حملات پیشرفته با Remcos RAT و لودر .NET؛ گسترش بدافزارها با PowerShell، فیشینگ و استگانوگرافی

پژوهشگران امنیت سایبری از کشف کمپین بدافزاری جدیدی خبر دادند که از لودر شل‌کد مبتنی بر PowerShell برای اجرای نسخه بدون فایل تروجان دسترسی از راه دور Remcos RAT بهره می‌برد.

جزئیات حمله

این کمپین فایل‌های مخرب LNK را که درون آرشیوهای ZIP جاسازی شده و اغلب به شکل اسناد آفیس ظاهر می‌شوند، توزیع می‌کند. زنجیره حمله از ابزار mshta.exe، برنامه‌ای رسمی از مایکروسافت برای اجرای اپلیکیشن‌های HTML (HTA)، برای اجرای پروکسی در مرحله اولیه استفاده می‌کند. مهاجمان با طعمه‌های مرتبط با حوزه مالیات، کاربران را فریب می‌دهند تا آرشیو ZIP مخرب حاوی فایل میانبر LNK را باز کنند.

فایل LNK ابزار mshta.exe را فعال می‌کند تا فایل HTA مبهم‌سازی‌شده‌ای به نام xlab22.hta را از سرور راه دور اجرا کند. این فایل HTA شامل کد VBScript است که یک اسکریپت PowerShell، یک فایل PDF فریب‌دهنده و فایل HTA دیگری به نام 311.hta را دانلود می‌کند. فایل xlab22.hta همچنین رجیستری ویندوز را طوری تغییر می‌دهد تا فایل 311.hta در هنگام راه‌اندازی سیستم به‌طور خودکار اجرا شود.

اسکریپت PowerShell لودر شل‌کدی را رمزگشایی و بازسازی می‌کند که نسخه بدون فایل Remcos RAT را مستقیما در حافظه سیستم اجرا می‌کند. این روش ردپای اندکی روی دیسک باقی می‌گذارد و شناسایی توسط راهکارهای امنیتی سنتی را دشوار می‌کند.

بدافزار Remcos RAT

Remcos RAT بدافزاری شناخته‌شده است که امکان کنترل کامل سیستم‌های آلوده را فراهم می‌کند و برای جاسوسی سایبری و سرقت داده‌ها مناسب است. این بدافزار، یک فایل اجرایی ۳۲ بیتی نوشته‌شده با Visual Studio C++ 8، دارای ساختاری ماژولار است و قابلیت‌هایی مانند جمع‌آوری اطلاعات سیستم، ثبت کلیدهای فشرده‌شده، گرفتن اسکرین‌شات، نظارت بر کلیپ‌بورد و استخراج فهرست برنامه‌های نصب‌شده و فرآیندهای در حال اجرا را دارد. این تروجان از طریق ارتباط TLS با سرور فرمان و کنترل (C2) به آدرس readysteaurants[.]com، کانالی پایدار برای استخراج داده‌ها و دریافت دستورات ایجاد می‌کند.

این روش حمله برای مهاجمان جذاب است، زیرا اجرای کد مخرب در حافظه امکان دور زدن بسیاری از راهکارهای امنیتی سنتی را فراهم می‌کند. افزایش حملات مبتنی بر PowerShell، مانند این نسخه از Remcos RAT، نشان‌دهنده تلاش مهاجمان برای تکامل و عبور از دفاع‌های متعارف است. استفاده از فایل‌های LNK و ابزار mshta.exe برای اجرای اسکریپت‌های مبهم‌سازی‌شده PowerShell، شناسایی این تهدیدات را دشوارتر می‌کند.

این کمپین اولین مورد استفاده از نسخه بدون فایل Remcos RAT نیست. در نوامبر ۲۰۲۴، آزمایشگاه FortiGuard از شرکت Fortinet کمپین فیشینگ مشابهی را گزارش داد که با طعمه‌های مرتبط با سفارش کالا، این بدافزار را توزیع می‌کرد.

توصیه امنیتی

رشد حملات مبتنی بر PowerShell مانند نسخه جدید Remcos RAT نشان می‌دهد که مهاجمان سایبری در حال تطبیق و تحول برای دور زدن راهکارهای امنیتی سنتی هستند.

کارشناسان توصیه کردند که سازمان‌ها از راهکارهای پیشرفته امنیت ایمیل برای شناسایی و مسدودسازی پیوست‌های مخرب LNK قبل از رسیدن به کاربران استفاده کنند. همچنین، اسکن بلادرنگ دستورات PowerShell برای شناسایی رفتارهای مشکوک ضروری است.

افشاگری لودر جدید مبتنی بر .NET

همزمان، پژوهشگران از شرکت‌های Unit 42 (Palo Alto Networks) و Threatray لودر جدیدی مبتنی بر .NET را شناسایی کردند که برای اجرای بدافزارهای سرقت اطلاعات و تروجان‌هایی مانند Agent Tesla، NovaStealer، Remcos RAT، VIPKeylogger، XLoader، و XWorm استفاده می‌شود. این لودر سه‌مرحله‌ای شامل فایل اجرایی .NET، یک DLL برای رمزگشایی و DLL دیگری برای استقرار بدافزار است. نسخه‌های جدیدتر این لودر از تصاویر بیت‌مپ برای پنهان‌سازی داده‌های مخرب با تکنیک استگانوگرافی استفاده می‌کنند تا از شناسایی جلوگیری کنند.

این یافته‌ها با ظهور کمپین‌های فیشینگ و مهندسی اجتماعی جدیدی همزمان شده که برای سرقت اطلاعات احراز هویت و توزیع بدافزار طراحی شده‌اند:

• استفاده از نسخه‌های تروجان‌شده نرم‌افزار KeePass (با اسم رمز KeeLoader) برای نصب Cobalt Strike و سرقت اطلاعات پایگاه داده KeePass. این نصب‌کننده‌ها در دامنه‌های تایپواسکات و از طریق تبلیغات Bing توزیع می‌شوند.
• بهره‌گیری از طعمه‌های ClickFix و URLهای جاسازی‌شده در فایل‌های PDF برای نصب بدافزار Lumma Stealer.
• استفاده از اسناد مخرب Microsoft Office برای توزیع Formbook، که توسط سرویس Horus Protector محافظت می‌شود.
• استفاده از آدرس‌های blob URI برای بارگذاری صفحات فیشینگ از طریق ایمیل، با هدایت کاربران به سایت‌های مخرب از طریق صفحات سفیدشده مانند onedrive.live[.]com.
• توزیع NetSupport RAT از طریق آرشیوهای RAR جعلی در حملاتی علیه اوکراین و لهستان.
• استفاده از پیوست‌های HTML در ایمیل‌های فیشینگ برای سرقت اطلاعات احراز هویت Outlook، Hotmail و Gmail و ارسال آن‌ها به بات تلگرامی Blessed logs که از فوریه ۲۰۲۵ فعال است.

علاوه بر موارد ذکرشده، استفاده از کمپین‌های بدافزاری مبتنی بر هوش مصنوعی نیز رو به افزایش است؛ این کمپین‌ها از تکنیک‌های پُلی‌مورفیک بهره می‌برند که با تغییرات بلادرنگ در ساختار خود، مانند تغییر موضوع ایمیل، نام فرستنده و محتوای پیام، تلاش می‌کنند از سامانه‌های شناسایی مبتنی بر امضا عبور کنند.

به گفته کارشناسان، هوش مصنوعی به مهاجمان این امکان را داده تا فرآیند توسعه بدافزار را خودکار کرده، حملات را در مقیاس گسترده اجرا کنند و پیام‌های فیشینگ را با دقت بالا برای اهداف خاص تنظیم نمایند. این تهدیدهای نوظهور با عبور از فیلترهای سنتی ایمیل، ضعف دفاعات محیطی را آشکار کرده‌اند و بر لزوم بهره‌گیری از روش‌های شناسایی پس از تحویل تأکید می‌ورزند. در چنین شرایطی، مهاجمان با استفاده از تکنیک‌های پُلی‌مورفیک می‌توانند پیام‌هایی طراحی کنند که نه‌تنها شناسایی آن‌ها دشوار است، بلکه مقابله با آن‌ها نیز به‌مراتب پیچیده‌تر خواهد بود.

منابع: