کد خبر: ۴۳۲

بدافزارGigaWiper: وقتی جاسوسی و نابودی در یک پلتفرم ادغام می‌شوند

گزارش بهراد یوسفی درباره بدافزار  GigaWiper

تحلیل فنی بدافزار GigaWiper مایکروسافت؛ پلتفرمی که جاسوسی، باج‌افزار تقلبی و وایپر را در یک بک‌دور ادغام کرده و ۲۰ دستور برای نابودی سیستم دارد.

مایکروسافت در تحلیل فنی جدیدی از بدافزار  GigaWiper پرده برداشت؛ بک‌دوری مبتنی بر زبان Go که قابلیت‌های جاسوسی، باج‌افزار تقلبی و وایپر را در یک پلتفرم واحد ترکیب می‌کند. این بدافزار ۲۰ دستور مجزا را پشتیبانی می‌کند و به مهاجمان اجازه می‌دهد ابتدا اطلاعات جمع‌آوری کنند و سپس با یک دستور، سیستم را نابود سازند.


معماری سه‌لایه برای نابودی بی‌بازگشت

بر اساس گزارش Microsoft Threat Intelligence، فرآیند نابودی داده‌ها در GigaWiper در سه سطح فنی پیاده‌سازی شده است:

سطح فیزیکی (Wiper مستقل): دیسک فیزیکی را بازنویسی کرده و جدول پارتیشن را پاک می‌کند. هیچ راهی برای بازیابی اطلاعات با ابزارهای استاندارد وجود ندارد.

سطح منطقی (باج‌افزار تقلبی Crucio): فایل‌ها را با کلید تصادفی رمزگذاری می‌کند که هرگز ذخیره نمی‌شود. پسوند.candy  اضافه شده و تصویر پس‌زمینه تغییر می‌کند، اما هیچ یادداشت باجی وجود ندارد و هیچ راهی برای رمزگشایی نیست.

سطح چندمرحله‌ای(FlockWiper): درایو ویندوز را چندبار با صفر، .xFF  و داده تصادفی بازنویسی می‌کند. این روش حتی بازیابی با ابزارهای فارنزیک پیشرفته را ناممکن می‌سازد.

قابلیت‌های جاسوسی و کنترل از راه دور

علاوه بر نابودی، GigaWiper  قابلیت‌های گسترده جاسوسی دارد:

 گرفتن اسکرین‌شات و ضبط صفحه‌نمایش
 
ایجاد نشست VNC برای کنترل از راه دور ماوس و صفحه‌کلید
 
استخراج اطلاعات سیستم، مدیریت پروسس‌ها و سرویس‌ها
 
تغییر رجیستری و پاک کردن لاگ‌های ویندوز
 
اجرای دستورات PowerShell و آپلود فایل از طریق  MinIO

پنهان‌سازی هوشمندانه

GigaWiper  برای ماندگاری، یک وظیفه زمان‌بندی‌شده با نام "OneDrive Update"  ایجاد می‌کند که هر دقیقه اجرا می‌شود. اطلاعات خود را در کلید رجیستری HKCU\SOFTWARE\OneDrive\Environment  ذخیره می‌کند.

برای ارتباط C2 از RabbitMQ  (دریافت دستور) و Redis  (ارسال نتیجه) استفاده می‌کند. این معماری به مهاجمان اجازه می‌دهد به صورت مخفیانه به سیستم دسترسی داشته باشند و عملیات نابودی را زمانی که هدف محقق شده، فعال کنند.

ردپای گروه‌های هکری

مایکروسافت با تحلیل کد، GigaWiper  را به دو بدافزار قبلی مرتبط کرد:

Crucio: باج‌افزاری که در دسامبر ۲۰۲۳ توسط CISA  در مشاوره مربوط به گروه CyberAv3ngers  (متهم ایران) ذکر شده بود.

FlockWiper: وایپری که در ژوئن ۲۰۲۵ در VirusTotal  ظاهر شد. مسیرهای اشکال‌زدایی آن شامل رشته "GRAT"  بود که در نام توابع  GigaWiper نیز تکرار می‌شود.

تاکتیک قدیمی، اجرای جدید

استراتژی GigaWiper یادآورNotPetya  (۲۰۱۷) است: پوشیدن لباس باج‌افزار برای گمراه کردن مدافعان، در حالی که هدف واقعی نابودی کامل است. این تاکتیک به مهاجمان زمان می‌دهد تا قبل از شناسایی، به اهداف خود برسند.

توصیه‌های دفاعی

            فعال‌سازی Tamper Protection برای جلوگیری از خاموش شدن آنتی‌ویروس

o       اجرای EDR در حالت Block و فعال‌سازی  cloud-delivered protection

o       مسدودسازی IP سرورهای C2: 185.182.193[.]21 و 212.8.248[.]104

o       نگهداری بک‌آپ آفلاین و مقاوم (Air-Gapped Backup)

o       مانیتورینگ ترافیک RabbitMQ/Redis از دسکتاپ‌های معمولی

o       بررسی وظایف زمان‌بندی‌شده مشکوک با نام  OneDrive

o       پیاده‌سازی اصول Zero Trust در معماری امنیتی نتیجه‌گیری

بدافزار  GigaWiper نشان‌دهنده تغییر پارادایم در بدافزارهای وایپر است: از ابزارهای تک‌منظوره نابودی به پلتفرم‌های ماژولار که هم جاسوسی می‌کنند، هم نابود می‌سازند. این انعطاف‌پذیری به مهاجمان اجازه می‌دهد ابتدا اطلاعات جمع‌آوری کنند و سپس با یک دستور، سیستم را نابود سازند.

 

منابع

 

این گزارش با استناد به چندین منبع معتبر بین‌المللی تهیه و توسط تیم تحریریه ۲۴ نیوز به‌صورت اختصاصی تحلیل، راستی‌آزمایی و بازنویسی شده است.

 

اتاق تحلیل ۲۴ نیوز | دیدگاه تحلیلی بهراد یوسفی

GigaWiper  صرفاً یک بدافزار جدید نیست؛ بلکه نمایانگر تغییر پارادایم در معماری تهدید است. وقتی مهاجم می‌تواند با یک ابزار هم جاسوسی کند و هم نابودی را اجرا کند، دیگر نمی‌توان از «هدف» بدافزار حدس زد. این بدان معناست که Detection Engineering  باید بازنگری اساسی شود.

نکته اول: پایان امنیت مبتنی بر هدف

در گذشته، مشاهده یک باج‌افزار به معنای هدف‌گیری مالی بود و مشاهده یک وایپر به معنای هدف‌گیری نابودی. امروز GigaWiper هر دو قابلیت را در یک پلتفرم ادغام کرده است. این یعنی امنیت مبتنی بر هدف (Intent-Based Security)  دیگر کارایی ندارد و مدافعان باید به سمت Zero Trust  واقعی حرکت کنند: «هرچیزی که روی سیستم است، مشکوک است تا خلافش ثابت شود.»

نکته دوم: بهینه‌سازی زنجیره تأمین حمله

GigaWiper  از کدهای Crucio و FlockWiper بازنویسی شده است. این یعنی مهاجمان در حال بهینه‌سازی زنجیره تأمین بدافزار هستند، دقیقاً مانند سازمان‌های نرم‌افزاری مشروع. این Operational Efficiency  در دنیای تهدید، یک زنگ خطر جدی برای مدافعان است. وقتی مهاجم می‌تواند با استفاده مجدد از کد، سریع‌تر و کم‌هزینه‌تر حمله کند، فاصله زمانی بین آسیب‌پذیری و بهره‌برداری به‌شدت کاهش می‌یابد.

نکته سوم: Tamper Protection و EDR

مایکروسافت بر فعال‌سازی Tamper Protection تأکید کرده است. دلیل آن روشن است: GigaWiper اولین اقدام خود را بر خاموش کردن سرویس‌های امنیتی متمرکز می‌کند. بدون Tamper Protection، EDR  صرفاً یک ابزار گران‌قیمت است که قادر به انجام هیچ کاری نخواهد بود. این بدان معناست که Defense in Depth  دیگر یک انتخاب نیست، بلکه یک ضرورت انکارناپذیر است.

نکته چهارم: Air-Gapped Backup

GigaWiper  دارای قابلیت وایپر فیزیکی است. این یعنی حتی بک‌آپ‌های آنلاین نیز ممکن است آلوده شده باشند.  Air-Gapped Backup، یعنی نگهداری یک نسخه از داده‌ها که هرگز به شبکه متصل نمی‌شود، در سال ۲۰۲۶ دیگر یک مزیت رقابتی نیست، بلکه خط اول دفاعی هر سازمان است.

نتیجه‌گیری:

GigaWiper   نشان می‌دهد که مرز بین جاسوسی و نابودی در حال محو شدن است. در سال ۲۰۲۶، دیگر نمی‌توان گفت «ما فقط جاسوسی را دفاع می‌کنیم» یا «ما فقط باج‌افزار را». باید همه‌چیز را دفاع کرد، زیرا مهاجم ابزاری دارد که همه‌چیز را می‌تواند انجام دهد. آینده امنیت سایبری، آینده‌ای است که در آن هیچ ابزاری «فقط» یک کاری نمی‌کند و مدافعان باید برای این انعطاف‌پذیری، آماده باشند.

گزارش خطا
ارسال پیام
captcha
پیشنهاد سردبیر بیشتر
آخرین اخبار
پربازدید
خانه پربازدید پربحث