IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

بدافزار BellaCPP، نوع C++ بدافزار BellaCiao گروه ایرانی Charming Kitten

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian.ir bellacpp charming kittens bellaciao variant written in c

محققان کسپرسکی هشدار دادند که گروه APT ایرانی Charming Kitten با استفاده از نوع جدیدی از بدافزار BellaCiao بر پایه C++ و با نام BellaCPP مشغول پیش‌برد حملات خود است.

بدافزار BellaCiao، یک بدافزار مبتنی بر دات نت است که پایداری webshell را با تونلینگ مخفی ترکیب می‌کند. کد مخرب اولین بار آن در آوریل ۲۰۲۳ توسط Bitdefender مشاهده شد که مسیرهای PDB آن اطلاعات ترزشمندی از جمله یک طرح نسخه‌سازی را نشان می‌دهد.

اخیراً Kaspersky یک نمونه بدافزار BellaCiao را در رایانه‌ای در آسیا به همراه یک C++ مربوط به یک نسخه قدیمی BellaCiao کشف کرده است.

مسیرهای PDB بدافزار BellaCiao جزئیات کلیدی را در مورد این کمپین، از جمله نهادها و کشورها نشان می‌دهد. همه مسیرها شامل «MicrosoftAgentServices» هستند، که گاهی اوقات با اعداد صحیح نسخه‌سازی می‌شوند (به عنوان مثال، «MicrosoftAgentServices2»)، که احتمالاً توسط توسعه‌دهندگان برای ردیابی بروزرسانی‌ها و حفظ ساختار اساسی بدافزار در حال تکامل برای عملیات این گروه APT استفاده می‌شود.

در گزارش منتشر شده توسط کسپرسکی آمده است: «بدافزار BellaCPP در همان دستگاه آلوده به بدافزار BellaCiao مبتنی بر دات نت یافت شد. این یک فایل DLL با نام «adhapl. dll» است که در C++ توسعه یافته و در C:\Windows\System32 قرار دارد. این یک فانکشن خروجی به نام «ServiceMain» دارد. نام و ثبت هندلر کنترل نشان می‌دهد که مشابه نمونه‌های اصلی BellaCiao، این نوع نیز برای اجرا به عنوان یک سرویس برای ویندوز طراحی شده است».

بدافزار BellaCiao مبتنی بر دات نت رفتاری مشابه نسخه‌های قبلی از خود نشان می‌دهد، از جمله:

• رمزگشایی استرینگ‌ها برای مسیر DLL، فانکشن‌های («SecurityUpdate» و «CheckDNSRecords») با استفاده از رمزگذاری XOR.
• لودینگ DLL و حل آدرس‌های فانکشن.
• ایجاد یک دامنه در قالب <5 random letters <target identifier>.<country code>.systemupdate[.]info.
• اعتبارسنجی IP دامنه در برابر یک آدرس رمزگذاری شده و فراخوانی فانکشن «SecurityUpdate» با آرگومان‌های خاص.

با وجود شباهت‌ها، تفاوت‌ها شامل الگوهای تولید دامنه و تونلینگ ورک‌فلو SSH در نسخه‌های NET است. از دیگر سو، تجزیه و تحلیل DLL مهم (D3D12_1core.dll) به دلیل در دسترس نبودن آن ناقص است.

این گزارش می‌افزاید: «بر اساس پارامترهای شناسایی شده و عملکرد شناخته شده BellaCiao، ما با اطمینان متوسط ​​ارزیابی می‌کنیم که DLL گم شده یک تونل SSH ایجاد می‌کند. با این حال، بر خلاف webshell پاورشل که در نمونه‌های قدیمی‌تر BellaCiao مشاهده کردیم، نمونه BellaCPP فاقد یک webshell هاردکد شده است».

بدافزار BellaCPP احتمالاً به عامل تهدید Charming Kitten مرتبط است، زیرا نمونه‌های BellaCiao را به شکل C++ بدون عملکرد webshell منعکس می‌کند، از دامنه‌های مرتبط با این مهاجم استفاده می‌کند، از روش‌های تولید دامنه مشابه بهره می‌برد و در یک سیستم در کنار نمونه قدیمی‌تر BellaCiao کشف و شناسایی شده است.

این گزارش در انتها می‌افزاید: «گروه ایرانی Charming Kitten همزمان با استفاده از ابزارهای در دسترس عموم، زیرساخت ابزار تهاجم سایبری خانواده بدافزارهای خود را بهبود می‌بخشد. کشف نمونه BellaCPP اهمیت انجام تحقیقات کامل در مورد شبکه و ماشین‌های موجود در آن را نیز برجسته می‌کند. مهاجمان می‌توانند نمونه‌های ناشناخته‌ای را که ممکن است توسط راه‌حل‌های امنیتی شناسایی نشوند، در دستگاه کاربران قربانی مستقر کنند، بنابراین پس از حذف نمونه‌های «شناخته شده»، استقرار خود را در شبکه حفظ می‌کنند و خود را در شبکه قربانی به پایداری می‌رسانند».

برچسب ها: MicrosoftAgentServices, BellaCPP, Cyberspy, چارمینگ کیتن, BellaCiao, تونلینگ, webshell, Iran, Tunneling, .NET, cybersecurity, ایران, آسیب‌پذیری, windows, Vulnerability, ویندوز, malware, Charming Kitten, جاسوسی سایبری, بدافزار, امنیت سایبری, جنگ سایبری, Cyber Attacks, حمله سایبری, news

چاپ ایمیل