about-3 back-contact back-deep eitaa کانال روبیکاخبرگزاری سایبربان
مطالب پربازدید
نفوذ
1405/04/04 - 12:52- تروریسم سایبری

نفوذ رژیم صهیونیستی با استارلینک به ایران

نخست وزیر سابق رژیم صهیونیستی ادعا کرد که اسرائیل ده‌ها هزار سیستم استارلینک را به ایران قاچاق کرده است.

بازار
1405/02/02 - 13:10- بررسی تخصصی

بازار سیاه فیلترشکن در زمان قطع اینترنت؛ از قیمت‌های میلیونی تا موج گسترده کلاهبرداری

مقاله ای از کارشناس سایبری مهیار خدادادی پیرامون مسئله فیلتر شکن ها در زمان قطعی اینترنت بین المللی

آیا
1405/04/01 - 14:49- جنگ سایبری

آیا رسانه‌ای کردن حملات سایبری برای ایران بازدارندگی ایجاد می‌کند؟

در سال‌های اخیر، اخبار متعددی درباره نفوذ و عملیات‌های سایبری منتسب به ایران و محور مقاومت با بازتاب گسترده رسانه‌ای همراه بوده است. برخی این اقدامات را نشانه‌ای از قدرت سایبری و عاملی جهت بازدارندگی در برابر دشمنان می‌دانند و برخی دیگر معتقدند بخش مهمی ا

کارشناسان ادعا کردند که هکرهای کره شمالی مهندسان بلاک‌چین را با بدافزارهای ساخته شده توسط هوش مصنوعی هدف قرار دادند.

به گزارش کارگروه بین‌الملل سایبربان؛ کارشناسان معتقدند که گروه هکری کانی (Konni) متعلق به کره شمالی از بدافزار پاورشِل (PowerShell) تولید شده توسط هوش مصنوعی برای هدف قرار دادن توسعه‌دهندگان و مهندسان در بخش بلاک‌چین استفاده کرد.

کانی که گمان می‌رود با گروه‌های هکری «APT37» و «Kimsuky» مرتبط باشد، حداقل از سال ۲۰۱۴ فعال بوده و سازمان‌هایی را در کره جنوبی، روسیه، اوکراین و کشورهای مختلف اروپایی هدف قرار داده است.

براساس نمونه‌های به دست آمده از شرکت امنیت سایبری چک پوینت (Check Point)، آخرین کمپین این عامل تهدید بر اهدافی در منطقه آسیا و اقیانوسیه متمرکز است، زیرا این بدافزار از ژاپن، استرالیا و هند ارسال شده است.

حمله با دریافت یک لینک میزبانی شده توسط دیسکورد (Discord) توسط قربانی آغاز می‌شود که یک آرشیو زیپ حاوی یک فایل پی‌دی‌اف و یک فایل میانبر مخرب «LNK» را ارائه می‌دهد.

LNK یک بارگذار پاورشِل تعبیه شده را اجرا می‌کند که یک سند «DOCX» و یک آرشیو «CAB» حاوی یک در پشتی پاورشِل، دو فایل دسته‌ای و یک فایل اجرایی دور زدن «UAC» را استخراج می‌کند.

اجرای فایل میانبر باعث می‌شود DOCX باز شود و یک فایل دسته‌ای موجود در فایل «cabinet» را اجرا کند. سند DOCX فریبکارانه نشان می‌دهد که هکرها می‌خواهند محیط‌های توسعه را به خطر بیندازند که می‌تواند به آنها دسترسی به دارایی‌های حساس، از جمله زیرساخت‌ها، اعتبارنامه‌های رابط برنامه‌نویسی کاربردی (API)، دسترسی به کیف پول و در نهایت دارایی‌های ارز دیجیتال را فراهم کند.

فایل دسته‌ای اول یک دایرکتوری مرحله‌بندی برای «backdoor» و فایل دسته‌ای دوم و یک وظیفه برنامه‌ریزی‌شده ساعتی را ایجاد می‌کند که به عنوان یک وظیفه راه‌اندازی «OneDrive» ظاهر می‌شود.

این وظیفه یک اسکریپت پاورشِل رمزگذاری شده با «XOR» را از دیسک می‌خواند و آن را برای اجرا در حافظه رمزگشایی می‌کند. در نهایت، خود را حذف می‌کند تا علائم آلودگی را پاک کند.

backdoor تولید شده توسط هوش مصنوعی

backdoor PowerShell به شدت با استفاده از رمزگذاری رشته مبتنی بر محاسبات، بازسازی رشته در زمان اجرا و اجرای منطق نهایی از طریق «Invoke-Expression» مبهم‌سازی شده است.

محققان براین باورند که بدافزار پاورشِل نشان می‌دهد که توسعه با کمک هوش مصنوعی به جای بدافزار سنتی نوشته شده توسط اپراتور است.

شواهدی که منجر به این نتیجه‌گیری می‌شود شامل مستندات واضح و ساختاریافته در بالای اسکریپت، غیرمعمول برای توسعه بدافزار، است؛

چک پوینت توضیح داد:

«این عبارت‌بندی کاملاً مشخصه کد تولید شده توسط مدب زبانی بزرگ (LLM) است، جایی که مدل به صراحت به کاربر انسانی نحوه سفارشی‌سازی یک مقدار نگهدارنده را آموزش می‌دهد. چنین نظراتی معمولاً در اسکریپت‌ها و آموزش‌های تولید شده توسط هوش مصنوعی مشاهده می‌شوند.»

قبل از اجرا، بدافزار بررسی‌های سخت‌افزاری، نرم‌افزاری و فعالیت کاربر را انجام می‌دهد تا مطمئن شود که در محیط‌های تحلیلی اجرا نمی‌شود و سپس یک شناسه میزبان منحصر به فرد تولید می‌کند.

در مرحله بعد، بسته به اینکه چه امتیازات اجرایی روی میزبان آسیب‌دیده دارد، مسیر عمل جداگانه‌ای را دنبال می‌کند.

هنگامی که درب پشتی به طور کامل روی دستگاه آلوده اجرا می‌شود، به صورت دوره‌ای با سرور فرماندهی و کنترل (C2) تماس می‌گیرد تا فراداده‌های اولیه میزبان را ارسال کند و در فواصل تصادفی از سرور نظرسنجی می‌کند.

اگر پاسخ سرور فرماندهی و کنترل حاوی کد پاورشِل باشد، آن را به یک بلوک اسکریپت تبدیل و به صورت ناهمزمان از طریق کارهای پس‌زمینه اجرا می‌کند.

شرکت امنیت سایبری چک پوینت این حملات را طبق قالب‌های لانچرهای قبلی، همپوشانی نام فایل و نام اسکریپت لور و اشتراکات در ساختار زنجیره اجرا با حملات قبلی، به عامل تهدید کانی نسبت می‌دهد.

محققان شاخص‌های نفوذ (IoC) مرتبط با این کمپین اخیر را منتشر کرده‌اند تا به مدافعان در محافظت از دارایی‌هایشان کمک کنند.
 

منبع:

تازه ترین ها
نامیبیا
1405/04/21 - 18:04- آفریقا

نامیبیا اولین آیین‌نامه اجرایی رسانه‌های اجتماعی را تدوین کرد

یونسکو و نامیبیا یک آیین‌نامه اجرایی رسانه‌های اجتماعی برای استانداردهای اخلاقی تدوین کردند.

گسترش
1405/04/21 - 17:38- هوش مصنوعي

گسترش امنیت ویندوز مبتنی بر هوش مصنوعی

مایکروسافت امنیت ویندوز مبتنی بر هوش مصنوعی را گسترش می‌دهد.

همکاری
1405/04/21 - 17:09- هوش مصنوعي

همکاری مراکش و فرانسه در زمینه حاکمیت هوش مصنوعی

مراکش از طریق همکاری با فرانسه در ژنو از حاکمیت هوش مصنوعی انسان‌محور حمایت خواهد کرد.