پشتیبانی 24/7 :

031-36691964 | 021-88203003

Search
GigaWiper به عاملان تهدید اجازه می‌دهد حمله مخرب خود را انتخاب کنند

GigaWiper به عاملان تهدید اجازه می‌دهد حمله مخرب خود را انتخاب کنند!

تیتر مطالب

یک ایمپلنت ماژولار از خانواده‌های مختلف بدافزار الهام می‌گیرد تا فعالیت‌های backdoor و wiper را با هم ترکیب کند تا تأثیر را به حداکثر و ردپای عملیاتی را به حداقل برساند.

یک بدافزار ماژولار جدید به مهاجمان اجازه می‌دهد تا ماجراجویی خود را در مورد نحوه‌ی نابودی یک سیستم هدف انتخاب کنند.

این بدافزار که به عنوان “یک wiper درون یک backdoor ” توصیف می‌شود، قابلیت‌های چندین بدافزار را در یک ایمپلنت واحد ترکیب می‌کند که به مهاجمان اجازه می‌دهد تا تأثیر خود را به حداکثر برسانند و در عین حال ردپای عملیاتی خود را به حداقل برسانند. طبق پستی که اخیراً در وبلاگ Microsoft Threat Intelligence (MTI) منتشر شده است، محققان در ابتدا این بدافزار را که GigaWiper نامیده می‌شود، در اکتبر 2025 در جریان ” destructive wiper activity” مشاهده کردند و فکر می‌کردند که به دنبال یک backdoor مبتنی بر Golang هستند.

با این حال، با بررسی دقیق‌تر، محققان متوجه شدند که GigaWiper خانواده‌های بدافزار جداگانه‌ای را ترکیب می‌کند و به مهاجمان این انعطاف‌پذیری را می‌دهد که پس از کنترل شبکه قربانی، نحوه تخریب سیستم را از طریق دستورات backdoor درخواستی انتخاب کنند.

طبق این پست، “GigaWiper یک ایمپلنت همه‌کاره است که قابلیت‌های قوی فرمان و کنترل (C2) را با چندین بار مخرب، از جمله پاک کردن دیسک، باج‌افزار جعلی و خرابکاری در سطح سیستم، ترکیب می‌کند.”

مایکروسافت در این پست اعلام کرد که گروه اطلاعات تهدید گوگل (Google Threat Intelligence Group) نیز GigaWiper را ردیابی می‌کند و آن را BlueRabbit می‌نامد. مایکروسافت در پست خود این بدافزار را به عامل تهدید یا کشور خاصی نسبت نداده است.
GigaWiper: یک wiper معمولی نیست.

طبق پست MTI، «ادغام چندین قابلیت مخرب در یک backdoor ماژولار، نشان‌دهنده‌ی تغییر قابل توجه در بدافزارهای wiper است». wiperها معمولاً برای حملات مخربی استفاده می‌شوند که برای رمزگذاری یا حذف داده‌های سیستم‌ها بدون هیچ گزینه‌ای برای بازیابی طراحی شده‌اند.

GigaWiper بر خلاف سایر wiperها عمل می کند. زیرا دسترسی مداوم، کنترل از راه دور، شناسایی و قابلیت‌های اجرای فرمان را مدت‌ها قبل از فعال شدن یک payload مخرب فراهم می‌کند. به گفته محققین اینکار به مهاجمان اجازه می‌دهد تا در یک محیط وقت بگذرانند، سیستم‌های حیاتی را درک کنند و در لحظه مناسب، مخرب‌ترین اقدام را انتخاب کنند. این یک تغییر برای تیم‌های امنیتی است که باید تمرکز خود را از تشخیص خود رویداد پاک کردن، به شناسایی نشانه‌های اولیه‌ی نفوذ در سیستم تغییر دهند.

در مجموع، این backdoor تقریباً از ۲۰ دستور پشتیبانی می‌کند که فعالیت‌هایی مانند اجرای پوسته از راه دور، مدیریت فایل، کنترل فرآیند، شناسایی سیستم، گرفتن اسکرین‌شات و سشن های مخفی دسکتاپ از راه دور را پوشش می‌دهد. در نهایت همه این‌ها با هدف ارائه «قابلیت‌های عملیاتی گسترده» به مهاجمان انجام می‌شود که به یک عامل تهدید اجازه می‌دهد سیستم‌های آلوده را کنترل کرده و قبل از انجام هرگونه اقدام مخرب، ابزارهای اضافی را مستقر کند.

سه ماژول wiper

به طور خاص، مایکروسافت سه ماژول مخرب را در GigaWiper شناسایی کرد که برای کاهش شانس سازمان‌ها در بازیابی داده‌ها و دارایی‌های نابود شده طراحی شده‌اند. این ماژول‌ها شامل یک پاک‌کننده دیسک خام است که دیسک‌های فیزیکی را رونویسی کرده و اطلاعات پارتیشن را از بین می‌برد؛ باج‌افزار جعلی مشتق شده از خانواده باج‌افزار Crucio که فایل‌ها را با استفاده از کلیدهای تصادفی که عمداً دور انداخته می‌شوند رمزگذاری می‌کند و بازیابی را غیرممکن می‌سازد؛ و یک پاک‌کننده امن چندگذر مبتنی بر FlockWiper که بارها فایل‌ها را رونویسی می‌کند تا مانع بازیابی قانونی شود.

محققان دریافتند که توانایی آن در تخریب سیستم‌ها تنها عملکرد ماژولار این بدافزار نیست. زیرساخت C2 نیز ماژولار بودن را نشان می‌دهد. به جای تکیه اصلی بر ارتباطات HTTP یا DNS، همانطور که معمولاً است، اپراتورها از RabbitMQ، یک پیاده‌سازی پروتکل صف‌بندی پیام پیشرفته (AMQP)، برای دریافت دستورات از سرور C2 و سرور Redis برای به‌روزرسانی وضعیت و خروجی دستورات استفاده می‌کنند.

طبق این گزارش، «به‌طور کلی، این یافته‌ها تکامل ابزارهای عامل نفوذ را در طول زمان نشان می‌دهد. عملکرد در یک backdoor قوی ادغام شده و به عامل نفوذ راه‌های بیشتری برای کنترل و تخریب سیستم‌های آلوده می‌دهد.»

دفاع در برابر تخریب

بدافزار wiper با توجه به ماهیت مخرب ذاتی‌اش، یک تهدید سایبری ترسناک برای بسیاری از سازمان‌ها است و مهاجمان اغلب از آن برای هدف قرار دادن زیرساخت‌های حیاتی، به ویژه در زمان درگیری، استفاده می‌کنند.

به دلیل اینکه حملات wiper چقدر می‌تواند مخرب باشد، کارشناسان امنیتی توصیه می‌کنند که سازمان‌ها سعی کنند چنین حمله‌ای را به طور کلی کاهش دهند. کالدرون می‌گوید: «به دنبال مرحله قبل از تخریب باشید، زیرا در آنجا GigaWiper واقعاً قابل شکست است.» او توصیه می‌کند که مدافعان به دنبال ترافیک RabbitMQ و Redis در پورت‌های غیراستانداردی باشند که از محیط آنها خارج می‌شوند، چرا که این ترافیک یک پشته پروتکل نیست که در شبکه‌های سازمان به طور معمول وجود داشته باشد.

راه دیگری که مدافعان می‌توانند از چنین حملاتی جلوگیری کنند، مقاوم‌سازی شبکه‌ها در برابر GigaWiper و بدافزارهای مشابه است. برای انجام این کار، مایکروسافت به مدافعان توصیه کرد که مراحل کاهش زیر را اجرا کنند: ویژگی‌های محافظت در برابر دستکاری در تنظیمات آنتی ویروس سازمان فعال و بررسی کنید تا از متوقف کردن سرویس‌های امنیتی یا استفاده از استثنائات آنتی‌ویروس (AV) توسط مهاجمان جلوگیری شود؛ صورت امکان، دسترسی مستقیم به زیرساخت‌های شناخته‌شده C2 را که توسط منابع اطلاعاتی تهدید سازمان شما اطلاع داده شده است، مسدود کنید.

علاوه بر این، با استفاده از راهکارهای مبتنی بر هوش مصنوعی و اطلاعات تهدید می توان ابزارها و تکنیک‌های مهاجم را که به سرعت در حال تکامل هستند، پوشش دهند. طبق گفته مایکروسافت، سازمان‌ها همچنین باید از اجرای فایل‌های اجرایی جلوگیری کنند، مگر اینکه مطابق با معیارهای امنیتی یا فهرست قابل اعتماد باشند.

 

منبع:

darkreading