مطالب پربازدید

1403/09/24 - 08:40- آسیا

ساخت پیچیده‌ترین سلاح سایبری زیرساختی جهان توسط ایران

کارشناسان ادعا کردند که بدافزار مرتبط با ایران زیرساخت‌های حیاتی ایالات متحده و رژیم صهیونیستی را هدف قرار داده است.

1403/09/28 - 07:37- آسیا

راه‌اندازی اولین کامپیوتر کوانتومی ساخت رژیم صهیونیستی

رژیم صهیونیستی از راه‌اندازی اولین کامپیوتر کوانتومی ساخت خود با استفاده از فناوری پیشرفته ابررسانا خبر داد.

1403/09/25 - 16:55- حملات سايبری

آغاز پخش فصل سوم سریال تهران(Tehran)

مهرداد دهقان

انتشار شده در تاریخ 1399/11/27 - 17:56

شناسایی نسخه جدید بدافزار BazarBackdoor

محققان امنیتی نسخه‌های جدیدی از جانشینان بدافزار تریک‌بات شناسایی کردند.

به گزارش کارگروه امنیت سایبربان؛ پس‌ازاینکه مایکروسافت بخش‌هایی از بدافزار تریک‌بات (TrickBot) را مختل و شناسایی آن را تسهیل کرد مالکان تریک‌بات بدافزاری به نام بازاربکدور (BazarBackdoor) یا بازارلودر (BazarLoader) را جایگزین آن کردند.

بر اساس گزارش شرکت ادونسد اینتل (Advanced Intel)، اپراتورهای تریک‌بات شبکه‌های سازمانی را به کمک تروجان بازاربکدور هدف قرار می‌دهند پیش از اینکه باج افزار ریوک را به‌کارگیرند.

بازاربکدور یک بدافزار پنهان با اهداف بسیار مهم بوده و متعلق به زرادخانه گروه تریک‌بات بوده و از دو بخش لودر و بکدور تشکیل‌شده است.

گروه بدافزاری بازاربکدور با بهره‌گیری از گواهینامه‌های امضاء کد ناشناس مانده و در ابتدا از حداقل قابلیت‌های مخرب بدافزاری بهره می‌گیرد تا شانش بیشتری برای بقای طولانی در امن‌ترین شبکه‌ها داشته باشد.

ناشناس بودن و مبهم سازی از قابلیت‌های اصلی بازاربکدور بوده و برای انتشار آن مهاجمان در ابتدا به حملات فیشینگ متوسل می‌شوند.

بازاربکدور با این هدف ساخته‌شده که ناشناس بماند و برنامه‌های مخرب و پیشرفته‌ای از طریق برنامه‌های ثالث همچون کوبالت استرایک بارگذاری کند.

گروهی که پشت بازاربکدور قرار دارد با بهره‌گیری از ابزار قانونی کوبالت استرایک دسترسی از راه دور کسب کرده و اقدام به جمع‌آوری اعتبارنامه‌های هاست‌ها و اکتیو دایرکتوری، نصب نرم‌افزارهای ثالث «Lasagne»، «BloodHoun» و جابجایی درون شبکه‌ها و هاست‌ها و راه‌اندازی باج افزار ریوک می‌کند.

نسخه جدید بازار بکدور که از سوی کارشناسان شرکت اینتزر (Intezer) و ادونسد اینتل شناسایی شده به زبان Nim نوشته‌شده و آنتی‌ویروس‌ها معمولاً نمی‌توانند آن را شناسایی کنند.

بر طبق گزارش‌های ویروس توتال، نسخه جدید با گواهینامه‌ای امضاءشده که به نام شرکت Network Design International Holdings Limited صادرشده است.

ویتالی کرمز (Vitali Kremez)، مدیرعامل شرکت ادونسد اینتل در این خصوص اعلام کرد:

اپراتورها احتمالاً نسخه سبک بدافزار را با Nim توسعه داده تا آنتی‌ویروس‌ها و سایر ابزارهای شناسایی‌ را که به‌طور سنتی روی باینری‌های کامپایل شده به C/C++ متمرکزشده‌اند، گمراه سازند.

به گفته وی، کدهای باینری Nim می‌توانند به‌طور یکسان در ویندوز، مک‌اواس و لینوکس اجرا شوند. نویسندگان ویروس بندرت از چنین روش‌های عجیبی به‌عنوان ابزاری برای دور زدن آنتی‌ویروس‌ها استفاده می‌کنند، اگرچه برنامه‌های باج افزاری DeroHE و Vovalex نیز بدین‌صورت نوشته‌شده‌اند، اولی به زبان Nim و دومی به زبان D.