آنتی ویروس پادویش
امنیت

پنج کمپین فعال بدافزار در سه ماهه اول ۲۰۲۵ (مراقبشان باشید)

کمپین فعال بدافزار در سه ماهه اول ۲۰۲۵

فهرست مطالب

در سه ماهه اول سال ۲۰۲۵، شاهد فعالیت مخرب پنج بدافزار مهم بودیم که امنیت سایبری را به چالش کشیدند. این بدافزارها با روش های مختلفی مانند سوء استفاده از تکنیک ClickFix، ارائه خدمات باج افزار به عنوان سرویس (RaaS)، استفاده از تونل های TryCloudflare و توزیع از طریق GitHub، به سیستم های قربانیان نفوذ کرده و اطلاعات حساس آنها را به سرقت می برند.

کمپین های فعال بدافزار در سه ماهه اول ۲۰۲۵

به گزارش زوم تک از هکر نیوز، سه ماهه اول سال ۲۰۲۵ به میدان نبردی در دنیای امنیت سایبری تبدیل شده است. مجرمان سایبری به راه اندازی کمپین های جدید تهاجمی و اصلاح روش های حمله خود ادامه داده اند. در زیر مروری بر پنج خانواده بدافزار قابل توجه، همراه با تجزیه و تحلیل های انجام شده در محیط های کنترل شده ارائه شده است.

1. NetSupport RAT: سوء استفاده از تکنیک ClickFix
در اوایل سال ۲۰۲۵، بازیگران تهدید شروع به سوء استفاده از تکنیکی به نام ClickFix برای توزیع تروجان دسترسی از راه دور NetSupport (RAT) کردند. این روش شامل تزریق صفحات CAPTCHA جعلی به وب سایت های آسیب دیده است که کاربران را وادار به اجرای دستورات مخرب PowerShell می کند که NetSupport RAT را دانلود و اجرا می کنند. پس از نصب، این RAT به مهاجمان کنترل کامل بر سیستم قربانی را می دهد و به فعالیت هایی مانند نظارت بر صفحه نمایش در زمان واقعی، دستکاری فایل ها و اجرای دستورات دلخواه اجازه می دهد.

ویژگی های فنی اصلی NetSupport RAT

مهاجمان می توانند صفحه نمایش قربانی را در زمان واقعی مشاهده و کنترل کنند.
فایل ها را در سیستم آلوده آپلود، دانلود، تغییر و حذف می کند.
دستورات سیستم و اسکریپت های PowerShell را از راه دور اجرا می کند.
متن کپی شده، از جمله رمزهای عبور و داده های حساس را ضبط می کند.
کلیدهای فشرده شده توسط کاربر را برای سرقت اعتبارنامه ثبت می کند.
فرآیندها و سرویس های سیستم را شروع، متوقف و تغییر می دهد.
برای زنده ماندن در هنگام راه اندازی مجدد، خود را در پوشه های راه اندازی، کلیدهای رجیستری یا وظایف زمان بندی شده نصب می کند.
از تزریق فرآیند و مبهم سازی کد برای جلوگیری از شناسایی استفاده می کند.
با استفاده از ترافیک رمزگذاری شده، یک اتصال مخفی با مهاجمان حفظ می کند.
2. باج افزار Lynx
گروه Lynx Ransomware-as-a-Service (RaaS) به عنوان یک نهاد بسیار سازمان یافته شناخته می شود که یک برنامه وابسته ساختاریافته و روش های رمزگذاری قوی ارائه می دهد. Lynx با تکیه بر پایه های باج افزار INC قبلی، قابلیت های خود را افزایش داده و دسترسی خود را گسترش داده است و طیف متنوعی از صنایع را در چندین کشور هدف قرار داده است.

پنل وابسته Lynx به شرکت های وابسته خود اجازه می دهد تا پروفایل قربانیان را پیکربندی کنند، نمونه های باج افزار سفارشی ایجاد کنند و برنامه های نشت داده را در یک رابط کاربر پسند مدیریت کنند. Lynx به دلیل رویکرد ساختاریافته خود، حتی برای کسانی که تخصص فنی محدودی دارند، به یکی از در دسترس ترین باج افزارها تبدیل می شود.

برای تشویق مشارکت، Lynx 80٪ از درآمد باج را به شرکت های وابسته ارائه می دهد. این گروه یک سایت نشت اطلاعات را نگهداری می کند که در صورت عدم پرداخت باج توسط قربانیان، داده های سرقت شده در آن منتشر می شود.

حملات بزرگ Lynx در سه ماهه اول
در سه ماهه اول سال ۲۰۲۵، گروه Lynx Ransomware-as-a-Service (RaaS) عملیات خود را تشدید کرده و صنایع مختلف را با حملات پیچیده هدف قرار داده است. به ویژه، در فوریه ۲۰۲۵، Lynx مسئولیت نقض Brown and Hurley، یک نمایندگی کامیون برجسته استرالیایی را بر عهده گرفت. این گروه ادعا کرد که تقریباً ۱۷۰ گیگابایت داده حساس، از جمله اسناد منابع انسانی، قراردادهای تجاری، اطلاعات مشتری و سوابق مالی را به سرقت برده است. در ژانویه ۲۰۲۵، Lynx همچنین Hunter Taubman Fischer & Li LLC، یک شرکت حقوقی مستقر در ایالات متحده متخصص در حقوق شرکت ها و اوراق بهادار را نقض کرد.

ویژگی های فنی اصلی باج افزار Lynx

به طور پیش فرض همه فایل ها، از جمله درایوهای محلی، اشتراک گذاری شبکه و رسانه های قابل جابجایی را رمزگذاری می کند.
از طریق RaaS قابل پیکربندی برای هدف قرار دادن انواع فایل ها، پوشه ها یا افزونه های خاص.
داده های حساس را قبل از رمزگذاری می دزدد، اسناد، اعتبارنامه ها و اطلاعات مالی را استخراج می کند.
داده های سرقت شده را از طریق کانال های رمزگذاری شده، مانند HTTPS یا پروتکل های ارتباطی سفارشی منتقل می کند.
برای جلوگیری از بازیابی، Volume Shadow Copies را حذف می کند و ویژگی های بازیابی ویندوز را غیرفعال می کند.
برنامه هایی را که ممکن است با استفاده از RestartManager از رمزگذاری جلوگیری کنند، می بندد.
از تکنیک های تخلیه اعتبارنامه برای استخراج رمزهای عبور ذخیره شده از مرورگرها، Windows Credential Manager و دستگاه های شبکه استفاده می کند.
یک اتصال C2 با دامنه های مبتنی بر DGA و ترافیک ناشناس از طریق Tor حفظ می کند.
ماشین های مجازی و sandbox ها را شناسایی می کند و رفتار را برای جلوگیری از تجزیه و تحلیل تغییر می دهد.
بدون نوشتن فایل ها روی دیسک، در حافظه اجرا می شود و از شناسایی جلوگیری می کند.
3. AsyncRAT: استفاده از Payload های پایتون و تونل های TryCloudflare
در اوایل سال ۲۰۲۵، محققان امنیت سایبری یک کمپین مخرب پیچیده را کشف کردند که AsyncRAT، یک تروجان دسترسی از راه دور که به دلیل قابلیت های ارتباطی ناهمزمان و کارآمد خود شناخته شده است، مستقر می کند. این کمپین به دلیل استفاده از payload های مبتنی بر پایتون و بهره برداری از تونل های TryCloudflare برای افزایش مخفی کاری و پایداری برجسته است.

مروری بر زنجیره فیشینگ ها

حمله با یک ایمیل فیشینگ حاوی URL Dropbox آغاز می شود. هنگامی که گیرندگان روی پیوند کلیک می کنند، یک آرشیو ZIP را دانلود می کنند که یک فایل میانبر اینترنتی (URL) را در خود جای داده است. این فایل به نوبه خود یک فایل میانبر ویندوز (LNK) را از طریق URL TryCloudflare بازیابی می کند. اجرای فایل LNK باعث ایجاد یک سری اسکریپت، PowerShell، جاوا اسکریپت و اسکریپت های دسته ای می شود که یک payload پایتون را دانلود و اجرا می کنند. این payload مسئول استقرار چندین خانواده بدافزار، از جمله AsyncRAT، Venom RAT و XWorm است.

ویژگی های فنی AsyncRAT

به مهاجمان اجازه می دهد تا دستورات را اجرا کنند، فعالیت کاربر را نظارت کنند و فایل ها را در سیستم آسیب دیده مدیریت کنند.
قادر به سرقت اطلاعات حساس، از جمله اعتبارنامه ها و اطلاعات شخصی است.
از تکنیک هایی برای حفظ دسترسی طولانی مدت، مانند تغییر رجیستری های سیستم و استفاده از پوشه های راه اندازی استفاده می کند.
از مبهم سازی و رمزگذاری برای جلوگیری از شناسایی توسط راه حل های امنیتی استفاده می کند.
4. Lumma Stealer: توزیع مبتنی بر GitHub
در اوایل سال ۲۰۲۵، کارشناسان امنیت سایبری از یک کمپین پیچیده با استفاده از Lumma Stealer، یک بدافزار سرقت اطلاعات، پرده برداشتند. مهاجمان از زیرساخت انتشار GitHub برای توزیع این بدافزار استفاده کردند و از قابل اعتماد بودن این پلتفرم برای دور زدن اقدامات امنیتی سوء استفاده کردند. پس از اجرا، Lumma Stealer فعالیت های مخرب اضافی از جمله دانلود و اجرای سایر تهدیدها مانند SectopRAT، Vidar، Cobeacon و انواع دیگر Lumma Stealer را آغاز می کند.

ویژگی های فنی Lumma Stealer

از طریق نسخه های GitHub توزیع می شود و از زیرساخت های قابل اعتماد برای جلوگیری از شناسایی امنیتی استفاده می کند.
اعتبارنامه های مرورگر، کوکی ها، کیف پول های ارزهای دیجیتال و اطلاعات سیستم را می دزدد.
داده های سرقت شده را به سرورهای راه دور ارسال می کند و امکان استخراج در زمان واقعی را فراهم می کند.
می تواند بدافزارهای اضافی از جمله SectopRAT، Vidar و Cobeacon را دانلود و اجرا کند.
از تغییرات رجیستری و ورودی های راه اندازی برای حفظ دسترسی استفاده می کند.
از طریق ابزارهای نظارت بر امنیت مبتنی بر شبکه قابل شناسایی است و الگوهای ارتباطی مخرب را آشکار می کند.
5. InvisibleFerret: تهدید خاموش در کمین پیشنهادات شغلی جعلی
در موجی از حملات مهندسی اجتماعی، مجرمان سایبری از InvisibleFerret، یک بدافزار مخفی مبتنی بر پایتون، برای به خطر انداختن قربانیان ناآگاه استفاده کرده اند. این بدافزار که به عنوان نرم افزار قانونی در فرآیندهای مصاحبه شغلی جعلی پنهان شده است، به طور فعال در کمپین مصاحبه جعلی استفاده شده است، جایی که مهاجمان خود را به عنوان استخدام کننده معرفی می کنند تا متخصصان را فریب دهند تا ابزارهای مخرب را دانلود کنند.

ویژگی های فنی InvisibleFerret

این بدافزار از اسکریپت های پایتون نامرتب و مبهم استفاده می کند و تجزیه و تحلیل و شناسایی را چالش برانگیز می کند.
InvisibleFerret به طور فعال به دنبال اطلاعات حساس از جمله کد منبع، کیف پول های ارزهای دیجیتال و فایل های شخصی می گردد و آنها را استخراج می کند.
اغلب به عنوان یک payload ثانویه توسط بدافزار دیگری به نام BeaverTail ارائه می شود که یک infostealer و loader مبتنی بر جاوا اسکریپت مبهم است.
این بدافزار پایداری را در سیستم آلوده ایجاد می کند و دسترسی و کنترل مداوم را تضمین می کند.
یک عنصر کلیدی حمله InvisibleFerret استقرار BeaverTail، یک ماژول مخرب NPM است که یک محیط پایتون قابل حمل (p.zip) را برای اجرای بدافزار ارائه می دهد. BeaverTail به عنوان اولین مرحله در یک زنجیره حمله چند لایه، InvisibleFerret، یک درب پشتی مخفی با مکانیسم های مبهم سازی و پایداری پیشرفته را راه اندازی می کند و تشخیص را دشوار می کند.

به این پست امتیاز بدید

مطالب مرتبط

نظرات در مورد : پنج کمپین فعال بدافزار در سه ماهه اول ۲۰۲۵ (مراقبشان باشید)

0 دیدگاه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *