Skip to content

ONHEXGROUP

اخبار دنیای امنیت سایبری

  • اخبار
    • آسیب پذیری امنیتی
    • آنالیز بدافزار
    • کنفرانس ،دوره ، وبینار ، لایو ، CTF
    • بازیگران تهدید
    • توسعه اکسپلویت
    • افشای اطلاعات
    • باگ بانتی
    • تیم آبی
    • تیم قرمز
    • امنیت وب
  • دوره های آموزشی
    • دوره رایگان مهندسی معکوس نرم افزار
  • لیست های ویژه
    • موتورهای جستجو برای امنیت سایبری
    • کاتالوگ KEV آژانس CISA
    • آسیب پذیری های وردپرس
      • آسیب پذیری پلاگین ها
      • آسیب پذیری های هسته
      • آسیب پذیری تم ها
    • محصولات خارج از پشتیبانی مایکروسافت
      • محصولات مایکروسافتی که در سال 2022 پشتیبانی نمیشن
      • محصولات مایکروسافتی که در سال 2023 پشتیبانی نمیشن
      • لیست محصولات مایکروسافتی که در سال 2024 پشتیبانی نمیشن
      • لیست محصولات مایکروسافتی که در سال 2025 پشتیبانی نمیشن
    • معرفی فیلم ها و سریالهای مرتبط با هک و امنیت
  • آموزش های ویدیویی
  • انتشارات
    • مجله
    • مقالات
    • پادکست
  • پروژه ها
    • ماشین آسیب پذیر
      • وردپرس آسیب پذیر
  • حمایت مالی ( Donate)
  • تماس با ما
 
  • Home
  • اخبار
  • احتمال هک اسنپ فود توسط بدافزار StealC infostealer
  • آنالیز بدافزار
  • اخبار
  • افشای اطلاعات
  • بازیگران تهدید
  • مهندسی معکوس نرم افزار

احتمال هک اسنپ فود توسط بدافزار StealC infostealer

On دی 12, 1402دی 13, 1402
seyyid
Share
زمان مطالعه: 7 دقیقه

محققای Hudson Rock ، یه گزارشی منتشر کردن و احتمال دادن که هک اسنپ فود ، از طریق داده های جمع آوری شده توسط یه بدافزار بنام Stealc انجام شده. در این پست نگاهی به این گزارش و آنالیز بدافزار Stealc انداختیم.

شرکت اسرائیلی Hudson Rock که در زمینه Cybercrime intelligence فعالیت داره، اعتبارنامه های هک شده توسط بازیگران تهدید رو رصد میکنه و اونا در یه پلتفرم بنام Cavalier قرار میده تا متخصصین امنیتی بتونن از اکانتهای هک شده کارمندان و کاربران و … ، مطلع بشن و اقدامات لازم رو انجام بدن. این ابزار براساس فناوریهای فارنزیکی و دانش عملیاتی در واحد 8200 ارتش اسرائیل توسعه داده شده. قبلا از این محققا پستی با عنوان “هکری که خودش هک کرد و فروخت ! ” رو منتشر کرده بودیم.

20 دسامبر/29 آذر یه بازیگر تهدید بنام irleaks ادعا کرد که به 160,000,000 رکورد از 23 شرکت بیمه در ایران دسترسی داره و اونارو برای فروش در یکی از سایتهای فروش داده ، قرار داد.

 

 

داده های استخراج شده حاوی : نام، نام خانوادگی، تاریخ تولد، نام پدر، شماره تلفن/موبایل، شماره شناسنامه، کد ملی و … بودن.

محققای Hudson Rock ، احتمال میدن که داده ها معتبر هستن و از طرفی این نکته رو خاطر نشان کردن که حمله به این تعداد شرکت بیمه و استخراج داده ها، کار سختیه.

در 30 دسامبر/9 دی ، این بازیگر تهدید، ادعای جدیدی مطرح و اعلام کرد که تونسته به اسنپ فود نفوذ کنه و 3 ترابایت داده از این شرکت استخراج کنه که حاوی موارد زیر هستن :

  • اطلاعات بیش از ۲۰ میلیون کاربر شامل: نام کاربری، پسورد، ایمیل، نام و نام خانوادگی، شماره موبایل، تاریخ تولد و …
  • اطلاعات بیش از ۵۱ میلیون آدرس کاربر شامل: موقعیت GPS، آدرس کامل، شماره تلفن و …
  • اطلاعات بیش از ۱۸۰ میلیون دستگاه همراه شامل: نوع و مدل دستگاه، پلتفرم، توکن، فروشگاه نصب برنامه و …
  • اطلاعات بیش از ۳۶۰ میلیون سفارش شامل: آی‌پی سفارش دهنده، آدرس دریافتی، تلفن دریافتی، شهر، مدت زمان دریافت، نام و نام خانوادگی، مشخصات فروشگاه یا رستوران، قیمت، محصول و …
  • اطلاعات بیش از ۳۵ هزار پیک شامل: نام، نام خانوادگی، شماره تماس، کد ملی، شهر و …
  • اطلاعات بیش از ۶۰۰ هزار پرداخت سفارش شامل: نام کامل صاحب کارت، نام کامل مشتری، شماره تماس، شماره کارت، نام بانک و …
  • اطلاعات بیش از ۱۶۰ میلیون سفر انجام شده توسط پیک شامل: نام کامل مبدا و مقصد، آدرس مبدا و مقصد، تلفن مبدا و مقصد، موقعیت جغرافیایی مبدا و مقصد، تاریخ و …
  • اطلاعات بیش از ۲۴۰ هزار Vendor شامل: نام کامل، آدرس، تلفن، ایمیل، موقعیت مکانی GPS، نام مدیریت مجموعه و …
  • اطلاعات بیش از ۸۸۰ میلیون سفارش محصول

 

 

اسنپ فود بعد از این ادعا، بیانیه ای داد و اعلام کرد که در حال بررسی این حمله هستش.

 

 

اگرچه منبع نشت مشخص نیست، اما محققای Hudson Rock ، یکی از سیستم های کارمندان اسنپ فود رو شناسایی کردن که به بدافزار StealC آلوده بوده.

 

 

آلوده شدن این کارمند به این بدافزار، منجر به دسترسی هکرها به برخی از اطلاعات این شرکت شده و ممکنه بردار اولیه برای این حمله بوده باشه. برخی از این اطلاعات شامل اعتبارنامه های ورود به سرور Confluence ، سرور Jira و … بوده.

 

 

یعنی کل کاری که هکر کرده این بوده که این اطلاعات رو بدست آورده/خریده، و باهاشون لاگین کرده و رسیده به دیتابیس و تمام.

 

 

بدافزار StealC  :

این بدافزار که از دسته ی بدافزارهای infostealer هستش ، برای اولین بار در 9 ژانویه 2023 /19 دی 1401 ، در فروم های هکری روسی ، توسط کاربری بنام Plymouth بعنوان Malware-as-a-Service تبلیغ شد.

 

 

این بدافزار براساس بدافزارهای معروف این دسته : Vidar, Raccoon, Mars و Redline توسعه داده شده.

Stealc در زبان C توسعه داده شده و از توابع WinAPI استفاده میکنه. داده ها رو میتونه از مرورگرها ، کیف های پول ارزهای دیجتال که بصورت افزونه یا برنامه ارائه میشن ، پیامرسانها (تلگرام) ، برنامه های ایمیل (Outlook) و … بدزده. یه قابلیتی که برای جمع آوری داده ها نسبت به رقبا داره اینه که میشه موارد جمع آوری رو سفارشی کرد، یعنی مهاجم میتونه به بدافزار بگه که فقط داده های مرورگر رو بدزده.

علاوه بر جمع آوری داده ها، ویژگی جمع آوری فایل رو هم در اختیار مشتری قرار میده تا مشتری براساس قوانینی که براش تعریف کرده، فایلهای دلخواه رو بدزده. مثلا تعریف کنه که همه ی فایلهایی که پسوند jpg دارن رو برام بدزد.

پنل مدیریتی که در اختیار توزیع کننده هستش ، امکانات زیر داره :

  • تنظیم پیکربندی بدافزار
  • امکان نمایش، فیلتر، تجزیه ، جستجو ، مرتب سازی و آنالیز داده های سرقت شده رو میده.
  • امکان دانلود داده های سرقتی از چندین روش

توسعه دهنده بدافزار ، برای اینکه بتونه نظر بقیه رو جلب کنه ، این بدافزار رو برای تست در اختیار کاربران قرار میداد و از اونا بازخورد محصول رو میگرفت.

این بدافزار همچنان در حال بروزرسانی و توسعه هستش و آخرین نسخه ی اون،  اول دسامبر منتشر شده.

 

آنالیز فنی :

اوایل فوریه ، محققای Sekoia ، یسری infostealer جدید شناسایی کردن که نوع ارتباطشون با سرور C2 شبیه به Vidar و Raccoon بوده. با آنالیزی که انجام دادن متوجه شدن که اینا بدافزار Stealc هستن.

در ادامه تحقیشون نمونه های زیادی از این بدافزار رو مشاهده و تونستن 40 سرور C2  از این بدافزار رو شناسایی کنن که نشون دهنده استفاده گسترده مجرمین سایبری از این بدافزار هستش. بنابراین یه تحلیلی هم از این بدافزار داشتن که در ادامه این پست ، بررسیش کردیم. گزارش برای 20 فوریه هستش.

محققای Sekoia ، این بدافزار رو مهندسی معکوس کردن و تونستن جزییاتی از اون رو کشف و گزارش کنن.

بعد از اجرا، تمام رشته هایی که با RC4 و Base64 رمز و انکد شدن رو از حالت مبهم در میاره. بعدش میاد تاریخ سیستم رو با تاریخ رشته های هاردکد شده مبهم مقایسه میکنه. اگه اجرا بعد از این رشته های مبهم شده باشه، اجرا متوقف میشه. این کار توسط توسعه دهنده انجام شده تا اگه لایسنس بدافزار تموم شده باشه، متوقف بشه.

بعدش میاد Machine Name رو با HAL9TH و نام کاربری رو با JohnDoe مقایسه میکنه که توسط Microsoft Defender استفاده میشه. این کار برای شناسایی سندباکس و محیط مجازی انجام میشه.

بدافزار بصورت داینامیک ، توابع مختلف WinAPI رو از طریق LoadLibrary و GetProcAddress لوود میکنه و یه ارتباط اولیه با سرور C2 برقرار میکنه. مراحل ارتباط بصورت زیر هستش :

1- در ابتدا HWID (Hardware Identifier) و build name رو از طریق درخواست POST و بصورت name=”hwid”, name=”build” ارسال میکنه. سرور یه پاسخ بصورت Base64 ارسال میکنه :

 

1
2
d325580bb149e327a7c8338ec6c9ac7227e7c319411261441d8d3097b2a2d6e5fef3ce48|isdone|docia.docx|
1|1|0|1|1|1|1|1|

 

 

2- بدافزار دستور browsers رو به C2 میفرسته تا نحوه ی جمع آوری داده ها از مرورگرها رو بگیره. این کار توسط یه درخواست POST و بصورت (name=”token”, name=”message” (browsers)) ارسال میشه. سرور دوباره بصورت Base64 جواب میده، مثلا اینجوری :

 

1
Google Chrome|\Google\Chrome\User Data|chrome|Google Chrome Canary|\Google\Chrome SxS\User Data|chrome|Chromium|\Chromium\User Data|chrome|Amigo|\Amigo\User Data|chrome|Torch|\Torch\User Data|chrome|Vivaldi|\Vivaldi\User Data|chrome|Comodo Dragon|\Comodo\Dragon\User Data|chrome|EpicPrivacyBrowser|\Epic Privacy Browser\User Data|chrome|CocCoc|\CocCoc\Browser\User Data|chrome|Brave|\BraveSoftware\Brave-Browser\User Data|chrome|Cent Browser|\CentBrowser\User Data|chrome|7Star|\7Star\7Star\User Data|chrome|Chedot Browser|\Chedot\User Data|chrome|Microsoft Edge|\Microsoft\Edge\User Data|chrome|360 Browser|\360Browser\Browser\User Data|chrome|QQBrowser|\Tencent\QQBrowser\User Data|chrome|CryptoTab|\CryptoTab Browser\User Data|chrome|Opera Stable|\Opera Software|opera|Opera GX Stable|\Opera Software|opera|Mozilla Firefox|\Mozilla\Firefox\Profiles|firefox|Pale Moon|\Moonchild Productions\Pale Moon\Profiles|firefox|Opera Crypto Stable|\Opera Software|opera|Thunderbird|\Thunderbird\Profiles|firefox|

 

 

3- به همون صورت، دستور plugins رو به C2 ارسال میکنه تا نحوه ی جمع آوری داده ها از افزونه های مرورگرها رو دریافت کنه. این دستور بصورت درخواست Post و در قالب (name=”token”, name=”message” (plugins)) ارسال میشه. سرور بصورت Base64 جواب میده ، مثلا بصورت زیر :

 

1
2
3
4
5
MetaMask|djclckkglechooblngghdinmeemkbgci|1|0|0|MetaMask|ejbalbakoplchlghecdalmeeeajnimhm|1|0|0|
MetaMask|nkbihfbeogaeaoehlefnkodbefgpgknn|1|0|0|TronLink|ibnejdfjmmkpcnlpebklmnkoeoihofec|1|0|0|
Binance Wallet|fhbohimaelbohpjbbldcngcnapndodjp|1|0|0|Yoroi|ffnbelfdoeiohenkjibnmadjiehjhajb|1|0|0|
Coinbase Wallet extension|hnfanknocfeofbddgcijnmhnfnkdnaad|1|0|1|Guarda|
hpglfhgfnhbgpjdenjgmdgoeiappafln|1|0|0|(redacted)

 

4- بدافزار یسری اطلاعات از سیستم آلوده با درخواست Post و در قالب (name=”token”, name=”file_name”, name=”file”) جمع آوری میکنه. اسم فایل system_info.txt هستش و شامل اطلاعات شبکه ای ، سیستمی ، کاربران، برنامه های نصب شده و لیست پروسس ها هستش.

5- بعدش 7 تا DLL شخص ثالث قانونی رو از سرور C2 با استفاده از درخواست GET دانلود میکنه ، از این DLLها برای استخراج داده های مرورگرها استفاده میکنه .

sqlite3.dll
freebl3.dll
mozglue.dll
msvcp40.dll
nss3.dll
softokn3.dll
vcruntime140.dll

6- بدافزار فایلها رو یکی یکی ، با استفاده از درخواست POST و در قالب (name=”token”, name=”file_name”, name=”file”) استخراج میکنه. این فایلها مطابق پیکربندی دریافتی هستش. مثلا اگه قربانی از فایرفاکس استفاده کنه ، این پیکربندی بصورت زیر میتونه باشه :

history\Mozilla Firefox_*.default-release.txt
autofill\Mozilla Firefox_*.default-release.txt
cookies\Mozilla Firefox_*.default-release.txt

 

7- بدافزار دستور wallets رو به C2 ارسال میکنه تا نحوه ی جمع آوری اطلاعات مرتبط با کیف پول دریافت کنه. این دستور بصورت POST و در قالب name=”token”, name=”message” (wallets) ارسال میشه. سرور بصورت base64 پاسخ میده که میتونه بصورت زیر باشه :

 

1
Bitcoin Core|\Bitcoin\wallets\|wallet.dat|1|Bitcoin Core Old|\Bitcoin\|*wallet*.dat|0|Dogecoin|\Dogecoin\|*wallet*.dat|0|Raven Core|\Raven\|*wallet*.dat|0|Daedalus Mainnet|\Daedalus Mainnet\wallets\|she*.sqlite|0|Blockstream Green|\Blockstream\Green\wallets\|*.*|1|Wasabi Wallet|\WalletWasabi\Client\Wallets\|*.json|0|Ethereum|\Ethereum\|keystore|0|Electrum|\Electrum\wallets\|*.*|0|(redacted)

 

8- بدافزار دستور files رو به C2 ارسال میکنه تا نحوه ی استخراج فایلها رو دریافت کنه. این دستور بصورت درخواست POST و در قالب (name=”token”, name=”message” (files)) ارسال میشه. سرور بصورت base64 پاسخ میده که میتونه بصورت زیر باشه :

 

1
DESKTOP|%DESKTOP%\|*.txt|15|1|0|Doki|%DOCUMENTS%\|*.txt|15|1|0|

 

9- داده های جمع آوری شده، مشابه مرحله 6 استخراج میشن. با پیکربندی قبلی ، فایل files\DESKTOP\SwitchSearch.txt جمع آوری و استخراج میشه.

10- در نهایت بدافزار یسری داده مانند فایل و کلیدهای حساس رجیستری مرتبط با، اطلاعات حساس Discord ، Telegram ، Tox ، Outlook  و Steam رو جمع آوری میکنه و به همون روشی که قبلا گفته شد، به C2 ارسال میکنه.

11- بعد از اینکه همه ی پیکربندی ها رو دریافت و داده ها رو جمع آوری و ارسال کرد، بدافزار یه پیام بصورت درخواست POST و در قالب (name=”token”, name=”message” (done)) به C2 ارسال میکنه.

در نهایت اینکه، بدافزار خودش و فایلهای DLL دانلود شده رو از طریق دستور زیر ، پاک میکنه :

 

1
cmd.exe /c timeout /t 5 & del /f /q "$STEALERPATH" & del "C:\ProgramData\*.dll" & exit

 

تشخیص :

برای اینکه بدافزار رو در محیطتون شناسایی کنید، یسری YARA Rule اینجا تعریف شده.

سرورهای C2 رو میشه از طریق پاسخ های پیش فرض HTML و HTTP رهگیری کرد. اغلب سرورهای C2 در پاسخ HTTP 200 میدن و یه صفحه ی HTML از نوع 404 Forbidden سرور Apache ، با کد HTML زیر روی پورت 80 دارن :

 

1
2
3
4
5
6
7
8
HTTP/1.1 200 OK
Date: <REDACTED>
Server: Apache/2.4.41 (Ubuntu)
Vary: Accept-Encoding
Content-Length: 145
Content-Type: text/html; charset=UTF-8
 
<html> <head><title>404 Forbidden</title></head> <body> <center><h1>404 Forbidden</h1></center> <hr><center>apache</center> </body> </html>

 

برای اینکه مشخص کنیم ، این صفحه مرتبط با C2 بدافزار Stealc هست، چون ممکنه خوده سرور آپاچی باشه ، برخی URLهایی که مرتبط با سرور Stealc  هستن ، مانند /modules/ و /index.php/ رو میشه روشون بررسی کرد.

 

منابع :

infostealers

malpedia

cynet

sekoia

 

 

اشتراک در شبکه های اجتماعی :

Facebook
Twitter
Pinterest
LinkedIn
In آنالیز بدافزار اخبار افشای اطلاعات بازیگران تهدید مهندسی معکوس نرم افزارIn Hudson Rock , infostealer , irleaks , StealC infostealer

راهبری نوشته

آسیب پذیری CVE-2023-51385 روی OpenSSH
پیاده سازی تکنیک DLL Search Order Hijacking روی WinSxS

دیدگاهتان را بنویسید لغو پاسخ

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دسته‌ها

  • Osint
  • آسیب پذیری امنیتی
  • آموزش های ویدیویی
  • آنالیز بدافزار
  • اخبار
  • افشای اطلاعات
  • امنیت وب
  • انتشارات
  • اینترنت اشیاء
  • بازیگران تهدید
  • باگ بانتی
  • پادکست
  • پروژه ها
  • توسعه اکسپلویت
  • تیم آبی
  • تیم قرمز
  • دوره های آموزشی
  • فازینگ
  • کنفرانس ،دوره ، وبینار ، لایو ، CTF
  • لیست های ویژه
  • ماشین آسیب پذیر
  • مجله
  • مقالات
  • مهندسی معکوس نرم افزار

پست های مرتبط

  • اخبار
  • تیم قرمز
  • کنفرانس ،دوره ، وبینار ، لایو ، CTF
seyyid
On بهمن 21, 1401فروردین 28, 1402

Offensive Security Automation

  • آنالیز بدافزار
  • اخبار
  • توسعه اکسپلویت
  • تیم آبی
  • تیم قرمز
seyyid
On اسفند 23, 1401فروردین 28, 1402

نسخه جدید کالی منتشر شد

  • آسیب پذیری امنیتی
  • اخبار
seyyid
On بهمن 15, 1401فروردین 28, 1402

آسیب پذیری format string در BIG IP

  • اخبار
  • امنیت وب
  • تیم آبی
  • تیم قرمز
  • مقالات
seyyid
On خرداد 8, 1402خرداد 8, 1402

قرار دادن بکدور در کلید عمومی SSH

درباره ما

بعد از چندین سال فعالیت تو حوزه امنیت سایبری و تولید محتوا در شبکه های اجتماعی ، بالاخره تصمیم گرفتیم تا یه سایت راه اندازی کنیم و مطالب رو ساده تر ، در یک محیط منسجم و طبقه بندی شده به دست مخاطب برسونیم. امیدوارم که قدمی در راستای رشد امنیت سایبری کشورمون برداشته باشیم.

تگ ها

0day APT command injection Deserialization of Untrusted Data Directory Traversal FBI Fortinet Heap buffer overflow integer overflow kali LockBit Memory Corruption nuclei Off By One Security out-of-bounds write Out of bounds read Patch Tuesday PWN2OWN Stack Buffer overflow type confusion use after free vulnerable wordpress XSS ZDI vulnerability آموزش اکسپلویت نویسی ارز دیجیتال اندروید اپل اکسپلویت باج افزار تلگرام زیرودی سیسکو فارنزیک فورتی نت فیشینگ لاک بیت مایکروسافت هوش مصنوعی وردپرس وردپرس آسیب پذیر ویندوز پلاگین کروم گوگل

شبکه های اجتماعی

    • Instagram
    • Telegram
    • Twitter
    • GitHub
    • YouTube
    • LinkedIn
      کپی مطالب با ذکر منبع بلامانع است | 1401-1404