about-3 back-contact back-deep eitaa کانال روبیکاخبرگزاری سایبربان
مطالب پربازدید
نفوذ
1405/04/04 - 12:52- تروریسم سایبری

نفوذ رژیم صهیونیستی با استارلینک به ایران

نخست وزیر سابق رژیم صهیونیستی ادعا کرد که اسرائیل ده‌ها هزار سیستم استارلینک را به ایران قاچاق کرده است.

بازار
1405/02/02 - 13:10- بررسی تخصصی

بازار سیاه فیلترشکن در زمان قطع اینترنت؛ از قیمت‌های میلیونی تا موج گسترده کلاهبرداری

مقاله ای از کارشناس سایبری مهیار خدادادی پیرامون مسئله فیلتر شکن ها در زمان قطعی اینترنت بین المللی

آیا
1405/04/01 - 14:49- جنگ سایبری

آیا رسانه‌ای کردن حملات سایبری برای ایران بازدارندگی ایجاد می‌کند؟

در سال‌های اخیر، اخبار متعددی درباره نفوذ و عملیات‌های سایبری منتسب به ایران و محور مقاومت با بازتاب گسترده رسانه‌ای همراه بوده است. برخی این اقدامات را نشانه‌ای از قدرت سایبری و عاملی جهت بازدارندگی در برابر دشمنان می‌دانند و برخی دیگر معتقدند بخش مهمی ا

اوکراین در مورد فایل‌های XLL مسلح که بدافزار «CABINETRAT» را از طریق آرشیوهای زیپ توزیع می‌کنند، هشدار داد.

به گزارش کارگروه بین‌الملل سایبربان؛ تیم ملی واکنش به حوادث سایبری اوکراین (CERT-UA) هشدار فوری در مورد یک کمپین بدافزار جدید صادر کرد که از فایل‌های افزونه اکسل (XLL) برای استقرار درب پشتی «CABINETRAT» استفاده می‌کند.

در طول سپتامبر 2025، تحلیلگران تیم ملی واکنش به حوادث سایبری اوکراین چندین فایل XLL مخرب را کشف کردند که به عنوان اسناد بی‌خطر، از جمله «Звернення УБД.xll» و «recept_ruslana_nekitenko.xll» ظاهر می‌شدند و از افزونه مدیریت افزونه اکسل و تابع خروجی «xlAutoOpen» برای اجرا در سیستم‌های هدف سوءاستفاده می‌کردند.

این عملیات از آن زمان فراتر از فریب‌های ایمیلی گسترش یافته است. اطلاعات به اشتراک گذاشته شده از طریق سیگنال نشان داد که مهاجمان یک آرشیو زیپ به نام «500.zip» را تحت پوشش سندی توزیع کرده‌اند که جزئیات دستگیری‌ها در مرز اوکراین را شرح می‌دهد.

در این آرشیو «dodatok.xll» وجود داشت، یک افزونه مخرب که هنگام بارگیری، چندین بار داده را روی دستگاه قربانی قرار می‌دهد. این موارد عبارتند از:

• یک فایل اجرایی با نام تصادفی، که در «runner.exe» نامیده می‌شود، که هم در پوشه %APPDATA%\Microsoft\Office\ و هم در پوشه Startup کاربر قرار دارد.
• یک فایل لودر XLL با نام «BasicExcelMath.xll»، نام داخلی «loader.xll»، که در پوشه %APPDATA%\Microsoft\Excel\XLSTART\ نصب شده است.
• یک تصویر PNG با نام «Office.png» حاوی شل‌کد CABINETRAT.

برای اطمینان از پایداری، این بدافزار یک کلید رجیستری تصادفی در «HKCU\...\Run» ایجاد و یک وظیفه ساعتی را با نام تصادفی برنامه‌ریزی می‌کند که فایل اجرایی حذف شده را با امتیازات محدود اجرا می‌کند.

همچنین مسیر اکسل را از طریق HKLM\...\App Paths\EXCEL.EXE تأیید و ورودی‌های موجود در شاخه‌های رجیستری DisabledItems را برای نسخه‌های 14.0، 15.0 و 16.0 آفیس پاک می‌کند. وقتی قربانی اکسل را با پارامتر /e (embed) اجرا می‌کند، فایل «BasicExcelMath.xll» بدون نمایش یک فایل جدید، به طور خودکار بارگذاری می‌شود.

این فایل Office.png را می‌خواند، «shellcode» جاسازی‌شده را پیدا و رمزگشایی و سپس آن را با استفاده از «VirtualProtect» و «CreateThread» فراخوانی می‌کند. تحلیلگران تیم ملی واکنش به حوادث سایبری اوکراین تأیید کردند که shellcode به عنوان یک درب پشتی CABINETRAT است، یک بدافزار کامل نوشته شده به زبان C که از جمع‌آوری اطلاعات، اجرای دستور، عملیات فایل، گرفتن اسکرین‌شات و ارتباط TCP پشتیبانی می‌کند.

پروتکل شبکه CABINETRAT شبیه به «port knocking» است: قبل از ایجاد یک کانال TCP، اتصالات را روی پورت‌های ۱۸۷۰۰، ۴۲۸۳۱، ۲۰۰۴۶ و ۳۳۹۷۶ امتحان می‌کند.

پس از اتصال، بسته‌هایINIT  (Ninja/Bonjour) را رد و بدل می‌کند، داده‌ها را با استفاده از MSZIP از طریق API فشرده‌سازی ویندوز فشرده می‌کند و payloadهایی با حجم بیش از ۶۵۵۳۵ بایت را قطعه قطعه می‌کند. انواع بسته‌های آن از اجرای برنامه از راه دور، استخراج خروجی دستور، انتقال فایل، گزارش «BIOS GUID»، شمارش رجیستری و دیسک، فهرست برنامه‌های نصب شده، فهرست دایرکتوری، ضبط تصویر، گزارش خطا و حذف فایل پشتیبانی می‌کنند.

برای جلوگیری از شناسایی و جلوگیری از تجزیه و تحلیل، تمام اجزای XLL و shellcode بررسی‌های قوی ضد VM و ضد تجزیه و تحلیل را پیاده‌سازی می‌کنند.

آنها عدم وجود wine_get_unix_file_name را در kernel32.dll تأیید می‌کنند، جداول BIOS را برای فروشندگان مجازی‌سازی (VMware، VirtualBox، QEMU و غیره) بررسی، دستگاه‌های نمایش را برای مصنوعات hypervisor شمارش و حداقل دو هسته CPU و 3 گیگابایت رم را بررسی می‌کنند، اندازه‌گیری‌های مکرر زمان اجرای CPUID را از طریق RDTSC انجام می‌دهند، اطمینان حاصل می‌کنند که SID کاربر فعلی با 500 تمام نمی‌شود و پرچم اشکال‌زدایی را در بلوک محیط فرآیند (PEB) آزمایش می‌کنند. رشته‌ها و کد با جداول شاخص 32 بیتی که به آرایه‌های داده پنهان ارجاع می‌دهند، مبهم‌سازی می‌شوند.

با توجه به جدید بودن این تاکتیک‌ها و تکنیک‌ها و با توجه به حملات گذشته مبتنی بر XLL توسط گروه تهدید UAC-0002 که زیرساخت‌های حیاتی اوکراین را هدف قرار داده، تیم ملی واکنش به حوادث سایبری اوکراین یک شناسه جدید، «UAC-0245»، برای ردیابی این کمپین اختصاص داده است.

شاخص‌های نفوذ شامل ده‌ها هش SHA-256 برای فایل‌های مخرب XLL، EXE، PNG و ZIP و همچنین کلیدهای رجیستری، نام وظایف برنامه‌ریزی‌شده، مسیرهای فایل تحت %APPDATA% و %LOCALAPPDATA% و آدرس‌های IP 20[.]112.250.113 و 20[.]70.246.20 روی پورت‌های 443 و 433 است.

از سازمان‌ها و افراد خواسته شد تا بارگیری افزونه‌های اکسل را مسدود یا از نزدیک رصد کنند، پیوست‌های زیپ مشکوک را بررسی و قوانین شبکه را برای محدود کردن ترافیک خروجی به آدرس‌های آی‌پی ذکر شده اعمال کنند. به‌روزرسانی منظم راهکارهای امنیتی نقاط پایانی برای شناسایی امضاهای CABINETRAT و فعال کردن محدودیت‌های اجرای ماکرو در برنامه‌های آفیس نیز به عنوان راهکارهای دفاعی حیاتی در برابر این تهدید در حال تکامل توصیه می‌شود.

منبع:

تازه ترین ها
افزایش
1405/04/22 - 17:27- اروپا

افزایش جرایم سایبری در اسپانیا

قربانیان جرایم سایبری در اسپانیا نسبت به سال گذشته ۹.۳ درصد افزایش یافته است.

نظارت
1405/04/22 - 16:34- اروپا

نظارت مالی بر ارائه دهندگان خدمات ابری در بریتانیا

ارائه دهندگان خدمات ابری حیاتی با نظارت جدیدی برای محافظت از زیرساخت‌های مالی بریتانیا روبرو هستند.

احضار
1405/04/22 - 16:14- جرم سایبری

احضار سفیر روسیه در فرانسه در پی حملات سایبری

وزیر امور خارجه فرانسه اعلام کرد این کشور در روزهای آینده سفیر روسیه در پاریس را در واکنش به آنچه یک کارزار گسترده حملات سایبری علیه کشورهای اروپایی، از جمله فرانسه، خوانده شده است، احضار خواهد کرد.