ترفندهای جدید Bazar Backdoor

توسط: تاریخ انتشار: ۲۸ تیر ۱۴۰۰ 0 دیدگاه
بلاگ

ترفندهای جدید BazarBackdoor و مبهم‌سازی پیشرفته برای دور زدن امنیت ایمیل

در سال‌های اخیر، حملات سایبری به‌ویژه از طریق ایمیل‌های فیشینگ به یکی از جدی‌ترین تهدیدهای امنیتی برای سازمان‌ها تبدیل شده‌اند. یکی از نمونه‌های پیشرفته این حملات، کمپین‌های مرتبط با بدافزار BazarBackdoor است که با استفاده از تکنیک‌های نوین مبهم‌سازی (Obfuscation) و فریب سیستم‌های امنیتی، توانسته‌اند بسیاری از سازمان‌ها را هدف قرار دهند. این مقاله به بررسی ترفندهای جدید BazarBackdoor و روش‌های دور زدن Secure Email Gateways (SEGs) می‌پردازد.

BazarBackdoor چیست؟

بدافزار BazarBackdoor یک نوع تروجان دسترسی از راه دور (RAT) است که به مهاجمان اجازه می‌دهد کنترل کامل سیستم آلوده را در اختیار بگیرند. این بدافزار معمولاً در مراحل بعدی حمله برای نصب ابزارهای پیشرفته‌تر مانند Cobalt Strike استفاده می‌شود و نقش مهمی در حملات زنجیره‌ای دارد.

کمپین فیشینگ جدید BazarBackdoor

طبق گزارش محققان امنیتی شرکت Cofense، یک کمپین جدید از BazarBackdoor شناسایی شده که از روش‌های پیچیده برای پنهان‌سازی بدافزار استفاده می‌کند. این کمپین از طریق ایمیل‌های فیشینگ با موضوعات روز مانند مناسبت‌های محیط‌زیستی کاربران را فریب می‌دهد.

ترفندهای جدید مهاجمان برای مبهم‌سازی

1. استفاده از فایل‌های فشرده ZIP و RAR

یکی از اصلی‌ترین تکنیک‌ها در این کمپین، قرار دادن بدافزار در فایل‌های فشرده است. این روش باعث می‌شود:

  • محتوای واقعی فایل مخفی بماند
  • برخی سیستم‌های امنیت ایمیل (SEGs) نتوانند داخل فایل را به‌طور کامل بررسی کنند

2. پنهان‌سازی بدافزار به عنوان فایل تصویری

در این حمله، بدافزار به شکل یک فایل PNG یا تصویر بی‌خطر ظاهر می‌شود. این تکنیک باعث می‌شود کاربر یا حتی برخی سیستم‌های امنیتی تصور کنند فایل کاملاً سالم است.

3. استفاده از JavaScript مبهم‌سازی شده

مهاجمان از اسکریپت‌های JavaScript بسیار پیچیده و مبهم استفاده می‌کنند تا:

  • تحلیل بدافزار سخت‌تر شود
  • ابزارهای امنیتی نتوانند رفتار واقعی کد را تشخیص دهند

4. دانلود مرحله دوم حمله

پس از اجرای فایل JavaScript، بدافزار از طریق درخواست HTTP GET، محموله اصلی BazarBackdoor را دانلود می‌کند. این فایل معمولاً با پسوند تصویری مانند .png پنهان می‌شود.

5. استفاده از چند لایه فشرده‌سازی

مهاجمان با استفاده از چندین نوع فایل فشرده تلاش می‌کنند:

  • محدودیت‌های اسکن سیستم‌های امنیتی را دور بزنند
  • شناسایی بدافزار را سخت‌تر کنند

هدف نهایی حمله چیست؟

پس از آلودگی سیستم:

  • بدافزار BazarBackdoor روی سیستم اجرا می‌شود
  • ارتباط با سرور فرماندهی (C2) برقرار می‌شود
  • امکان دانلود ابزارهای دیگر مانند Cobalt Strike فراهم می‌شود
  • مهاجم می‌تواند به حرکت جانبی در شبکه (Lateral Movement) بپردازد

چرا این حملات خطرناک هستند؟

این نوع حملات به دلیل استفاده از تکنیک‌های پیشرفته:

  • به‌راحتی از فیلترهای ایمیل عبور می‌کنند
  • در ظاهر کاملاً بی‌خطر هستند
  • در چند مرحله اجرا می‌شوند و شناسایی را سخت می‌کنند

روند تکامل BazarBackdoor

تحلیل‌ها نشان می‌دهد که گروه‌های مهاجم پشت این بدافزار در حال پیشرفته‌تر شدن هستند. آن‌ها:

  • از روش‌های جدید مبهم‌سازی استفاده می‌کنند
  • ساختار حملات چندمرحله‌ای طراحی می‌کنند
  • تمرکز خود را بر دور زدن سیستم‌های امنیتی قرار داده‌اند

راهکارهای مقابله با BazarBackdoor

1. تحلیل عمیق فایل‌های فشرده

تمام فایل‌های ZIP و RAR باید در محیط‌های امن (Sandbox) بررسی شوند.

2. بررسی رفتار به جای پسوند

نباید فقط به نام یا پسوند فایل اعتماد کرد.

3. استفاده از Sandbox پیشرفته

اجرای فایل‌های JavaScript در محیط ایزوله برای تحلیل رفتار واقعی.

4. آموزش کاربران

کاربران باید نسبت به ایمیل‌های مشکوک، حتی با موضوعات جذاب یا مناسبتی، آگاه باشند.

نتیجه‌گیری

کمپین‌های جدید BazarBackdoor نشان می‌دهد که تهدیدات سایبری به سمت مبهم‌سازی پیشرفته و فریب سیستم‌های امنیتی حرکت کرده‌اند. این حملات دیگر ساده نیستند و از زنجیره‌های پیچیده برای نفوذ استفاده می‌کنند. بنابراین سازمان‌ها باید رویکرد دفاعی خود را از «تشخیص مبتنی بر امضا» به «تحلیل رفتاری و چندلایه» تغییر دهند.

دنبال چیزی می گردی؟

امنیت شبکه تکنولوژی دانشنامه آموزش

دسته بندی ها

آخرین پست ها