه %APPDATA%\Microsoft\Excel\XLSTART\ نصب شده است.
• یک تصویر PNG با نام «Office.png» حاوی شل‌کد CABINETRAT.

برای اطمینان از پایداری، این بدافزار یک کلید رجیستری تصادفی در «HKCU\...\Run» ایجاد و یک وظیفه ساعتی را با نام تصادفی برنامه‌ریزی می‌کند که فایل اجرایی حذف شده را با امتیازات محدود اجرا می‌کند.

همچنین مسیر اکسل را از طریق HKLM\...\App Paths\EXCEL.EXE تأیید و ورودی‌های موجود در شاخه‌های رجیستری DisabledItems را برای نسخه‌های 14.0، 15.0 و 16.0 آفیس پاک می‌کند. وقتی قربانی اکسل را با پارامتر /e (embed) اجرا می‌کند، فایل «BasicExcelMath.xll» بدون نمایش یک فایل جدید، به طور خودکار بارگذاری می‌شود.

این فایل Office.png را می‌خواند، «shellcode» جاسازی‌شده را پیدا و رمزگشایی و سپس آن را با استفاده از «VirtualProtect» و «CreateThread» فراخوانی می‌کند. تحلیلگران تیم ملی واکنش به حوادث سایبری اوکراین تأیید کردند که shellcode به عنوان یک درب پشتی CABINETRAT است، یک بدافزار کامل نوشته شده به زبان C که از جمع‌آوری اطلاعات، اجرای دستور، عملیات فایل، گرفتن اسکرین‌شات و ارتباط TCP پشتیبانی می‌کند.

پروتکل شبکه CABINETRAT شبیه به «port knocking» است: قبل از ایجاد یک کانال TCP، اتصالات را روی پورت‌های ۱۸۷۰۰، ۴۲۸۳۱، ۲۰۰۴۶ و ۳۳۹۷۶ امتحان می‌کند.

پس از اتصال، بسته‌هایINIT  (Ninja/Bonjour) را رد و بدل می‌کند، داده‌ها را با استفاده از MSZIP از طریق API فشرده‌سازی ویندوز فشرده می‌کند و payloadهایی با حجم بیش از ۶۵۵۳۵ بایت را قطعه قطعه می‌کند. انواع بسته‌های آن از اجرای برنامه از راه دور، استخراج خروجی دستور، انتقال فایل، گزارش «BIOS GUID»، شمارش رجیستری و دیسک، فهرست برنامه‌های نصب شده، فهرست دایرکتوری، ضبط تصویر، گزارش خطا و حذف فایل پشتیبانی می‌کنند.

برای جلوگیری از شناسایی و جلوگیری از تجزیه و تحلیل، تمام اجزای XLL و shellcode بررسی‌های قوی ضد VM و ضد تجزیه و تحلیل را پیاده‌سازی می‌کنند.

آنها عدم وجود wine_get_unix_file_name را در kernel32.dll تأیید می‌کنند، جداول BIOS را برای فروشندگان مجازی‌سازی (VMware، VirtualBox، QEMU و غیره) بررسی، دستگاه‌های نمایش را برای مصنوعات hypervisor شمارش و حداقل دو هسته CPU و 3 گیگابایت رم را بررسی می‌کنند، اندازه‌گیری‌های مکرر زمان اجرای CPUID را از طریق RDTSC انجام می‌دهند، اطمینان حاصل می‌کنند که SID کاربر فعلی با 500 تمام نمی‌شود و پرچم اشکال‌زدایی را در بلوک محیط فرآیند (PEB) آزمایش می‌کنند. رشته‌ها و کد با جداول شاخص 32 بیتی که به آرایه‌های داده پنهان ارجاع می‌دهند، مبهم‌سازی می‌شوند.

با توجه به جدید بودن این تاکتیک‌ها و تکنیک‌ها و با توجه به حملات گذشته مبتنی بر XLL توسط گروه تهدید UAC-0002 که زیرساخت‌های حیاتی اوکراین را هدف قرار داده، تیم ملی واکنش به حوادث سایبری اوکراین یک شناسه جدید، «UAC-0245»، برای ردیابی این کمپین اختصاص داده است.

شاخص‌های نفوذ شامل ده‌ها هش SHA-256 برای فایل‌های مخرب XLL، EXE، PNG و ZIP و همچنین کلیدهای رجیستری، نام وظایف برنامه‌ریزی‌شده، مسیرهای فایل تحت %APPDATA% و %LOCALAPPDATA% و آدرس‌های IP 20[.]112.250.113 و 20[.]70.246.20 روی پورت‌های 443 و 433 است.

از سازمان‌ها و افراد خواسته شد تا بارگیری افزونه‌های اکسل را مسدود یا از نزدیک رصد کنند، پیوست‌های زیپ مشکوک را بررسی و قوانین شبکه را برای محدود کردن ترافیک خروجی به آدرس‌های آی‌پی ذکر شده اعمال کنند. به‌روزرسانی منظم راهکارهای امنیتی نقاط پایانی برای شناسایی امضاهای CABINETRAT و فعال کردن محدودیت‌های اجرای ماکرو در برنامه‌های آفیس نیز به عنوان راهکارهای دفاعی حیاتی در برابر این تهدید در حال تکامل توصیه می‌شود.

منبع:

سایبربان

موضوع:

تازه ترین ها
چالش‌های
1404/07/10 - 16:10- هوش مصنوعي

چالش‌های آلمان در زمینه فناوری هوش مصنوعی

آلمان مبلغ ۱.۶ میلیارد یورو در هوش مصنوعی سرمایه‌گذاری می‌کند، اما سود آن از این فناوری همچنان نامشخص است.

هشدار
1404/07/10 - 15:55- اروپا

هشدار اوکراین درمورد توزیع بدافزار در فایل‌های اکسل

اوکراین در مورد فایل‌های XLL مسلح که بدافزار «CABINETRAT» را از طریق آرشیوهای زیپ توزیع می‌کنند، هشدار داد.

دستور
1404/07/10 - 15:47- سایر شبکه های اجتماعی

دستور دادگاه هلند به شرکت متا در جهت تنظیمات جدول زمانی

دادگاه هلند به شرکت متا دستور داد تنظیمات جدول زمانی فیس‌بوک و اینستاگرام را تغییر دهد.

مطالب مرتبط

در این بخش مطالبی که از نظر دسته بندی و تگ بندی مرتبط با محتوای جاری می باشند نمایش داده می‌شوند.