بدافزار جدید ChaosBot با سوءاستفاده از Cisco VPN و Active Directory شبکه‌های سازمانی را هدف قرار داده است

بدافزار پیچیده و مبتنی بر زبان برنامه‌نویسی Rust به نام ChaosBot در اواخر سپتامبر ۲۰۲۵ ظهور کرده و شبکه‌های سازمانی را هدف قرار داده است. این بدافزار که به دلیل استفاده از پلتفرم Discord برای عملیات فرماندهی و کنترل (C2) خود مورد توجه قرار گرفته، از ترکیبی نوآورانه از سوءاستفاده از اعتبارنامه‌ها و تکنیک‌های مخفی‌کاری استفاده می‌کند تا دسترسی‌های سیستمی طولانی‌مدتی در شبکه قربانی به دست آورد.

روش‌های نفوذ و هدف‌گیری

مهاجمان پشت ChaosBot با بهره‌گیری از دو بردار اصلی حمله، به شبکه‌ها دسترسی پیدا می‌کنند:

1. سوءاستفاده از اعتبارنامه‌های VPN و Active Directory: نفوذ اولیه با استفاده از اعتبارنامه‌های به خطر افتاده Cisco VPN و حساب‌های سرویس Active Directory (AD) با امتیازات بالا انجام می‌شود. این ترکیب به مهاجمان اجازه می‌دهد تا با استفاده از WMI (Windows Management Instrumentation)، بدافزار را از راه دور و به صورت گسترده در شبکه توزیع کنند.

2. لینک‌های مخرب (Shortcuts) در ایمیل‌های فیشینگ: این بدافزار همچنین از طریق ایمیل‌های فیشینگ حاوی فایل‌های میان‌بر (.lnk) مخرب منتشر می‌شود. این فایل‌ها با اجرای یک دستور PowerShell، ضمن نمایش یک فایل PDF فریبنده برای منحرف کردن کاربر، بدافزار را دانلود و اجرا می‌کنند.

سازوکار و مخفی‌کاری ChaosBot

ChaosBot یک ابزار قدرتمند برای اجرای دستورات شبکه‌ای و حفظ پایداری است:

• اجرای بدافزار: این بدافزار به صورت مخفیانه و با استفاده از تکنیک "Side-Loading" در سیستم مستقر می‌شود. مهاجمان از مؤلفه قانونی Microsoft Edge با نام identity_helper.exe استفاده می‌کنند تا در واقع فایل مخرب msedge_elf.dll را اجرا کنند.

• فرماندهی و کنترل (C2) از طریق Discord: ChaosBot از پلتفرم دیسکورد برای دریافت دستورات و ارسال نتایج استفاده می‌کند. این بدافزار با اعتبار سنجی توکن خود، یک کانال اختصاصی در Discord با نام میزبان قربانی ایجاد کرده و دستورات شل را از طریق پیام‌های دیسکورد دریافت و اجرا می‌کند. خروجی دستورات، اسکرین‌شات‌ها و فایل‌های استخراج شده نیز از همین طریق به مهاجم ارسال می‌شوند.

• حفظ پایداری با Fast Reverse Proxy (FRP): برای تضمین دسترسی طولانی‌مدت، ChaosBot یک تونل پروکسی معکوس (FRP) راه‌اندازی می‌کند. این تونل از طریق یک پورت مخفی (معمولاً ۷۰۰۰) به یک میزبان راه دور AWS متصل می‌شود و یک کانال ارتباطی پنهان ایجاد می‌کند که از دفاعیات محیطی شبکه عبور می‌کند.

توصیه های امنیتی و اقدامات پیشگیرانه

ترکیب بهره‌برداری از اعتبارنامه‌ها و استفاده از سرویس‌های مشروع برای C2، شناسایی و حذف ChaosBot را دشوار می‌کند. برای محافظت از شبکه‌های خود، سازمان‌ها باید فوراً اقدامات زیر را در اولویت قرار دهند:

• مدیریت اعتبارنامه‌ها: سیاست‌های رمز عبور را تقویت کرده و استفاده از احراز هویت چند عاملی (MFA) را برای دسترسی‌های VPN و حساب‌های Active Directory، به ویژه حساب‌های سرویس با امتیاز بالا، اجباری کنید.

• کاهش امتیازات: اطمینان حاصل کنید که حساب‌های سرویس AD، حداقل امتیازات لازم برای انجام وظایف خود را دارند و از دسترسی بیش از حد جلوگیری شود.

• نظارت بر ترافیک DNS و شبکه: ترافیک خروجی مشکوک به آدرس‌های ابری مانند AWS را به دقت نظارت کنید، به ویژه ترافیک غیرمعمول در پورت‌هایی مانند ۷۰۰۰ که توسط FRP استفاده می‌شود.

• آموزش فیشینگ: کاربران را در مورد خطرات فایل‌های میان‌بر (.lnk) در پیوست‌های ایمیل‌های ناخواسته یا مشکوک آموزش دهید تا از بردار حمله فیشینگ جلوگیری شود.