وبلاگ

فیشینگ چندلایه که کارشناسان امنیتی را غافلگیر کرد

کمپین فیشینگ
03مه

تهدید نوظهوری به نام “Cascading Shadows” (کمپین فیشینگ) در سکوت کامل امنیت سایبری را به لرزه انداخت. این کمپین پیچیده و چندمرحله ای، که نخستین بار توسط واحد تحقیقات Unit 42 شرکت Palo Alto Networks شناسایی شد، نشان دهنده چرخش استراتژیک تهدید کنندگان به سمت حملاتی با ساختار چند لایه، تزریق فرآیندی و تکیه بر ابزارهای قانونی سیستم عامل است.

نقطه شروع: یک ایمیل ساده، اما مهندسی شده

همه چیز با یک ایمیل آغاز می شود. پیامی معمولی به زبان کرواتی که ظاهرا از یک مشتری یا همکار تجاری ارسال شده و حاوی درخواست فوری بررسی فاکتور است. پیوست این ایمیل، یک فایل فشرده 7z است که در نگاه اول هیچ زنگ خطری را به صدا در نمی آورد.

اما در دل این فایل، است تروا خفته است: یک فایل رمزگذاری شده JavaScript با پسوند Js

زنجیره آبشاری: حمله ای در قالب چندمرحله مجزا

برخلاف بسیاری از حملات رایج که صرفا بر اجرای یک فایل اجرایی مخرب تکیه دارند، Cascading Shadows از زنجیره ای از ابزارها و تکنیک های بهم پیوسته بهره می برد:

  1. اجرای فایل Js باعث فعال سازی یک اسکریپت PowerShell می شود.
  2. این اسکریپت، payload مخربی را از یک دامنه عمومی (مانند catbox[0]moe) بارگیری می کند.
  3. پس از آن، دو مسیر مختلف برای تزریق بدافزار طی می شود:
  • مسیر اول: استفاده از فایل اجرایی .NET برای تزریق کد به RegAsm.exe
  • مسیر دوم: استفاده از Autolt برای بارگذاری Shellcode در RegSvcs.exe

در هر دوحالت، payload نهایی به حافظه فرآیند های معتبر ویندوز تزریق می شود تا از چشم ابزارهای آنتی ویروس پنهان بماند.

هنرپنهان کاری: وقتی سادگی، خطرناک می شود

آنچه این حمله را به شدت خطرناک می سازد، نه لزوما پیچیدگی فنی، بلکه سادگی طراحی در کنار هوشمندی معماری آن است. هیچ استفاده ای از مبهم سازی (Obfuscation) شدید نشده. بلکه هر مرحله آنقدر بی گناه و معمولی به نظر می رسد که ابزارهای امنیتی سنتی را فریب می دهد.

این یعنی تهدید در سایه ها حرکت می کند-بی صدا، نامرئی اما مرگبار.

سلاح های نهایی: بدافزارهایی برای جاسوسی، سرقت و کنترل 

ذر این کمپین، چند نمونه بدافزار شناخته شده به عنوان payload نهایی مورد استفاده قرار گرفته اند:

  • Agent Tesla: بدافزار محبوب برای سرقت رمزها، داده های کلیپ بورد، ثبت کلید های فشرده شده.
  • XLoader: یک تروجان پیشرفته برای سرقت داده های مالی و بارگذاری ابزارهای مخرب دیگر.
  • Remcos RAT: یک ابزار دسترسی از راه دور که به مهاجم اجازه کنترل کامل سیستم قربانی را می دهد.

درس های کلیدی: امنیت باید تطبیقی باشد

حمله Cascading Shadows یک زنگ خطر جدی برای سازمان ها و تیم های امنیتی است. این حمله نشان می دهد که تکیه بر ابزارهای سنتی تشخیص امضا یا رفتارهای ساده کافی نیست. امنیت باید تطبیقی، رفتاری و چندلایه باشد.

اقدامات پیشنهادی:

  • آموزش کارمندان برای شناسایی فیشینگ های ظاهرا بی خطر
  • نظارت پیشرفته روی فرآیند های سیستمی و رفتارهای مشکوک
  • استفاده از راهکار های XDR(Extended Detection and Response) برای تحلیل پیوسته حافظه و ترافیک شبکه

سخن پایانی 

در دنیای سایبری امروز، تهدید ها فقط از دل کدهای مبهم و پیچیده نمی آید. گاهی یک ایمیل ساده با پیوستی به ظاهر بی ضرر، کافی است تا زنجیره ای از سایه ها را به حرکت در آورد. سایه هایی که اگر دیده نشوند، به فاجعه منتهی خواهند شد.

نت یک Netyek

منبع:cybersecuritynews

برچسب ها:
, ,
جدیدتر5 دستور لینوکس که می توانند سیستم شمارا از مرگ نجات دهند
بازگشت به لیست
قدیمی ترهشدار فوری: هک گوشی شما با اسمیشینگ کمتر از 24 ساعت !

مطالب مرتبط

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *