روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ طی حمله‌ای پیچیده و هدفمند، مهاجمان با نفوذ به زیرساخت به‌روزرسانی ++Notepad - ویرایشگر محبوب -امکان توزیع نسخه‌های آلوده این نرم‌افزار را برای مدت قابل توجهی در دست گرفتند. این نفوذ از طریق یک رخداد امنیتی در سطح ارائه‌دهنده خدمات میزبانی آغاز شد و مهاجمان تا چند ماه پس از رفع مشکل اولیه، همچنان به منابع داخلی دسترسی داشتند.

بررسی زنجیره‌های آلودگی و تحولات آن

مهاجمان در طول این حمله از سه زنجیره آلودگی مجزا و در حال تحول استفاده کردند که هر کدام از تکنیک‌های متفاوتی برای دور زدن تشخیص و اجرای کد مخرب بهره می‌بردند:

زنجیره اول (ژوئیه و اوت ۲۰۲۵)

   مهاجمان از یک آسیب‌پذیری قدیمی در نرم‌افزار قانونیProShow  برای اجرای کد مخرب سوءاستفاده کردند. به جای روش متداول سایدلودینگ آن‌ها با استفاده از یک فایل اکسپلویت، دانلودرMetasploit  را فعال کردند که در نهایت شِل‌کد Cobalt Strike Beacon را از سرورهای تحت کنترل خود دریافت و اجرا می‌کرد.

زنجیره دوم (سپتامبر تا اکتبر ۲۰۲۵)

   در این مرحله، روش کاملاً تغییر کرد. نصب‌گر NSIS، یک مجموعه قانونی از فایل‌های مفسر Lua  را همراه با یک اسکریپت مخرب مستقر می‌کرد. این اسکریپت، وظیفه دانلود و اجرای همان بار مخرب Cobalt Strike  را بر عهده داشت. در این زنجیره، مهاجمان همچنین روش جمع‌آوری اطلاعات سیستم قربانی را گسترش دادند و داده‌های بیشتری را به سرورهای کنترل خود ارسال کردند. آدرس‌های سرورهای فرماندهی و کنترلنیز در طول زمان تغییر کردند.

زنجیره سوم (اکتبر ۲۰۲۵)

در زنجیره سوم، مهاجمان به سراغ یک روش قدیمی‌تر اما همچنان مؤثر رفتند: استفاده از فایل‌های قانونی برای پنهان کردن فعالیت مخرب. در این روش، یک برنامه کاملاً معتبر به نام BluetoothService.exe  در سیستم اجرا می‌شد، اما این برنامه طوری تنظیم شده بود که به جای فایل‌های معمول خود، یک کتابخانه مخرب با نام log.dll  را از یک مسیر خاص بارگذاری کند. این کتابخانه آلوده در حقیقت یک در پشتی اختصاصی را روی سیستم قربانی نصب و اجرا می‌کرد. تحلیل‌گران امنیتی خاطرنشان کرده‌اند که این الگوی حمله به‌طور خاص در کمپین‌های گروه‌های نفوذگر چینی دیده شده است. نکته جالب توجه اینجاست که علیرغم تغییر روش اصلی حمله، ردپای همان ابزار نفوذ پیشرفته‌ای که در مراحل اولیه استفاده شده بود، یعنی کدهای Cobalt Strike، بر روی برخی از سیستم‌های قربانی این مرحله نیز مشاهده شد. این همپوشانی نشان می‌دهد که احتمالاً همه مراحل این حمله گسترده توسط یک گروه واحد و با منابع مشترک هدایت می‌شده است.

ویژگی‌های کلافی حمله

-   مهاجمان به‌طور مداوم و حدوداً ماهی یک بار، زنجیره اجرا، آدرس سرورها و روش‌های جمع‌آوری اطلاعات را تغییر می‌دادند تا شناسایی را دشوار کنند.

-   حملات به صورت هدف‌دار و علیه تعداد محدودی از قربانیان در کشورهای خاص مانند ویتنام، السالوادور، استرالیا و فیلیپین انجام شد.

-   از سرویس‌های میزبانی فایل موقت مانند temp[.]shبرای انتقال اولیه اطلاعات سیستم قربانیان استفاده شد که یک نشانه غیرمعمول در محیط‌های سازمانی محسوب می‌شود.

-   تمامی زنجیره‌ها از نصاب‌های NSIS  به عنوان نقطه شروع استفاده می‌کردند.

راهکارهای شناسایی و دفاع

برای کشف ردپای این حمله می‌توان از روش‌های زیر استفاده کرد:

-   جستجو برای ایجاد پوشه موقت نصب‌گرهای NSIS

-   نظارت بر ترافیک شبکه برای درخواست‌های DNS به دامنه temp[.]sh  یا وجود URL این سرویس در هدر درخواست‌های HTTP.

-   بررسی اجرای ناگهانی دستورات شناسایی سیستم مانند whoami، systeminfo، tasklist  و netstat -ano  که ممکن است توسط مهاجمان اجرا شده باشد.

-   جستجو برای ورودی‌های مشکوک در کلیدهای اجرای خودکار رجیستری ویندوز (مانند Run ) که به مسیرهای موقت اشاره می‌کنند.

-   استفاده ازشاخص‌های آلودگی یا دستکاری (IoC)منتشرشده شامل هش فایل‌ها و دامنه‌های مخرب.

جمع‌بندی نهایی

این حمله پیشرفته، الگویی هشداردهنده از نفوذ پایدار و برنامه‌ریزی‌شده را به نمایش گذاشت. مهاجمان نه تنها از یک نقطه آسیب‌پذیر در زیرساخت میزبانی سوءاستفاده کردند، بلکه برای ماه‌ها کنترل نامحسوس سرورهای به‌روزرسانی یک نرم‌افزار حیاتی توسعه‌دهندگان را حفظ نمودند. هدفمندی بالا در انتخاب قربانیان ـ شامل نهادهای دولتی، مالی و فناوری در کشورهای خاص ـ نشان می‌دهد این یک عملیات جاسوسی سایبری با اهداف کاملاً مشخص بوده است. نکته کلیدی در تداوم این حمله، انعطافپذیری و نوآوری مهاجمان در تغییر ماهیانهِ زنجیره‌های اجرا بود. آن‌ها با چرخش مداوم کدهای مخرب، آدرس‌های سرور و تکنیک‌های فرود، موانع تشخیص سنتی را پشت سر گذاشتند. استفاده هوشمندانه از نرم‌افزارهای قانونی مانند ProShow  یا مفسر Lua  به عنوان پوشش، و به کارگیری آسیب‌پذیری‌های قدیمی در کنار تکنیک‌های روز، عمق استراتژی آن‌ها را نشان می‌دهد.

این رخداد چند درس مهم برای جامعه امنیتی دارد:

۱.  آسیب‌پذیری زنجیره تأمین نرم‌افزارهای متن‌باز و پرکاربرد به عنوان یک نقطه شکست بحرانی، حتی اگر خود نرم‌افزار ایمن باشد.

۲.  **لزوم نظارت فعال بر رفتار شبکه**، حتی بر ترافیک به سوی سرویس‌های به ظاهر عادی مانند سرویس‌های اشتراک فایل موقت (مثل `temp[.]sh`) که می‌توانند برای ارتباطات مخفی مورد سوءاستفاده قرار گیرند.

۳.  **اهمیت تحلیل ژرف‌ای رویدادها** فراتر از تشخیص اولیه. مهاجمان در این حمله از **شِل‌کدهای جعلی** به عنوان طعمه برای گمراه کردن تحلیل خودکار استفاده کردند که تنها با بررسی دستی دقیق قابل شناسایی بود.

۴.  ضرورت اتخاذ یک رویکرد امنیتی لایه‌ای و رفتاری، چرا که اتکای صرف به امضای فایل‌های مخرب  در برابر چنین حملات پیچیده‌ای ناکافی است. ردیابی رفتارهای مشکوک مانند اجرای پیاپی دستورات شناسایی سیستم یا ایجاد ماندگاری از مسیرهای موقت، کلید تشخیص است.

در نهایت، حمله به Notepad++  یادآوری می‌کند که اعتماد به یک منبع به ظاهر مطمئن، می‌تواند به خطرناک‌ترین نقطه نفوذ تبدیل شود. ضروری است که سازمان‌ها علاوه بر دفاع از محیط داخلی، مکانیزم‌های اعتبارسنجی و سلامت به‌روزرسانی‌های نرم‌افزاری را نیز تقویت کنند، گواهی‌های دیجیتال را بی‌امان بررسی نمایند و برای پاسخ به حوادثی که منشأ آن‌ها خارج از کنترل مستقیم آن‌هاست، آماده باشند. این حمله یک نقشه راه برای تهدیدکنندگان آینده ترسیم کرده و وظیفه مدافعان را برای هوشیاری و نوآوری بیشتر سنگین‌تر نموده است.

شاخص دستکاری

یوآرال‌هایی که برای امور مخرب آپدیت Notepad++ استفاده شدند

http://45.76.155[.]202/update/update.exe
http://45.32.144[.]255/update/update.exe
http://95.179.213[.]0/update/update.exe
http://95.179.213[.]0/update/install.exe
http://95.179.213[.]0/update/AutoUpdater.exe

یوآرال‌های آپلود اطلاعات سیستم

http://45.76.155[.]202/list
https://self-dns.it[.]com/list

یوآرال‌هایی که توسط دانلودرهای Metasploit برای به کار بردن بیکن‌های  Cobalt Strike استفاده شدند

https://45.77.31[.]210/users/admin
https://cdncheck.it[.]com/users/admin
https://safe-dns.it[.]com/help/Get-Start

یوآرال‌های استفاده‌شده توسط بیکن‌های  Cobalt Strike  که آپدیت‌گرهای مخرب نوت پد آن‌ها را تحویل دادند

https://45.77.31[.]210/api/update/v1
https://45.77.31[.]210/api/FileUpload/submit
https://cdncheck.it[.]com/api/update/v1
https://cdncheck.it[.]com/api/Metadata/submit
https://cdncheck.it[.]com/api/getInfo/v1
https://cdncheck.it[.]com/api/FileUpload/submit
https://safe-dns.it[.]com/resolve
https://safe-dns.it[.]com/dns-query

آدرس‌های اینترنتی استفاده‌شده توسط بک‌دور کریسالیس و بارهای مخرب Cobalt Strike مرتبط با آن، همان‌طور که پیشتر توسط Rapid7 شناسایی شده‌اند

https://api.skycloudcenter[.]com/a/chat/s/70521ddf-a2ef-4adf-9cf0-6d8e24aaa821
https://api.wiresguard[.]com/update/v1
https://api.wiresguard[.]com/api/FileUpload/submit

آدرس‌های اینترنتی مرتبط با Cobalt Strike Beacon که در سرویس‌های چنداسکنر آپلود شده‌اند، همان‌گونه که پیشتر توسط Rapid7 شناسایی شدند

http://59.110.7[.]32:8880/uffhxpSy
http://59.110.7[.]32:8880/api/getBasicInfo/v1
http://59.110.7[.]32:8880/api/Metadata/submit
http://124.222.137[.]114:9999/3yZR31VK
http://124.222.137[.]114:9999/api/updateStatus/v1
http://124.222.137[.]114:9999/api/Info/submit
https://api.wiresguard[.]com/users/system
https://api.wiresguard[.]com/api/getInfo/v1

هش‌های مخرب updater.exe

8e6e505438c21f3d281e1cc257abdbf7223b7f5a
90e677d7ff5844407b9c073e3b7e896e078e11cd
573549869e84544e3ef253bdba79851dcde4963a
13179c8f19fbf3d8473c49983a199e6cb4f318f0
4c9aac447bf732acc97992290aa7a187b967ee2c
821c0cafb2aab0f063ef7e313f64313fc81d46cd

هش‌های فایل‌های مخرب کمکی

06a6a5a39193075734a32e0235bde0e979c27228 — load
9c3ba38890ed984a25abb6a094b5dbf052f22fa7 — load
ca4b6fe0c69472cd3d63b212eb805b7f65710d33 — alien.ini
0d0f315fd8cf408a483f8e2dd1e69422629ed9fd — alien.ini
2a476cfb85fbf012fdbe63a37642c11afa5cf020 — alien.ini

هش‌های مخرب فایل که قبل‌تر توسط Rapid7 شناسایی شدند

d7ffd7b588880cf61b603346a3557e7cce648c93
94dffa9de5b665dc51bc36e2693b8a3a0a4cc6b8
21a942273c14e4b9d3faa58e4de1fd4d5014a1ed
7e0790226ea461bcc9ecd4be3c315ace41e1c122
f7910d943a013eede24ac89d6388c1b98f8b3717
73d9d0139eaf89b7df34ceeb60e5f8c7cd2463bf
bd4915b3597942d88f319740a9b803cc51585c4a
c68d09dd50e357fd3de17a70b7724f8949441d77
813ace987a61af909c053607635489ee984534f4
9fbf2195dee991b1e5a727fd51391dcc2d7a4b16
07d2a01e1dc94d59d5ca3bdf0c7848553ae91a51
3090ecf034337857f786084fb14e63354e271c5d
d0662eadbe5ba92acbd3485d8187112543bcfbf5
9c0eff4deeb626730ad6a05c85eb138df48372ce

مسیرهای آلوده

%appdata%\ProShow\load
%appdata%\Adobe\Scripts\alien.ini
%appdata%\Bluetooth\BluetoothService

 کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.