یک ایمپلنت ماژولار از خانوادههای مختلف بدافزار الهام میگیرد تا فعالیتهای backdoor و wiper را با هم ترکیب کند تا تأثیر را به حداکثر و ردپای عملیاتی را به حداقل برساند.
یک بدافزار ماژولار جدید به مهاجمان اجازه میدهد تا ماجراجویی خود را در مورد نحوهی نابودی یک سیستم هدف انتخاب کنند.
این بدافزار که به عنوان “یک wiper درون یک backdoor ” توصیف میشود، قابلیتهای چندین بدافزار را در یک ایمپلنت واحد ترکیب میکند که به مهاجمان اجازه میدهد تا تأثیر خود را به حداکثر برسانند و در عین حال ردپای عملیاتی خود را به حداقل برسانند. طبق پستی که اخیراً در وبلاگ Microsoft Threat Intelligence (MTI) منتشر شده است، محققان در ابتدا این بدافزار را که GigaWiper نامیده میشود، در اکتبر 2025 در جریان ” destructive wiper activity” مشاهده کردند و فکر میکردند که به دنبال یک backdoor مبتنی بر Golang هستند.
با این حال، با بررسی دقیقتر، محققان متوجه شدند که GigaWiper خانوادههای بدافزار جداگانهای را ترکیب میکند و به مهاجمان این انعطافپذیری را میدهد که پس از کنترل شبکه قربانی، نحوه تخریب سیستم را از طریق دستورات backdoor درخواستی انتخاب کنند.
طبق این پست، “GigaWiper یک ایمپلنت همهکاره است که قابلیتهای قوی فرمان و کنترل (C2) را با چندین بار مخرب، از جمله پاک کردن دیسک، باجافزار جعلی و خرابکاری در سطح سیستم، ترکیب میکند.”
مایکروسافت در این پست اعلام کرد که گروه اطلاعات تهدید گوگل (Google Threat Intelligence Group) نیز GigaWiper را ردیابی میکند و آن را BlueRabbit مینامد. مایکروسافت در پست خود این بدافزار را به عامل تهدید یا کشور خاصی نسبت نداده است.
GigaWiper: یک wiper معمولی نیست.
طبق پست MTI، «ادغام چندین قابلیت مخرب در یک backdoor ماژولار، نشاندهندهی تغییر قابل توجه در بدافزارهای wiper است». wiperها معمولاً برای حملات مخربی استفاده میشوند که برای رمزگذاری یا حذف دادههای سیستمها بدون هیچ گزینهای برای بازیابی طراحی شدهاند.
GigaWiper بر خلاف سایر wiperها عمل می کند. زیرا دسترسی مداوم، کنترل از راه دور، شناسایی و قابلیتهای اجرای فرمان را مدتها قبل از فعال شدن یک payload مخرب فراهم میکند. به گفته محققین اینکار به مهاجمان اجازه میدهد تا در یک محیط وقت بگذرانند، سیستمهای حیاتی را درک کنند و در لحظه مناسب، مخربترین اقدام را انتخاب کنند. این یک تغییر برای تیمهای امنیتی است که باید تمرکز خود را از تشخیص خود رویداد پاک کردن، به شناسایی نشانههای اولیهی نفوذ در سیستم تغییر دهند.
در مجموع، این backdoor تقریباً از ۲۰ دستور پشتیبانی میکند که فعالیتهایی مانند اجرای پوسته از راه دور، مدیریت فایل، کنترل فرآیند، شناسایی سیستم، گرفتن اسکرینشات و سشن های مخفی دسکتاپ از راه دور را پوشش میدهد. در نهایت همه اینها با هدف ارائه «قابلیتهای عملیاتی گسترده» به مهاجمان انجام میشود که به یک عامل تهدید اجازه میدهد سیستمهای آلوده را کنترل کرده و قبل از انجام هرگونه اقدام مخرب، ابزارهای اضافی را مستقر کند.
سه ماژول wiper
به طور خاص، مایکروسافت سه ماژول مخرب را در GigaWiper شناسایی کرد که برای کاهش شانس سازمانها در بازیابی دادهها و داراییهای نابود شده طراحی شدهاند. این ماژولها شامل یک پاککننده دیسک خام است که دیسکهای فیزیکی را رونویسی کرده و اطلاعات پارتیشن را از بین میبرد؛ باجافزار جعلی مشتق شده از خانواده باجافزار Crucio که فایلها را با استفاده از کلیدهای تصادفی که عمداً دور انداخته میشوند رمزگذاری میکند و بازیابی را غیرممکن میسازد؛ و یک پاککننده امن چندگذر مبتنی بر FlockWiper که بارها فایلها را رونویسی میکند تا مانع بازیابی قانونی شود.
محققان دریافتند که توانایی آن در تخریب سیستمها تنها عملکرد ماژولار این بدافزار نیست. زیرساخت C2 نیز ماژولار بودن را نشان میدهد. به جای تکیه اصلی بر ارتباطات HTTP یا DNS، همانطور که معمولاً است، اپراتورها از RabbitMQ، یک پیادهسازی پروتکل صفبندی پیام پیشرفته (AMQP)، برای دریافت دستورات از سرور C2 و سرور Redis برای بهروزرسانی وضعیت و خروجی دستورات استفاده میکنند.
طبق این گزارش، «بهطور کلی، این یافتهها تکامل ابزارهای عامل نفوذ را در طول زمان نشان میدهد. عملکرد در یک backdoor قوی ادغام شده و به عامل نفوذ راههای بیشتری برای کنترل و تخریب سیستمهای آلوده میدهد.»
دفاع در برابر تخریب
بدافزار wiper با توجه به ماهیت مخرب ذاتیاش، یک تهدید سایبری ترسناک برای بسیاری از سازمانها است و مهاجمان اغلب از آن برای هدف قرار دادن زیرساختهای حیاتی، به ویژه در زمان درگیری، استفاده میکنند.
به دلیل اینکه حملات wiper چقدر میتواند مخرب باشد، کارشناسان امنیتی توصیه میکنند که سازمانها سعی کنند چنین حملهای را به طور کلی کاهش دهند. کالدرون میگوید: «به دنبال مرحله قبل از تخریب باشید، زیرا در آنجا GigaWiper واقعاً قابل شکست است.» او توصیه میکند که مدافعان به دنبال ترافیک RabbitMQ و Redis در پورتهای غیراستانداردی باشند که از محیط آنها خارج میشوند، چرا که این ترافیک یک پشته پروتکل نیست که در شبکههای سازمان به طور معمول وجود داشته باشد.
راه دیگری که مدافعان میتوانند از چنین حملاتی جلوگیری کنند، مقاومسازی شبکهها در برابر GigaWiper و بدافزارهای مشابه است. برای انجام این کار، مایکروسافت به مدافعان توصیه کرد که مراحل کاهش زیر را اجرا کنند: ویژگیهای محافظت در برابر دستکاری در تنظیمات آنتی ویروس سازمان فعال و بررسی کنید تا از متوقف کردن سرویسهای امنیتی یا استفاده از استثنائات آنتیویروس (AV) توسط مهاجمان جلوگیری شود؛ صورت امکان، دسترسی مستقیم به زیرساختهای شناختهشده C2 را که توسط منابع اطلاعاتی تهدید سازمان شما اطلاع داده شده است، مسدود کنید.
علاوه بر این، با استفاده از راهکارهای مبتنی بر هوش مصنوعی و اطلاعات تهدید می توان ابزارها و تکنیکهای مهاجم را که به سرعت در حال تکامل هستند، پوشش دهند. طبق گفته مایکروسافت، سازمانها همچنین باید از اجرای فایلهای اجرایی جلوگیری کنند، مگر اینکه مطابق با معیارهای امنیتی یا فهرست قابل اعتماد باشند.
منبع: