بدافزارGigaWiper: وقتی جاسوسی و نابودی در یک پلتفرم ادغام میشوند
تحلیل فنی بدافزار GigaWiper مایکروسافت؛ پلتفرمی که جاسوسی، باجافزار تقلبی و وایپر را در یک بکدور ادغام کرده و ۲۰ دستور برای نابودی سیستم دارد.
مایکروسافت در تحلیل فنی جدیدی از بدافزار GigaWiper پرده برداشت؛ بکدوری مبتنی بر زبان Go که قابلیتهای جاسوسی، باجافزار تقلبی و وایپر را در یک پلتفرم واحد ترکیب میکند. این بدافزار ۲۰ دستور مجزا را پشتیبانی میکند و به مهاجمان اجازه میدهد ابتدا اطلاعات جمعآوری کنند و سپس با یک دستور، سیستم را نابود سازند.
معماری سهلایه برای نابودی بیبازگشت
بر اساس گزارش Microsoft Threat Intelligence، فرآیند نابودی دادهها در GigaWiper در سه سطح فنی پیادهسازی شده است:
سطح فیزیکی (Wiper مستقل): دیسک فیزیکی را بازنویسی کرده و جدول پارتیشن را پاک میکند. هیچ راهی برای بازیابی اطلاعات با ابزارهای استاندارد وجود ندارد.
سطح منطقی (باجافزار تقلبی Crucio): فایلها را با کلید تصادفی رمزگذاری میکند که هرگز ذخیره نمیشود. پسوند.candy اضافه شده و تصویر پسزمینه تغییر میکند، اما هیچ یادداشت باجی وجود ندارد و هیچ راهی برای رمزگشایی نیست.
سطح چندمرحلهای(FlockWiper): درایو ویندوز را چندبار با صفر، .xFF و داده تصادفی بازنویسی میکند. این روش حتی بازیابی با ابزارهای فارنزیک پیشرفته را ناممکن میسازد.
قابلیتهای جاسوسی و کنترل از راه دور
علاوه بر نابودی، GigaWiper قابلیتهای گسترده جاسوسی دارد:
• گرفتن اسکرینشات و ضبط صفحهنمایش
• ایجاد نشست VNC برای کنترل از راه دور ماوس و صفحهکلید
• استخراج اطلاعات سیستم، مدیریت پروسسها و سرویسها
• تغییر رجیستری و پاک کردن لاگهای ویندوز
• اجرای دستورات PowerShell و آپلود فایل از طریق MinIO
پنهانسازی هوشمندانه
GigaWiper برای ماندگاری، یک وظیفه زمانبندیشده با نام "OneDrive Update" ایجاد میکند که هر دقیقه اجرا میشود. اطلاعات خود را در کلید رجیستری HKCU\SOFTWARE\OneDrive\Environment ذخیره میکند.
برای ارتباط C2 از RabbitMQ (دریافت دستور) و Redis (ارسال نتیجه) استفاده میکند. این معماری به مهاجمان اجازه میدهد به صورت مخفیانه به سیستم دسترسی داشته باشند و عملیات نابودی را زمانی که هدف محقق شده، فعال کنند.
ردپای گروههای هکری
مایکروسافت با تحلیل کد، GigaWiper را به دو بدافزار قبلی مرتبط کرد:
Crucio: باجافزاری که در دسامبر ۲۰۲۳ توسط CISA در مشاوره مربوط به گروه CyberAv3ngers (متهم ایران) ذکر شده بود.
FlockWiper: وایپری که در ژوئن ۲۰۲۵ در VirusTotal ظاهر شد. مسیرهای اشکالزدایی آن شامل رشته "GRAT" بود که در نام توابع GigaWiper نیز تکرار میشود.
تاکتیک قدیمی، اجرای جدید
استراتژی GigaWiper یادآورNotPetya (۲۰۱۷) است: پوشیدن لباس باجافزار برای گمراه کردن مدافعان، در حالی که هدف واقعی نابودی کامل است. این تاکتیک به مهاجمان زمان میدهد تا قبل از شناسایی، به اهداف خود برسند.
توصیههای دفاعی
فعالسازی Tamper Protection برای جلوگیری از خاموش شدن آنتیویروس
o اجرای EDR در حالت Block و فعالسازی cloud-delivered protection
o مسدودسازی IP سرورهای C2: 185.182.193[.]21 و 212.8.248[.]104
o نگهداری بکآپ آفلاین و مقاوم (Air-Gapped Backup)
o مانیتورینگ ترافیک RabbitMQ/Redis از دسکتاپهای معمولی
o بررسی وظایف زمانبندیشده مشکوک با نام OneDrive
o پیادهسازی اصول Zero Trust در معماری امنیتی نتیجهگیری
بدافزار GigaWiper نشاندهنده تغییر پارادایم در بدافزارهای وایپر است: از ابزارهای تکمنظوره نابودی به پلتفرمهای ماژولار که هم جاسوسی میکنند، هم نابود میسازند. این انعطافپذیری به مهاجمان اجازه میدهد ابتدا اطلاعات جمعآوری کنند و سپس با یک دستور، سیستم را نابود سازند.
منابع
- Microsoft Threat Intelligence
- CISA Advisory on CyberAv3ngers
- The Hacker News
- SecurityWeek
- VirusTotal
این گزارش با استناد به چندین منبع معتبر بینالمللی تهیه و توسط تیم تحریریه ۲۴ نیوز بهصورت اختصاصی تحلیل، راستیآزمایی و بازنویسی شده است.
اتاق تحلیل ۲۴ نیوز | دیدگاه تحلیلی بهراد یوسفی
GigaWiper صرفاً یک بدافزار جدید نیست؛ بلکه نمایانگر تغییر پارادایم در معماری تهدید است. وقتی مهاجم میتواند با یک ابزار هم جاسوسی کند و هم نابودی را اجرا کند، دیگر نمیتوان از «هدف» بدافزار حدس زد. این بدان معناست که Detection Engineering باید بازنگری اساسی شود.
نکته اول: پایان امنیت مبتنی بر هدف
در گذشته، مشاهده یک باجافزار به معنای هدفگیری مالی بود و مشاهده یک وایپر به معنای هدفگیری نابودی. امروز GigaWiper هر دو قابلیت را در یک پلتفرم ادغام کرده است. این یعنی امنیت مبتنی بر هدف (Intent-Based Security) دیگر کارایی ندارد و مدافعان باید به سمت Zero Trust واقعی حرکت کنند: «هرچیزی که روی سیستم است، مشکوک است تا خلافش ثابت شود.»
نکته دوم: بهینهسازی زنجیره تأمین حمله
GigaWiper از کدهای Crucio و FlockWiper بازنویسی شده است. این یعنی مهاجمان در حال بهینهسازی زنجیره تأمین بدافزار هستند، دقیقاً مانند سازمانهای نرمافزاری مشروع. این Operational Efficiency در دنیای تهدید، یک زنگ خطر جدی برای مدافعان است. وقتی مهاجم میتواند با استفاده مجدد از کد، سریعتر و کمهزینهتر حمله کند، فاصله زمانی بین آسیبپذیری و بهرهبرداری بهشدت کاهش مییابد.
نکته سوم: Tamper Protection و EDR
مایکروسافت بر فعالسازی Tamper Protection تأکید کرده است. دلیل آن روشن است: GigaWiper اولین اقدام خود را بر خاموش کردن سرویسهای امنیتی متمرکز میکند. بدون Tamper Protection، EDR صرفاً یک ابزار گرانقیمت است که قادر به انجام هیچ کاری نخواهد بود. این بدان معناست که Defense in Depth دیگر یک انتخاب نیست، بلکه یک ضرورت انکارناپذیر است.
نکته چهارم: Air-Gapped Backup
GigaWiper دارای قابلیت وایپر فیزیکی است. این یعنی حتی بکآپهای آنلاین نیز ممکن است آلوده شده باشند. Air-Gapped Backup، یعنی نگهداری یک نسخه از دادهها که هرگز به شبکه متصل نمیشود، در سال ۲۰۲۶ دیگر یک مزیت رقابتی نیست، بلکه خط اول دفاعی هر سازمان است.
نتیجهگیری:
GigaWiper نشان میدهد که مرز بین جاسوسی و نابودی در حال محو شدن است. در سال ۲۰۲۶، دیگر نمیتوان گفت «ما فقط جاسوسی را دفاع میکنیم» یا «ما فقط باجافزار را». باید همهچیز را دفاع کرد، زیرا مهاجم ابزاری دارد که همهچیز را میتواند انجام دهد. آینده امنیت سایبری، آیندهای است که در آن هیچ ابزاری «فقط» یک کاری نمیکند و مدافعان باید برای این انعطافپذیری، آماده باشند.