بدافزار BellaCPP، نوع C++ بدافزار BellaCiao گروه ایرانی Charming Kitten
اخبار داغ فناوری اطلاعات و امنیت شبکه
محققان کسپرسکی هشدار دادند که گروه APT ایرانی Charming Kitten با استفاده از نوع جدیدی از بدافزار BellaCiao بر پایه C++ و با نام BellaCPP مشغول پیشبرد حملات خود است.
بدافزار BellaCiao، یک بدافزار مبتنی بر دات نت است که پایداری webshell را با تونلینگ مخفی ترکیب میکند. کد مخرب اولین بار آن در آوریل ۲۰۲۳ توسط Bitdefender مشاهده شد که مسیرهای PDB آن اطلاعات ترزشمندی از جمله یک طرح نسخهسازی را نشان میدهد.
اخیراً Kaspersky یک نمونه بدافزار BellaCiao را در رایانهای در آسیا به همراه یک C++ مربوط به یک نسخه قدیمی BellaCiao کشف کرده است.
مسیرهای PDB بدافزار BellaCiao جزئیات کلیدی را در مورد این کمپین، از جمله نهادها و کشورها نشان میدهد. همه مسیرها شامل «MicrosoftAgentServices» هستند، که گاهی اوقات با اعداد صحیح نسخهسازی میشوند (به عنوان مثال، «MicrosoftAgentServices2»)، که احتمالاً توسط توسعهدهندگان برای ردیابی بروزرسانیها و حفظ ساختار اساسی بدافزار در حال تکامل برای عملیات این گروه APT استفاده میشود.
در گزارش منتشر شده توسط کسپرسکی آمده است: «بدافزار BellaCPP در همان دستگاه آلوده به بدافزار BellaCiao مبتنی بر دات نت یافت شد. این یک فایل DLL با نام «adhapl. dll» است که در C++ توسعه یافته و در C:\Windows\System32 قرار دارد. این یک فانکشن خروجی به نام «ServiceMain» دارد. نام و ثبت هندلر کنترل نشان میدهد که مشابه نمونههای اصلی BellaCiao، این نوع نیز برای اجرا به عنوان یک سرویس برای ویندوز طراحی شده است».
بدافزار BellaCiao مبتنی بر دات نت رفتاری مشابه نسخههای قبلی از خود نشان میدهد، از جمله:
• رمزگشایی استرینگها برای مسیر DLL، فانکشنهای («SecurityUpdate» و «CheckDNSRecords») با استفاده از رمزگذاری XOR.
• لودینگ DLL و حل آدرسهای فانکشن.
• ایجاد یک دامنه در قالب <5 random letters <target identifier>.<country code>.systemupdate[.]info.
• اعتبارسنجی IP دامنه در برابر یک آدرس رمزگذاری شده و فراخوانی فانکشن «SecurityUpdate» با آرگومانهای خاص.
با وجود شباهتها، تفاوتها شامل الگوهای تولید دامنه و تونلینگ ورکفلو SSH در نسخههای NET است. از دیگر سو، تجزیه و تحلیل DLL مهم (D3D12_1core.dll) به دلیل در دسترس نبودن آن ناقص است.
این گزارش میافزاید: «بر اساس پارامترهای شناسایی شده و عملکرد شناخته شده BellaCiao، ما با اطمینان متوسط ارزیابی میکنیم که DLL گم شده یک تونل SSH ایجاد میکند. با این حال، بر خلاف webshell پاورشل که در نمونههای قدیمیتر BellaCiao مشاهده کردیم، نمونه BellaCPP فاقد یک webshell هاردکد شده است».
بدافزار BellaCPP احتمالاً به عامل تهدید Charming Kitten مرتبط است، زیرا نمونههای BellaCiao را به شکل C++ بدون عملکرد webshell منعکس میکند، از دامنههای مرتبط با این مهاجم استفاده میکند، از روشهای تولید دامنه مشابه بهره میبرد و در یک سیستم در کنار نمونه قدیمیتر BellaCiao کشف و شناسایی شده است.
این گزارش در انتها میافزاید: «گروه ایرانی Charming Kitten همزمان با استفاده از ابزارهای در دسترس عموم، زیرساخت ابزار تهاجم سایبری خانواده بدافزارهای خود را بهبود میبخشد. کشف نمونه BellaCPP اهمیت انجام تحقیقات کامل در مورد شبکه و ماشینهای موجود در آن را نیز برجسته میکند. مهاجمان میتوانند نمونههای ناشناختهای را که ممکن است توسط راهحلهای امنیتی شناسایی نشوند، در دستگاه کاربران قربانی مستقر کنند، بنابراین پس از حذف نمونههای «شناخته شده»، استقرار خود را در شبکه حفظ میکنند و خود را در شبکه قربانی به پایداری میرسانند».
برچسب ها: MicrosoftAgentServices, BellaCPP, Cyberspy, چارمینگ کیتن, BellaCiao, تونلینگ, webshell, Iran, Tunneling, .NET, cybersecurity, ایران, آسیبپذیری, windows, Vulnerability, ویندوز, malware, Charming Kitten, جاسوسی سایبری, بدافزار, امنیت سایبری, جنگ سایبری, Cyber Attacks, حمله سایبری, news