روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ در مارس ۲۰۲۵ شرکتی امنیتی موجی از آلودهسازیها را شناسایی کرد که با کلیک قربانیان روی لینکهای فیشینگ شخصیشده در ایمیل آغاز میشد. کافی بود کاربر با مرورگر گوگل کروم یا هر مرورگر مبتنی بر کرومیوم به سایت مخرب سر میزد تا بدافزار فعال شود. شرکت امنیتی آسیبپذیری مهمی را کشف و به تیم امنیتی گوگل گزارش داد که با شناسه آسیبپذیری ۲۰۲۵-۲۷۸۳ رفع شد. این کمپین ForumTroll نام گرفت و اهداف اصلی آن رسانهها، دانشگاهها، مراکز پژوهشی، نهادهای دولتی، مؤسسات مالی و دیگر سازمانها در روسیه بود و شواهد نشان از هدفگذاری اطلاعاتی و جاسوسی دارد.
روش حمله
آیتم اولی، فیشینگ بود؛ ایمیلهای دعوت ظاهراً رسمی حاوی لینکهای کوتاه و شخصیشده که برای ردیابی و جلوگیری از کشف، مدتزمان بسیار کوتاهی فعال میماندند. بازدید از سایت مخرب باعث اجرای برنامهای کوچک به نام اعتبارسنج میشد که با استفاده از رابط پردازش گرافیکی وب یک چک رمزنگاری انجام میداد تا حضور یک کاربر واقعی تأیید شود. پس از تایید، تبادل کلید رمزنگاری انجام و مرحله بعد که شامل کدهای پنهان در فایلهای جاوااسکریپت و قلمفونت بود، بازگشایی میشد. آنچه باید یک اکسپلویت اجرای کد از راه دور برای کروم میبود در نمونههای اولیه یافت نشد اما ردپای فرار از سندباکس واضح بود.
آسیبپذیری و فرار از سندباکس
اکسپلویت کشفشده یکی از پیچیدهترین نمونههای فرار از سندباکس کروم بود. مهاجمان نسخههایی از کتابخانههای ارتباط بین پردازهای را همراه با اکسپلویت قرار داده بودند تا بتوانند پیامهای رابط را بدون دستکاری دستی ارسال کنند. روش اصلی سوءاستفاده این بود که مقدار بازگشتی تابعی که هندل نخ جاری را برمیگرداند بهعنوان یک هندل حقیقی توسط بروکر بین پردازهای منتقل و توسط تابعی که هندلها را تکراری میسازد تبدیل به هندل نخ در پردازه مرورگر شد. با استفاده از آن هندل، مهاجمان توانستند نخ هدف را معلق، زمینه ثبتنام پردازه را تغییر، و اجرای شلکد را در پردازه مرورگر آغاز کنند. این نقص منطقی ریشه در نحوه رفتار خاص برخی هندلهای شبهکاربردی در ویندوز داشت و بهزودی نمونههای مشابه در مرورگرهای دیگر هم پچ شد.
لودر سمج
پایداری روی سیستم با استفاده از تکنیک جعل ثبتنام مؤلفههای شیء مرجع سیستم انجام میشد. مهاجمان ورودی رجیستری مربوط به یک CLSID را بازنویسی و باعث میشد سیستم فایل کتابخانه مخرب را بارگذاری کند. آن کتابخانه بهعنوان لودر عمل میکرد، حامل بدافزار اصلی را رمزگشایی و با الگوریتمهای بازآرایی و رمز بازکردن تزویجشده اجرا مینمود. لودر میتوانست بدافزار اصلی را به شناسه سختافزاری سیستم پیوند دهد تا روی ماشینهای دیگر کار نکند.
LeetAgent
یکی از بدافزارهای مشاهدهشده لیتایجنت نام گرفت که دستوراتش با نگارش لِتاسپیک نوشته شده بود. این عامل ارتباط با سرور کنترل را از طریق پروتکل امن برقرار و مجموعهای از فرمانهای پوششی برای اجرای فرامین، تزریق، خواندن و نوشتن فایل، گرفتن فهرست وظایف و خروج فراهم میکرد. لیتایجنت در پسزمینه کلیدگیری و سرقت اسناد را انجام میداد و تنظیمات آن با شیوهای ساده رمزگذاری میشد. زیرساختها عمدتاً از سرویسهای ابری شناختهشده میزبانی میشد.
کشف دانته
با دنبالگیری نمونهها از سال ۲۰۲۲ محققان به خوشهای از حملات برخوردند که از بدافزار پیچیدهتری استفاده میکرد. پس از عبور از لایههای محافظتی و رمزگشایی اجزاء، نام دانته در کد یافت شد. تحلیل نشان داد این نرمافزار جاسوسی تجاری توسط شرکتی که پیشتر هکینگ تیم نامیده میشد توسعه یافته است و اکنون با نام ممنتو لبز فعالیت میکند. دانته با استفاده از ابزارهای پیچیده حفاظت و مقاومت در برابر تحلیل از جمله بستهبندی سنگین، رمزگذاری رشتهها، بازتولید فراخوانهای سیستمی و سنجش محیط اجرا خود را پنهان میکرد. این سامانه دارای سازوکاری موسوم به اورکستریتور برای مدیریت ماژولها، ارتباط با کنترل و خودحذف است. ماژولها رمزگذاری شده و کلیدها به مشخصات سختافزاری دستگاه وابستهاند.
شناسایی و انتساب
اتصال میان خوشهها با ردپای مشابه در مسیرهای فایل، روش پایداری، و کد مشترک میان اکسپلویت، لودر و خود دانته برقرار شد که محققان را به نتیجه قوی در انتساب به ممنتو لبز رساند. پیشینه این شرکت و رونمایی محصول جدید آن در کنفرانسهای مرتبط نیز از همخوانیهای زمانی و نسخهگذاری پشتیبانی کرد.
نتیجهگیری
نخست، استفاده نادرست از تابع تکرار هندل در ویندوز نشان داد که این دسته از توابع میتواند منشاء آسیبپذیریهای جدی باشد. دوم، یافتن و انتساب بدافزارهای تجاری کاری دشوار اما حیاتی است و نیازمند تجمیع شواهد فنی و تاریخی است. سوم، شرکتهایی که سابقه تولید ابزارهای نظارتی داشتند دوباره در قالب تازه وارد میدان شدهاند و کشف دانته نشان میدهد تهدیدهای پیشرفته تجاری هنوز فعال و خطرناکاند. محققان از طریق اشتراک شاخصهای شناسایی و گزارش جزئیات فنی به امید شناسایی سریعتر نمونههای فعال همکاری میکنند.
شاخصهای دستکاری
شناساییهای کسپرسکی
Exploit.Win32.Generic
Exploit.Win64.Agent
Trojan.Win64.Agent
Trojan.Win64.Convagent.gen
HEUR:Trojan.Script.Generic
PDM:Exploit.Win32.Generic
PDM:Trojan.Win32.Generic
UDS:DangerousObject.Multi.Generic
فولدر با ماژولها
پوشهای که حاوی ماژولهاست در %LocalAppData% قرار دارد و با یک رشتهٔBase64 به طولِ هشت بایت نامگذاری شده است. این پوشه شامل فایلهایی بدون پسوند است که نامهای آنها نیز رشتههای Base64 به طولِ هشت بایت هستند. یکی از فایلها همنام پوشه است. از این اطلاعات میتوان برای شناسایی یک آلودگی فعال استفاده کرد.
لودر
7d3a30dbf4fd3edaf4dde35ccb5cf926
3650c1ac97bd5674e1e3bfa9b26008644edacfed
2e39800df1cafbebfa22b437744d80f1b38111b471fa3eb42f2214a5ac7e1f13
LeetAgent
33bb0678af6011481845d7ce9643cedc
8390e2ebdd0db5d1a950b2c9984a5f429805d48c
388a8af43039f5f16a0673a6e342fa6ae2402e63ba7569d20d9ba4894dc0ba59
Dante
35869e8760928407d2789c7f115b7f83
c25275228c6da54cf578fa72c9f49697e5309694
07d272b607f082305ce7b1987bfa17dc967ab45c8cd89699bcdced34ea94e126
کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
