روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ «تسوندره» یک باتنت جدید است که توسط تیم تحقیقاتی کسپرسکی در اواسط سال ۲۰۲۵ شناسایی شد. ما این تهدید را با گزارشی اکتبر ۲۰۲۴ مرتبط دانستیم؛ گزارشی که شباهتهای کدنویسی و همچنین استفاده از همان روش دریافت فرمان و همان کیفپول را نشان میداد. آن زمان، عامل تهدید با ساخت بستههای مخرب برای «نود» و انتشار آنها در «اِن.پی.اِم» دست به انتشار بدافزار زد. این بستهها نامهایی مشابه بستههای معتبر داشتند؛ روشی که به آن «اشتباهگیری اسمی» گفته میشود. هدف، کتابخانههایی مانند Puppeteer ،Bignum.js و بستههای مرتبط با رمزارز بود و در نهایت ۲۸۷ بسته مخرب شناسایی شد.این حمله زنجیره تأمین، کاربران ویندوز، لینوکس و مک را تحت تأثیر قرار داد اما خیلی به طول نیانجامید، چون بستهها حذف شدند و عامل تهدید پس از شناسایی، روش را کنار گذاشت.این عامل تهدید دوباره ازتاریخ ژوئیه ۲۰۲۵ با تهدیدی جدید بازگشت. ما این بدافزار را «بات تسوندره» نامگذاری کردهایم که نام آن از صفحه فرماندهیاش گرفته شده است. این باتنت در حال گسترش است و تهدیدی فعال برای کاربران ویندوز به شمار میآید. با ما همراه باشید تا در ادامه بیشتر با آن آشنا شویم.
شیوه آلودگی اولیه
در حال حاضر شواهد قطعی درباره چگونگی انتشار این بدافزار وجود ندارد. با این حال، در یک مورد ثبتشده، فایل مخرب از طریق ابزار مدیریت و نظارت از راه دور دریافت شده و فایلی با نام pdf.msi را از یک وبسایت آلوده بارگیری کرده است.در نمونههای دیگر، نام فایلها نشان میدهد که بدافزار با سوءاستفاده از علاقه کاربران به بازیهای مشهور ویندوزی، بهویژه بازیهای تیراندازی اولشخص، پخش میشود. نمونههایی با نامهایی مانند valorant ،cs2و r6x مشاهده شده که تلاش برای فریب جامعه کاربران نسخههای غیررسمی این بازیها به نظر میرسد.
ایمپلنتهای بدافزاری
بر اساس اطلاعات صفحه فرمان، دو قالب برای انتشار وجود دارد:
۱نصبکننده ام.اِس.آی
۲اسکریپت پاورشل
این ایمپلنتها بهصورت خودکار توسط صفحه فرمان تولید میشوند.
نصبکننده MSI
این نصبکننده اغلب بهعنوان نصبکننده جعلی بازیهای مشهور و نرمافزارهای دیگر ظاهر میشد تا قربانی را فریب دهد. تا همین الان که این مقاله را میخوانید، نرخ شناسایی آن بسیار پایین بود.داخل نصبکننده، مجموعهای از دادهها و پروندههای جاوااسکریپت وجود دارد که با هر تولید جدید بهروز میشوند، همچنین فایلهای لازم برای اجرای اسکریپتها با استفاده از محیط «نود».
اسکریپت بارگذار
این اسکریپت وظیفه رمزگشایی صحیح و اجرای اسکریپت اصلی را برعهده دارد. اسکریپت اصلی مسئول گشودن بستهها و تنظیمات است. اگرچه کد بارگذار و دیگر اسکریپتها مبهمسازی شدهاند، اما با ابزارهای متنباز میتوان آنها را آشکار کرد.بعد از اجرا، بارگذار بهدنبال اسکریپت بازکننده بسته و فایل پیکربندی میگردد. آنها را پیدا میکند و با الگوریتم رمزنگاری AES-256-CBC و کلید و بردار ابتدایی مخصوص همان نسخه رمزگشاییشان میکند. سپس فایلهای رمزگشاییشده را با نامهای جدید ذخیره میکند.
پرونده پیکربندی در قالب جیسون[1] است و ساختار پوشهها و محتوا را تعریف میکند. نقش اصلی آن فراهمکردن امکان استفاده از «اِن.پی.اِم» بدون نصب دستی یا بارگیری جداگانه است. اسکریپت گشودن بسته، این ساختار را ایجاد میکند که شامل پوشه node_modules و کتابخانههای لازم برای اجرای بدافزار میشود.
پس از آمادهسازی محیط، بدافزار سه بسته را در پوشه node_modules نصب میکند:
ws : کتابخانه ارتباط وبسوکت
ethers :کتابخانه ارتباط با زنجیره اتریوم
pm2 : ابزار مدیریت فرآیند در نود
بسته pm2برای فعال نگهداشتن بدافزار و راهاندازی آن استفاده میشود و با ایجاد تغییرات در رجیستری، پایداری در سیستم را فراهم میکند.
آلودهکننده پاورشل
نسخه پاورشل سادهتر است. به جای استفاده از پرونده پیکربندی، بسته node-v18.17.0-win-x64.zip را از وبسایت رسمی «نود» بارگیری و در مسیر AppData\Local\NodeJS استخراج میکند. سپس دو متغیر رمزنگاریشده را که در قالب شانزدهشانزدهی هستند رمزگشایی میکند؛ این دو متغیر شامل اسکریپت بات و اسکریپت پایداری هستند.این دو فایل و یک package.json روی دیسک ذخیره میشوند. این فایل جزییات بسته مخرب و کتابخانههای لازم مانند ws و ethers را مشخص میکند. سپس اسکریپت پایداری اجرا شده و پس از آن اسکریپت بات آغاز میشود.پایداری از طریق ایجاد یک مقدار در مسیر رجیستری Run در شاخه کاربر انجام میشود که به همان اسکریپت اشاره دارد. سپس اسکریپت خود را بازنویسی و نسخه جدیدی میسازد که در هر ورود به سیستم نسخه تازهای از بات را اجرا میکند.
بات تسوندره
در ادامه عملکرد بات، نحوه ارتباط با فرماندهنده و ویژگیهای اصلی آن بررسی میشود.
دریافت نشانی فرماندهنده
قراردادهای وبسه (قراردادهای هوشمند) روی زنجیره اتریوم میتوانند داده ذخیره کنند. در این مورد، باتنت از قرارداد هوشمندی استفاده میکند که تابع setString دارد و مقدار متغیر param1را تغییر میدهد. این مقدار برای ذخیره نشانی وبسوکت فرماندهنده استفاده میشود. نشانیها ثابت میمانند و پس از ثبت، قابل تغییر نیستند.
باتنت تسوندره از دو نقطه ثابت در زنجیره اتریوم استفاده میکند:
کیف پول: 0x73625B6cdFECC81A4899D221C732E1f73e504a32
قرارداد: 0xa1b40044EBc2794f207D45143Bd82a1B86156c6b
تغییر نشانی فرمان از طریق انجام تراکنشی با مقدار صفر انجام میشود. در یکی از تراکنشهای ۱۹ اوت ۲۰۲۵، رشتهای ۲۴ بایتی در متغیر ذخیره شده که پس از تبدیل به متن، نشانی جدید وبسوکت را نشان میدهد:
ws[:]//185.28.119[.]179:1234
بات برای بهدست آوردن نشانی، از چند نقطه ارائهدهنده «درخواست از راه دور» استفاده میکند. تابع fetchAndUpdateIP فهرست این ارائهدهندگان را پیمایش کرده، تراکنشها را بررسی و رشته ذخیرهشده در قرارداد را بازیابی میکند.بات بررسی میکند که نشانی با ws:// یا wss:// شروع شود و سپس آن را نشانی فرماندهنده قرار میدهد. پیش از استفاده، زبان و منطقه سیستم را بررسی میکند تا از آلوده نکردن سامانههای منطقه کشورهای مستقل مشترکالمنافع مطمئن شود. سپس اگر منطقه ممنوع نباشد، با وبسوکت ارتباط برقرار میکند.
ارتباط
فرایند ارتباط بین بات و سرور:
۱. بات ارتباط وبسوکت برقرار میکند.
۲. سرور بلافاصله کلید رمزنگاری را میفرستد.
۳. بات رشته خالی ارسال میکند تا دریافت کلید را تأیید کند.
۴. سرور بردار ابتدایی را میفرستد تا تبادل رمزنگاری از آن لحظه انجام شود.
۵. بات اطلاعات سیستم مانند مکآدرس، حافظه، کارت گرافیک و… را ارسال میکند.
۶. سرور پاسخ تأییدآمیز میفرستد.
۷. ارتباط پایدار برقرار میشود.
برای حفظ ارتباط، هر دقیقه پیامهای زندهنگهدار (پینگ/پونگ) با داده رمزنگاریشده رد و بدل میشود.
هیچ سازوکار احراز هویت اضافه وجود ندارد و هر کلاینت جعلی میتواند ارتباط برقرار کند.
کارکرد بات
سرور میتواند کد جاوااسکریپت دلخواه را برای بات ارسال کند. اگر پیام با شناسه ۱ فرستاده شود، بات آن را بهعنوان یک تابع پردازش کرده و اجرا میکند. نتیجه اجرا بهصورت رمزنگاریشده بازگردانده میشود.این توانایی موجب سادگی و در عین حال انعطافپذیری بالای بات میشود و امکان اجرای هر فرمان دلخواه را میدهد.در دوره بررسی ما، هیچ فرمانی دریافت نشد؛ احتمالاً چون باید پیش از استفاده، توسط عاملان دیگر از طریق صفحه کنترل درخواست شود.
زیرساخت
بات از وبسوکت بهعنوان پروتکل اصلی ارتباط استفاده میکند. در زمان بررسی، سرور فرماندهنده در نشانی 185.28.119[.]179 فعال و پاسخگو بود.
بازار و صفحه فرمان
این باتنت دارای صفحه کنترل و بازاری مشترک است. نکته مهم آن سیستم ثبتنام آزاد است؛ هر کاربر با ورود به صفحه میتواند ثبتنام کرده و وارد شود.
بخشهای صفحه عبارتاند از:
رباتها: نمایش تعداد دستگاههای آلوده تحت کنترل
تنظیمات: تنظیمات کاربری و مدیریتی
ساخت: امکان تولید کاشتههای جدید در صورت داشتن مجوز
بازار: عاملان میتوانند باتهای خود را عرضه کنند و خدمات مختلف ارائه دهند
کیفپول مونرو: برای واریز و برداشت
پراکسی: Socks استفاده از دستگاههای آلوده برای عبور ترافیک
هر ساخت، یک شناسه یکتا دارد که در کاشته قرار میگیرد و به کاربر سازنده آن متصل است. نشانی بارگیری ساختها بهصورت زیر است:
hxxps://idk.1f2e[REDACTED]07a4[.]net/api/builds/{BUILD-ID}.msi
در زمان بررسی، بین ۹۰ تا ۱۱۵ بات بهطور همزمان به سرور فرمان متصل بودند.
نسبتدادن تهدید
با توجه به متنهای موجود در کاشتهها، با اطمینان بالا میتوان گفت عامل تهدید، روسزبان است.همچنین شواهد نشان میدهد که باتنت تسوندره با «استیلر ۱۲۳» مرتبط است؛ بدافزاری که با زبان سیپلاسپلاس نوشته شده و فروخته میشود. هر دو صفحه کنترل روی یک سرور قرار دارند. دامنه اصلی برای استیلر ۱۲۳ و زیردامنه «idk» برای باتنت تسوندره استفاده شده است.طبق بررسیها، هر دو به فردی با نام «کونهکو» مرتبط هستند؛ شخصی که پیش از مسدود شدن یک انجمن تاریک، به تبلیغ این بدافزارها مشغول بود. در پروفایل او عنوان «ارشد بدافزار نود» دیده میشد که به مهارتش در ساخت بدافزارهای مبتنی بر نود اشاره دارد.
جمعبندی
باتنت تسوندره تلاش تازهای از سوی عامل تهدید برای توسعه ابزارهای خود است. این نسخه جدید ادامه حمله سال قبل بوده و اکنون با روش و مدل تجاری تازهای فعالیت میکند.امکان آلودگی از طریق فایلهای MSI و پاورشل، انعطاف بالایی برای فریب با نصبکنندههای جعلی، حملات فیشینگ یا پیوند با روشهای دیگر ایجاد کرده است.استفاده از قراردادهای هوشمند بهعنوان مخزن نشانی فرماندهنده نیز یک روش روبهگسترش و موجب مقاومسازی زیرساخت باتنت است.با توجه به فعالیتهای کونهکو و فروش همزمان بدافزارهای دیگر، احتمال افزایش تهدید در ماههای آینده زیاد است. بنابراین لازم است این تهدید و موارد مشابه بهدقت زیر نظر گرفته شوند.
شاخصهای دستکاری
فایل هشها
235A93C7A4B79135E4D3C220F9313421
760B026EDFE2546798CDC136D0A33834
7E70530BE2BFFCFADEC74DE6DC282357
5CC5381A1B4AC275D221ECC57B85F7C3
AD885646DAEE05159902F32499713008
A7ED440BB7114FAD21ABFA2D4E3790A0
7CF2FD60B6368FBAC5517787AB798EA2
E64527A9FF2CAF0C2D90E2238262B59A
31231FD3F3A88A27B37EC9A23E92EBBC
FFBDE4340FC156089F968A3BD5AA7A57
E7AF0705BA1EE2B6FBF5E619C3B2747E
BFD7642671A5788722D74D62D8647DF9
8D504BA5A434F392CC05EBE0ED42B586
87CE512032A5D1422399566ECE5E24CF
B06845C9586DCC27EDBE387EAAE8853F
DB06453806DACAFDC7135F3B0DEA4A8F
مسیرهای فایل
%APPDATA%\Local\NodeJS
دامنهها و آیپیها
ws://185.28.119[.]179:1234
ws://196.251.72[.]192:1234
ws://103.246.145[.]201:1234
ws://193.24.123[.]68:3011
ws://62.60.226[.]179:3001
کیفپولهای رمزارز
یادداشت: اینها والتهایی هستند که از زمان ایجاد قرارداد هوشمند، آدرس C2 را تغییر دادهاند.
0x73625B6cdFECC81A4899D221C732E1f73e504a32
0x10ca9bE67D03917e9938a7c28601663B191E4413
0xEc99D2C797Db6E0eBD664128EfED9265fBE54579
0xf11Cb0578EA61e2EDB8a4a12c02E3eF26E80fc36
0xdb8e8B0ef3ea1105A6D84b27Fc0bAA9845C66FD7
0x10ca9bE67D03917e9938a7c28601663B191E4413
0x52221c293a21D8CA7AFD01Ac6bFAC7175D590A84
0x46b0f9bA6F1fb89eb80347c92c9e91BDF1b9E8CC
[1]یک فرمت استاندارد برای ذخیره و تبادل داده که ساختارش شبیه یک جدول ساده از «کلید» و «مقدار» است.
کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
