about-3 back-contact back-deep eitaa کانال روبیکاخبرگزاری سایبربان
اروپا
مطالب پربازدید
آماده‌سازی
1404/09/11 - 08:18- تروریسم سایبری

آماده‌سازی رژیم صهیونیستی در حوزه فناوری برای جنگ احتمالی بعدی با ایران

رژیم صهیونیستی در حال آماده‌سازی طیف جدیدی از سلاح‌ها و فناوری‌های جدید برای جنگ بعدی با ایران است.

هشدار
1404/09/24 - 10:47- تروریسم سایبری

هشدار رژیم صهیونیستی درمورد حملات سایبری نگران‌کننده ایران

مدیرکل اداره ملی سایبری رژیم صهیونیستی درمورد حملات ایران و احتمال جنگ سایبری هولناک هشدار داد.

هشدار
1404/10/01 - 10:44- جنگ سایبری

هشدار روزنامه اسرائیلی درباره جنگ سایبری با ایران

روزنامه اسرائیلی معاریو پس از یک سری حملات هکری علیه شخصیت‌های ارشد سیاسی و نهادهای دولتی، درباره جنگ سایبری با ایران و تشدید نفوذها هشدار داد.

انتشار شده در تاریخ

هشدار اوکراین درمورد توزیع بدافزار در فایل‌های اکسل

اوکراین در مورد فایل‌های XLL مسلح که بدافزار «CABINETRAT» را از طریق آرشیوهای زیپ توزیع می‌کنند، هشدار داد.

به گزارش کارگروه بین‌الملل سایبربان؛ تیم ملی واکنش به حوادث سایبری اوکراین (CERT-UA) هشدار فوری در مورد یک کمپین بدافزار جدید صادر کرد که از فایل‌های افزونه اکسل (XLL) برای استقرار درب پشتی «CABINETRAT» استفاده می‌کند.

در طول سپتامبر 2025، تحلیلگران تیم ملی واکنش به حوادث سایبری اوکراین چندین فایل XLL مخرب را کشف کردند که به عنوان اسناد بی‌خطر، از جمله «Звернення УБД.xll» و «recept_ruslana_nekitenko.xll» ظاهر می‌شدند و از افزونه مدیریت افزونه اکسل و تابع خروجی «xlAutoOpen» برای اجرا در سیستم‌های هدف سوءاستفاده می‌کردند.

این عملیات از آن زمان فراتر از فریب‌های ایمیلی گسترش یافته است. اطلاعات به اشتراک گذاشته شده از طریق سیگنال نشان داد که مهاجمان یک آرشیو زیپ به نام «500.zip» را تحت پوشش سندی توزیع کرده‌اند که جزئیات دستگیری‌ها در مرز اوکراین را شرح می‌دهد.

در این آرشیو «dodatok.xll» وجود داشت، یک افزونه مخرب که هنگام بارگیری، چندین بار داده را روی دستگاه قربانی قرار می‌دهد. این موارد عبارتند از:

• یک فایل اجرایی با نام تصادفی، که در «runner.exe» نامیده می‌شود، که هم در پوشه %APPDATA%\Microsoft\Office\ و هم در پوشه Startup کاربر قرار دارد.
• یک فایل لودر XLL با نام «BasicExcelMath.xll»، نام داخلی «loader.xll»، که در پوشه %APPDATA%\Microsoft\Excel\XLSTART\ نصب شده است.
• یک تصویر PNG با نام «Office.png» حاوی شل‌کد CABINETRAT.

برای اطمینان از پایداری، این بدافزار یک کلید رجیستری تصادفی در «HKCU\...\Run» ایجاد و یک وظیفه ساعتی را با نام تصادفی برنامه‌ریزی می‌کند که فایل اجرایی حذف شده را با امتیازات محدود اجرا می‌کند.

همچنین مسیر اکسل را از طریق HKLM\...\App Paths\EXCEL.EXE تأیید و ورودی‌های موجود در شاخه‌های رجیستری DisabledItems را برای نسخه‌های 14.0، 15.0 و 16.0 آفیس پاک می‌کند. وقتی قربانی اکسل را با پارامتر /e (embed) اجرا می‌کند، فایل «BasicExcelMath.xll» بدون نمایش یک فایل جدید، به طور خودکار بارگذاری می‌شود.

این فایل Office.png را می‌خواند، «shellcode» جاسازی‌شده را پیدا و رمزگشایی و سپس آن را با استفاده از «VirtualProtect» و «CreateThread» فراخوانی می‌کند. تحلیلگران تیم ملی واکنش به حوادث سایبری اوکراین تأیید کردند که shellcode به عنوان یک درب پشتی CABINETRAT است، یک بدافزار کامل نوشته شده به زبان C که از جمع‌آوری اطلاعات، اجرای دستور، عملیات فایل، گرفتن اسکرین‌شات و ارتباط TCP پشتیبانی می‌کند.

پروتکل شبکه CABINETRAT شبیه به «port knocking» است: قبل از ایجاد یک کانال TCP، اتصالات را روی پورت‌های ۱۸۷۰۰، ۴۲۸۳۱، ۲۰۰۴۶ و ۳۳۹۷۶ امتحان می‌کند.

پس از اتصال، بسته‌هایINIT  (Ninja/Bonjour) را رد و بدل می‌کند، داده‌ها را با استفاده از MSZIP از طریق API فشرده‌سازی ویندوز فشرده می‌کند و payloadهایی با حجم بیش از ۶۵۵۳۵ بایت را قطعه قطعه می‌کند. انواع بسته‌های آن از اجرای برنامه از راه دور، استخراج خروجی دستور، انتقال فایل، گزارش «BIOS GUID»، شمارش رجیستری و دیسک، فهرست برنامه‌های نصب شده، فهرست دایرکتوری، ضبط تصویر، گزارش خطا و حذف فایل پشتیبانی می‌کنند.

برای جلوگیری از شناسایی و جلوگیری از تجزیه و تحلیل، تمام اجزای XLL و shellcode بررسی‌های قوی ضد VM و ضد تجزیه و تحلیل را پیاده‌سازی می‌کنند.

آنها عدم وجود wine_get_unix_file_name را در kernel32.dll تأیید می‌کنند، جداول BIOS را برای فروشندگان مجازی‌سازی (VMware، VirtualBox، QEMU و غیره) بررسی، دستگاه‌های نمایش را برای مصنوعات hypervisor شمارش و حداقل دو هسته CPU و 3 گیگابایت رم را بررسی می‌کنند، اندازه‌گیری‌های مکرر زمان اجرای CPUID را از طریق RDTSC انجام می‌دهند، اطمینان حاصل می‌کنند که SID کاربر فعلی با 500 تمام نمی‌شود و پرچم اشکال‌زدایی را در بلوک محیط فرآیند (PEB) آزمایش می‌کنند. رشته‌ها و کد با جداول شاخص 32 بیتی که به آرایه‌های داده پنهان ارجاع می‌دهند، مبهم‌سازی می‌شوند.

با توجه به جدید بودن این تاکتیک‌ها و تکنیک‌ها و با توجه به حملات گذشته مبتنی بر XLL توسط گروه تهدید UAC-0002 که زیرساخت‌های حیاتی اوکراین را هدف قرار داده، تیم ملی واکنش به حوادث سایبری اوکراین یک شناسه جدید، «UAC-0245»، برای ردیابی این کمپین اختصاص داده است.

شاخص‌های نفوذ شامل ده‌ها هش SHA-256 برای فایل‌های مخرب XLL، EXE، PNG و ZIP و همچنین کلیدهای رجیستری، نام وظایف برنامه‌ریزی‌شده، مسیرهای فایل تحت %APPDATA% و %LOCALAPPDATA% و آدرس‌های IP 20[.]112.250.113 و 20[.]70.246.20 روی پورت‌های 443 و 433 است.

از سازمان‌ها و افراد خواسته شد تا بارگیری افزونه‌های اکسل را مسدود یا از نزدیک رصد کنند، پیوست‌های زیپ مشکوک را بررسی و قوانین شبکه را برای محدود کردن ترافیک خروجی به آدرس‌های آی‌پی ذکر شده اعمال کنند. به‌روزرسانی منظم راهکارهای امنیتی نقاط پایانی برای شناسایی امضاهای CABINETRAT و فعال کردن محدودیت‌های اجرای ماکرو در برنامه‌های آفیس نیز به عنوان راهکارهای دفاعی حیاتی در برابر این تهدید در حال تکامل توصیه می‌شود.

منبع:

سایبربان

موضوع:

تازه ترین ها
خنثی‌سازی
1404/11/16 - 09:40- آسیا

خنثی‌سازی 90 هزار حمله سایبری به اجلاس دولت‌های جهان توسط امارات

رئیس شورای امنیت سایبری امارات اعلام کرد که سیستم‌های سایبری این کشور ۹۰ هزار حمله به اجلاس دولت‌های جهان را مسدود کردند.

هشدار
1404/11/16 - 09:19- ایران

هشدار گروه هکری جبهه پشتیبان سایبری به دشمنان ایران

گروه هکری جبهه پشتیبانی سایبری در کانال تلگرامی خود به دشمنان ایران هشدار داد.

جاه‌طلبی
1404/11/15 - 14:32- هوش مصنوعي

جاه‌طلبی امارات برای رهبری در اقتصاد دیجیتال

مقررات انعطاف‌پذیر، استراتژی دولتی مبتنی بر هوش مصنوعی و مؤسسات تحقیقاتی قوی، زیربنای جاه‌طلبی امارات در اقتصاد دیجیتال هستند.

مطالب مرتبط

در این بخش مطالبی که از نظر دسته بندی و تگ بندی مرتبط با محتوای جاری می باشند نمایش داده می‌شوند.