سوءاستفاده از دیسکورد و مایکروسافت گراف برای جاسوسی از دولت‌های اروپایی

 ۱.سیر تکاملی تکتیک‌ها  (TTPs)؛ عبور از بدافزارهای امضادار به ابزارهای شبکه قانونی

بر اساس تحقیقات عمیق اریک هاوارد پژوهشگر ارشد  ESET، گروه Webworm بین سال‌های ۲۰۲۲ تا ۲۰۲۴ عمدتاً به خانواده‌های بدافزاری شناخته‌شده‌ای مانند McRat و Trochilus متکی بود. اما از آنجایی که این بدافزارها دارای امضاهای دیجیتال (Signatures) و الگوهای ترافیکی مشخصی هستند، توسط سیستم‌های امنیتی نسل جدید مانند EDRها به سرعت شناسایی می‌شدند.

این گروه در فاز جدید حملات خود در سال‌های ۲۰۲۵ و ۲۰۲۶، این بدافزارها را به طور کامل کنار گذاشته و به سراغ تکنیک Living off the Land  و ابزارهای شبکه نیمه‌قانونی رفته است:

• استفاده ازSOCKS Proxies: هکرها با به‌کارگیری راهکارهای متن‌باز و قانونی شبکه مانند SoftEther VPN و ابزار هدایت پورت iox، یک تونل مستقیم میان سیستم قربانی و خود ایجاد می‌کنند. از آنجا که این ابزارها کاربرد اداری نیز دارند، فایروال‌ها رفتاری عادی با آن‌ها دارند.
• زنجیره‌سازی پروکسی‌های اختصاصی (Proxy Chaining): این گروه برای محو کردن کامل ردپای خود، از چهار ابزار پروکسی سفارشی و بومی خود به نام‌های ChainWorm، SmuxProxy، WormFrp و WormSocket  استفاده می‌کند. این ابزارها ترافیک را مکرراً بین سرورهای ابری اجاره‌شده در شرکت‌هایVultr و IT7 Networks  دست به دست می‌کنند تا ردیابی مبدا حمله غیرممکن شود. هکرها حتی پیکربندی‌های مخرب خود را درون یک باکت امنیتی هک‌شده در آمازون Amazon S3 Bucket آپلود کرده و از آنجا فراخوانی می‌کنند.
  
  

۲.شاهکار پنهان‌کاری؛ تحلیل دو بک‌دور نوظهور EchoCreep و GraphWorm

در سال ۲۰۲۵ و ۲۰۲۶، این گروه دو در پشتی (Backdoor) کاملاً اختصاصی را وارد زرادخانه خود کرد که عملاً مفهوم مانیتورینگ شبکه را دگرگون ساخته‌اند:

الف) بک‌دورEchoCreep  (فرماندهی از طریق دیسکورد)

این ابزار مخرب از پلتفرم چت محبوب Discord به عنوان سرور C2 استفاده می‌کند. تحلیلگران ESET با رمزگشایی از بیش از ۴۰۰ پیام ارسال‌شده در بستر دیسکورد دریافتند که این بک‌دور:

• برای هر قربانی سازمانی، یک سرور (Server/Guild) اختصاصی و مجزا در دیسکورد می‌سازد.
• گزارش‌های مربوط به وضعیت سیستم (Runtime Reports) را در قالب پیام چت ارسال می‌کند.
• فایل‌های سرقت‌شده از رایانه‌های دولتی را مستقیماً در کانال‌های دیسکورد آپلود می‌کند.
• دستورات هکر را از طریق درخواست‌های دستکاری‌شده HTTP به API رسمی دیسکورد منتقل و روی سیستم قربانی اجرا می‌کند. ترافیک این فرآیند از نظر فایروال، چت کردن ساده کارمندان در دیسکورد دیده می‌شود!
  
  

ب) بک‌دور GraphWorm (جاسوسی در بستر مایکروسافت گراف)

این بک‌دور به طرز ماهرانه‌ای از Microsoft Graph API (زیرساخت ابری رسمی مایکروسافت برای مدیریت آفیس ۳۶۵ و آزور) سوءاستفاده می‌کند:

• این ابزار برای هر قربانی، یک دایرکتوری یا پوشه مخفی اختصاصی در سرویس ابری OneDrive ایجاد می‌کند.
• هکر دستورات و مأموریت‌های جدید (Jobs) را در قالب فایل درون این پوشه OneDrive قرار می‌دهد. بک‌دور به صورت دوره‌ای به پوشه سر می‌زند، دستور را دانلود و اجرا کرده و خروجی یا اطلاعات سرقت‌شده دولتی را دوباره درون همان OneDrive آپلود می‌کند. با توجه به اینکه اتصال به دامنه‌های مایکروسافت در تمام سازمان‌ها مجاز و کاملاً سفید (White-listed) است، هیچ هشداری صادر نمی‌شود.
  
  

۳. بردار نفوذ اولیه  (Initial Access Vector)

بررسی‌های تیم اسکنر امنیتی نشان می‌دهد که گروه Webworm پیش از اجرای این فرآیند پیچیده، از اسکنرهای آسیب‌پذیری متن‌باز برای پایش مداوم وب‌سرورها، فایل‌ها و دایرکتوری‌های متصل به اینترنت نهادهای دولتی استفاده می‌کند. آن‌ها به محض یافتن یک باگ اصلاح‌نشده (Unpatched) در وب‌سایت‌ها یا اتصالات لبه شبکه، پچ‌نشده‌ها را اکسپلویت کرده و این ابزارهای پروکسی و بک‌دورها را که در مخازن GitHub پنهان کرده‌اند، روی سرور قربانی دانلود و مستقر می‌سازند. هدف نهایی این گروه کاملاً استراتژیک و بر پایه جاسوسی سایبری نفوذمحور  (Cyber Espionage) تعریف شده است؛ یعنی نفوذ تا عمیق‌ترین لایه‌های شبکه و ماندگاری طولانی‌مدت جهت تخلیه اطلاعات.

🛡️ سند پدافند سایبری ۲۴ نیوز؛ دستورالعمل‌های دفاعی در برابر حملات C2 ابری (Living off the Cloud)

برای مقابله با گروه‌های پیشرفته‌ای مانند Webworm که ترافیک خود را در بستر دیسکورد و مایکروسافت پنهان می‌کنند، ادمین‌های شبکه و تیم‌های آبی (Blue Teams) باید پروتکل‌های پدافندی زیر را به فوریت اعمال کنند:

1. اعمال فیلترینگ و بازرسی عمیق بسته (DPI) روی دامنه‌های عمومی: به هیچ عنوان نباید به صرفِ قانونی بودن یک دامنه مثل Discord.com یا کلاسترهای  OneDrive، ترافیک خروجی کارمندان بدون نظارت رها شود. تیم‌های امنیت باید ارتباط فرآیندهای غیراستاندارد سیستم‌عامل (غیر از کلاینت‌های رسمی) با این دامنه‌ها را به طور کامل بلاک کنند.
2. پایش رفتاری حجم تبادل داده (Data Exfiltration Monitoring): انتقال مداوم یا ناگهانی حجم زیادی از داده‌ها به سمت نقاط پایانی مایکروسافت گراف یا باکت‌های آمازون S3 که خارج از روال کاری (Workflow) تعریف‌شده روزانه سازمان است، باید فوراً توسط سیستم‌های DLP یا SIEM به عنوان یک حادثه قطعی (Incident) گزارش شود.
3. مدیریت منسجم آسیب‌پذیری‌های وب‌سرورها (Vulnerability Management): از آنجا که نقطه ورود Webworm اسکن باگ‌های لبه شبکه است، مسدود کردن دسترسی اسکنرهای عمومی، پچ آنی سیستم‌های مدیریت محتوا، فایروال‌های تحت وب (WAF) و مستحکم‌سازی دایرکتوری‌های وب‌سرورها اولین خط دفاعی است.
   
   

تحلیل و تنظیم فنی: تحریریه تخصصی امنیت سایبری ۲۴ نیوز (بهراد یوسفی)