روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ اواسط سال ۲۰۲۵، یک فایل مخرب درایور روی برخی رایانهها در قاره آسیا شناسایی شد. این درایور با استفاده از یک گواهی دیجیتال قدیمی و سرقتشده امضا شده و پس از نصب، بهصورت پنهان در سیستم فعال میشود. هدف اصلی آن تزریق بدافزار نفوذی به فرایندهای سیستم و محافظت از فایلها، برنامهها و تنظیمات مخرب در برابر شناسایی و حذف است.بررسیها نشان میدهد که بدافزار نهاییِ تزریقشده، نسخهای جدید از یک بکدر شناختهشده است که به سرورهای مهاجم متصل میشود و به آنها امکان کنترل از راه دور سیستم را میدهد. این ابزار بهطور انحصاری توسط گروه هکری HoneyMyte استفاده میشود؛ گروهی که به انجام حملات جاسوسی سایبری علیه نهادهای دولتی، بهویژه در جنوبشرق و شرق آسیا، شناخته شده است.شواهد نشان میدهد این حملات از اوایل سال ۲۰۲۵ آغاز شدهاند و بیشترین اهداف آنها سازمانهای دولتی در کشورهایی مانند میانمار و تایلند بودهاند. تقریباً همهی سیستمهای آلوده، پیشتر نیز به ابزارهای دیگری از همین گروه هکری مبتلا بودهاند، که نشان میدهد مهاجمان از دسترسیهای قدیمی برای اجرای این حمله استفاده کردهاند. در ادامه با ما همراه باشید تا ساز و کار این دشمن پنهان را بررسی کنیم.
گواهی دیجیتال بهخطرافتاده
درایور مخرب با گواهی دیجیتالی امضا شده بود که سالها پیش منقضی شده و به شرکت معتبری تعلق داشته است. به نظر میرسد این گواهی در گذشته افشا یا سرقت شده و علاوه بر این حمله، توسط مهاجمان دیگری نیز مورد سوءاستفاده قرار گرفته است.
نحوهی پنهانکاری و محافظت بدافزار
این درایور طوری طراحی شده که:
- از حذف یا تغییر نام فایل خودش جلوگیری میکند،
- کلیدهای مهم مربوط به خودش را در رجیستری سیستم محافظت میکند،
- و دسترسی ابزارهای امنیتی، از جمله آنتیویروسها، به فرایندهای آلوده را مسدود میسازد.
حتی یکی از اجزای امنیتی اصلی سیستمعامل را دستکاری میکند تا اصلاً بارگذاری نشود. به این ترتیب، بدافزار قبل از ابزارهای امنیتی فعال میشود و آنها را دور میزند.
محافظت از برنامههای آلوده
بدافزار فهرستی از برنامههایی که نباید بررسی یا متوقف شوند نگه میدارد. اگر هر برنامهای بخواهد به این فرایندها دسترسی پیدا کند، دسترسی آن بهطور کامل مسدود میشود. این محافظت تا زمانی ادامه دارد که مأموریت بدافزار به پایان برسد.
تزریق بدافزار نهایی
درایور مخرب ابتدا یک برنامهی سیستمی را اجرا میکند و یک کد مخرب کوچک در آن قرار میدهد. سپس بدافزار اصلی را در همان برنامه تزریق میکند. پس از پایان کار، ردپاها تا حد امکان پاک میشوند و برنامهی آلوده نیز حذف میشود.
بدافزار HoneyMyte
مرحلهی نهایی حمله، اجرای ابزار نفوذی متعلق به گروهHoneyMyte است. نکتهی مهم این است که برای اولین بار، این ابزار از طریق یک درایور سطح پایین سیستم نصب شده است. این روش باعث میشود بدافزار:
- بسیار مخفیتر عمل کند،
- در برابر شناسایی مقاومتر باشد،
- و از دید بسیاری از ابزارهای امنیتی پنهان بماند.
از آنجا که این کد مخرب فقط در حافظه اجرا میشود و فایلی از خود باقی نمیگذارد، بررسی حافظهی سیستم نقش کلیدی در شناسایی آن دارد.
جمعبندی
با اطمینان بالا میتوان گفت این حملات به گروه HoneyMyte مرتبط هستند. استفاده از ابزارهای شناختهشدهی این گروه و روشهای پیشرفتهی پنهانکاری، نشاندهندهی تکامل قابل توجه تواناییهای آنها در سال ۲۰۲۵ است. این گروه اکنون بیش از گذشته به روشهایی متکی است که شناسایی و پاکسازی حملات را بسیار دشوار میکند.
راهکارهای امنیتی
برای کاهش احتمال آلودگی، سازمانها بهتر است:
- از دیوارهای آتش و سامانههای شناسایی نفوذ استفاده کنند،
- ابزارهای پیشرفتهی پایش امنیتی را به کار بگیرند،
- آموزشهای منظم امنیت سایبری به کارکنان ارائه دهند،
- بررسیهای امنیتی دورهای انجام دهند،
- و سامانههای متمرکز پایش رخدادهای امنیتی را در نظر بگیرند.
رعایت این موارد میتواند خطر حملات مشابه از سوی HoneyMyte و گروههای همسطح آن را بهطور چشمگیری کاهش دهد.
شاخصهای نفوذ
اطلاعات بیشتر درباره شاخصهای نفوذ و هر بهروزرسانی مرتبط با آن، برای مشتریان سرویس گزارشدهی اطلاعات تهدیدهای پیشرفته (APT) در دسترس است. در صورت تمایل میتوانید با آدرس ایمیل intelreports@kaspersky.com تماس بگیرید.
36f121046192b7cac3e4bec491e8f1b5 AppvVStram_.sys
fe091e41ba6450bcf6a61a2023fe6c83 AppvVStram_.sys
abe44ad128f765c14d895ee1c8bad777 ProjectConfiguration.sys
avocadomechanism[.]com ToneShell C2
potherbreference[.]com
کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
