در تحقیقات جدید انجام شده توسط شرکت Trellix، مشخص شده است که هکرها به طور فزایندهای از تکنیکهای پیشرفتهای مانند XWorm 7.1 و Remcos RAT برای نفوذ به سیستمها و سرقت اطلاعات استفاده میکنند. این بدافزارها به طور خاص از ابزارهای ویندوز برای مخفیسازی و عبور از سیستمهای امنیتی بهره میبرند. یکی از ویژگیهای مهم این حملات، استفاده از بدافزار بدون فایل (Fileless Malware) است که از حافظه سیستم برای پنهان شدن استفاده میکند و شناسایی آنها را بسیار دشوارتر میسازد. در این گزارش، به بررسی نحوه عملکرد XWorm 7.1 و Remcos RAT و چگونگی استفاده از ابزارهای ویندوز برای مخفیسازی این بدافزارها پرداخته شده است.
کمپین XWorm 7.1: استفاده از ابزارهای ویندوز برای اجرای کد مخرب
طبق تحقیقات Trellix، XWorm 7.1 به عنوان یک RAT خطرناک شناسایی شده است که به هکرها این امکان را میدهد تا به طور کامل بر سیستم قربانی کنترل پیدا کنند. این بدافزار در قالب مدلmalware-as-a-service (MaaS) عرضه میشود و برای اهداف مختلفی از جمله حملات فیشینگ و دستکاری اطلاعات شخصی استفاده میگردد. XWorm 7.1 اخیراً در بازارهای زیرزمینی با افزایش چشمگیر 174 درصدی در سال گذشته، تبدیل به یکی از بزرگترین تهدیدات جهانی شده است.
XWorm 7.1 در حمله اخیر به یک شرکت امنیتی در تایوان، از آسیبپذیری موجود در WinRAR (CVE-2025-8088) برای نفوذ به سیستمها استفاده کرده است. این بدافزار پس از دسترسی به سیستم، از ابزار Aspnet_compiler.exe، یکی از ابزارهای معتبر مایکروسافت، برای اجرای کد خود بهره میبرد. XWorm 7.1 قادر است به طور کامل از سیستمهای قدیمی و ابزارهای امنیتی عبور کند، زیرا بدافزار تنها در حافظه سیستم بارگذاری میشود و هیچگونه نشانی در دیسک از خود باقی نمیگذارد.
پیشرفتهای هکرها و استفاده از تکنیکهای Living off the Land
تکنیکهای Living off the Land (LOTL) به هکرها این امکان را میدهد که از ابزارهای قانونی سیستم برای پنهان شدن و اجرای کدهای مخرب استفاده کنند. این تکنیکها به هکرها اجازه میدهند تا از بدافزارهای بدون فایل استفاده کرده و از ابزارهای ویندوز که به طور پیشفرض مورد اعتماد هستند برای جلوگیری از شناسایی استفاده کنند. در این نوع حملات، بدافزارهای XWorm 7.1 و Remcos RAT با سوءاستفاده از ابزارهای بومی ویندوز مانند aspnet_compiler.exe فعالیت مخرب خود را پنهان میکنند؛ روشی که باعث میشود شناسایی آنها دشوارتر شده و بتوانند سیستمهای دفاعی مبتنی بر امضا را دور بزنند.
استفاده از Remcos RAT و استراتژی Cuckoo برای مخفیسازی بدافزار
در یک کمپین جدید که Remcos RAT در آن استفاده شده است، هکرها با ارسال ایمیلهای جعلی تحت عنوان درخواست قیمت (Request for Quotation)، کاربران را فریب میدهند تا فایلهای ZIP مخرب را باز کنند. هنگامی که قربانی این فایلها را باز کند و روی JavaScript موجود در آن کلیک نماید، یک زنجیره پیچیده از رخدادها آغاز میشود که در نهایت منجر به فرآیند Hollowing و استفاده از استراتژی Cuckoo میگردد.
این تکنیک به هکرها این امکان را میدهد که یک پردازه ویندوزی معتبر را ایجاد کرده و سپس کدهای ویروس را در داخل آن جایگزین کنند. در این حملات، Remcos RAT از Aspnet_compiler.exe به عنوان ابزار مخفیسازی استفاده میکند.
قابلیتهای جاسوسی Remcos RAT
پس از اجرای موفق Remcos RAT در حافظه سیستم، بدافزار شروع به جمعآوری دادههای حساس میکند. مهمترین قابلیتهای جاسوسی آن شامل موارد زیر است:
- ثبت تمام کلیدهای فشردهشده (Keylogging)
- مانیتورینگ صفحه نمایش
- فعالسازی وبکم قربانی
- جمعآوری دادههای کاربری و سیستمی
اطلاعات سرقتشده ابتدا در قالب یک فایل لاگ مخفی در فولدر Temporary ذخیره شده و سپس از طریق اتصال شبکه روی پورت 7003 به سرور فرماندهی و کنترل (C2) مهاجم ارسال میشوند.
جلوگیری از این حملات: بهروزرسانی و آگاهی بیشتر
با توجه به اینکه حملات با استفاده از XWorm 7.1 و Remcos RAT عمدتاً از آسیبپذیریهای موجود در نرمافزارها و ابزارهای ویندوز بهره میبرند، بهترین راهکار برای جلوگیری از این تهدیدات، بهروزرسانی منظم نرمافزارها و نصب آخرین پچها است. باید توجه داشته باشیم که WinRAR باید به نسخه 7.13 یا بالاتر بهروزرسانی شود. همچنین، توجه به ایمیلهای مشکوک و فایلهای ضمیمهشده نیز امری ضروری است.
نتیجهگیری: حفاظت از سیستم در برابر تهدیدات پیشرفته
این تحقیقات نشاندهنده تغییرات بزرگ در شیوههای حملات سایبری هستند. XWorm 7.1 و Remcos RAT نمونههایی از حملات پیشرفته با استفاده از بدافزار بدون فایل و تکنیکهای Living off the Land هستند که توانستهاند به یکی از بزرگترین تهدیدات جهانی تبدیل شوند. برای مقابله با این حملات، سازمانها باید از شناسایی عملکردهای غیرعادی و حفاظت مبتنی بر حافظه استفاده کنند تا از حملات پیشرفته جلوگیری نمایند.
