بازگشت خطرناک بات‌نت تسوندره: کسپرسکی جزئیات روش‌های نوین آلوده‌سازی و زیرساخت بلاکچینی آن را افشا کرد

کارشناسان امنیتی کسپرسکی به‌تازگی از ظهور مجدد و تکامل یافته یک بات‌نت تسوندره (Tsundere botnet) باج‌افزاری پرده برداشته‌اند که با استفاده از روش‌های آلوده‌سازی پیچیده و زیرساخت فرماندهی و کنترل مبتنی بر بلاکچین اتریوم، کاربران ویندوز را هدف قرار داده است. این تهدید سایبری که ابتدا در قالب حملات زنجیره تامین npm و با روش "اشتباه‌گیری اسمی" در اکتبر ۲۰۲۴ شناسایی شد، اکنون با تاکتیک‌های جدید و مدل تجاری متفاوت، فعالیت‌های مخرب خود را از سر گرفته است.

``

Tsundere botnet: روش‌های آلودگی و گسترش پنهان

تیم تحقیقاتی کسپرسکی در بررسی‌های اخیر خود، شواهد محکمی مبنی بر چگونگی انتشار اولیه این بات‌نت تسوندره به دست آورده است. اگرچه شواهد قطعی برای همه روش‌ها در دست نیست، اما موارد ثبت‌شده نشان می‌دهند که عاملان تهدید از چندین طریق برای آلوده کردن سیستم‌ها استفاده می‌کنند:

فایل‌های مخرب PDF.MSI: در یک مورد مشخص، فایل مخرب از طریق ابزارهای مدیریت و نظارت از راه دور (RMM) دریافت شده که یک فایل MSI با نام `pdf.msi` را از یک وب‌سایت آلوده بارگیری کرده است. این روش نشان‌دهنده پتانسیل بالای مهندسی اجتماعی و سوءاستفاده از اعتماد کاربران به فایل‌های رایج است.

فریب از طریق بازی‌های ویدئویی محبوب: نمونه‌های دیگری از این بدافزار با نام‌هایی مشابه بازی‌های معروف ویندوز، به خصوص بازی‌های تیراندازی اول شخص مانند Valorant، CS2 و R6X مشاهده شده است. این تاکتیک به وضوح جامعه کاربران نسخه‌های غیررسمی یا کرک شده بازی‌ها را هدف قرار می‌دهد و از تمایل آنها به دانلود محتوای رایگان سوءاستفاده می‌کند.

ساختار فنی Tsundere: از نصب‌کننده‌های مخرب تا اسکریپت‌های قدرتمند

بات‌نت تسوندره از دو قالب اصلی برای ایمپلنت‌های خود بهره می‌برد که هر دو به صورت خودکار توسط صفحه فرماندهی و کنترل (C2) تولید می‌شوند:

نصب‌کننده‌های MSI: این نصب‌کننده‌ها غالباً به عنوان برنامه‌های مشروع یا بازی‌های پرطرفدار ظاهر می‌شوند تا قربانیان را فریب دهند. نرخ شناسایی پایین این نصب‌کننده‌ها، چالش بزرگی برای سیستم‌های امنیتی ایجاد کرده است. درون این بسته‌ها، مجموعه گسترده‌ای از داده‌ها، فایل‌های جاوااسکریپت (که با هر نسخه جدید به‌روز می‌شوند) و ابزارهای مورد نیاز برای اجرای اسکریپت‌ها با استفاده از محیط Node.js گنجانده شده است.

اسکریپت بارگذار: این بخش وظیفه رمزگشایی و اجرای اسکریپت اصلی را برعهده دارد. اسکریپت اصلی نیز پس از رمزگشایی با الگوریتم AES-256-CBC، وظیفه گشودن بسته‌ها و تنظیمات را انجام می‌دهد. این فرآیند شامل نصب کتابخانه‌های کلیدی در پوشه `node_modules` است:

`ws`: برای ارتباط وب‌سوکت با سرور فرماندهی.

`ethers`: برای تعامل با بلاکچین اتریوم و دریافت آدرس سرور C2.

`pm2`: ابزاری برای مدیریت فرآیندها در Node.js که پایداری بدافزار را از طریق ایجاد تغییرات در رجیستری ویندوز تضمین می‌کند.

اسکریپت‌های پاورشل: نسخه پاورشل این آلوده‌کننده ساده‌تر عمل می‌کند. این اسکریپت، Node.js را مستقیماً از وب‌سایت رسمی آن بارگیری و در مسیر `AppData\Local\NodeJS` استخراج می‌کند. سپس دو متغیر رمزنگاری‌شده (اسکریپت بات و اسکریپت پایداری) را رمزگشایی و روی دیسک ذخیره می‌کند. پایداری نیز از طریق ایجاد یک مقدار در مسیر رجیستری `Run` کاربر تأمین می‌شود که اطمینان حاصل کند بات‌نت تسوندره با هر بار ورود به سیستم مجدداً اجرا می‌شود.

Tsundere و نوآوری در فرماندهی و کنترل: استفاده از بلاکچین اتریوم

یکی از برجسته‌ترین ویژگی‌های نوآورانه بات‌نت تسوندره، استفاده از قراردادهای هوشمند در بلاکچین اتریوم برای ذخیره‌سازی آدرس‌های سرور فرماندهی و کنترل (C2) است. این رویکرد، مقاومت بدافزار را در برابر مسدودسازی افزایش می‌دهد و ردیابی آن را دشوارتر می‌کند:

مکانیزم دریافت آدرس C2: بات‌نت تسوندره از یک قرارداد هوشمند خاص روی بلاکچین اتریوم استفاده می‌کند که تابع `setString` دارد و مقدار متغیر `param1` را تغییر می‌دهد. این مقدار برای ذخیره آدرس وب‌سوکت سرور C2 به کار می‌رود. آدرس‌های اصلی کیف پول و قرارداد هوشمند ثابت می‌مانند، اما نشانی سرور C2 می‌تواند از طریق یک تراکنش با مقدار صفر تغییر کند.

ملاحظات جغرافیایی: پیش از برقراری ارتباط با سرور C2، بات‌نت تسوندره زبان و منطقه سیستم قربانی را بررسی می‌کند تا از آلوده نکردن سامانه‌های واقع در منطقه کشورهای مستقل مشترک‌المنافع (CIS) اطمینان حاصل کند. این ویژگی نشان‌دهنده مبدأ احتمالی عاملان تهدید است.

بازار پنهان Tsundere: اکوسیستم مجرمان سایبری

بات‌نت تسوندره نه تنها یک بدافزار، بلکه بخشی از یک اکوسیستم سایبری گسترده‌تر است که یک صفحه کنترل و بازار (Marketplace) مشترک دارد. این پلتفرم با سیستم ثبت‌نام آزاد، به هر کاربر اجازه می‌دهد تا پس از ورود، از قابلیت‌های مختلف آن بهره‌مند شود. این بازار شامل بخش‌های کلیدی است:

ربات‌ها: نمایش تعداد دستگاه‌های آلوده تحت کنترل.

ساخت‌ها (Builds): امکان تولید ایمپلنت‌های جدید MSI یا پاورشل با شناسه‌های یکتا، مرتبط با سازنده.

بازار (Market): جایی که عاملان تهدید می‌توانند بات‌نت تسوندره خود را عرضه کرده و خدمات مختلفی نظیر دسترسی به سیستم‌های آلوده را به فروش برسانند.

کیف پول مونرو و پراکسی: برای انجام تراکنش‌های مالی و امکان استفاده از دستگاه‌های آلوده به عنوان پراکسی SOCKS.

در زمان بررسی کسپرسکی، بین ۹۰ تا ۱۱۵ بات به طور هم‌زمان به سرور فرماندهی متصل بودند که نشان‌دهنده گستردگی عملیات این بات‌نت تسوندره است.

شناسایی عامل تهدید: ردپای 'کونه‌کو' و Tsundere

بر اساس متن‌های موجود در کدهای بدافزار و شواهد زیرساختی، با اطمینان بالا می‌توان گفت که عامل اصلی پشت بات‌نت تسوندره یک فرد روسی‌زبان است. تحقیقات نشان می‌دهد که این بات‌نت با بدافزار "استیلر ۱۲۳" (Stealer 123) که با زبان ++C نوشته شده و به فروش می‌رسد، مرتبط است. هر دو صفحه کنترل این بدافزارها روی یک سرور مشترک میزبانی می‌شوند و به فردی به نام مستعار "کونه‌کو" (Koneko) نسبت داده شده‌اند. "کونه‌کو" پیش از مسدود شدن یک انجمن تاریک، به تبلیغ این بدافزارها مشغول بود و در پروفایل خود عنوان "ارشد بدافزار نود" (Senior Node Malware) را داشت که به مهارت بالای وی در توسعه بدافزارهای مبتنی بر Node.js اشاره می‌کند.

مقابله با Tsundere: توصیه‌های امنیتی برای کاربران

با توجه به پیچیدگی و پتانسیل بالای بات‌نت تسوندره برای آسیب‌رسانی، رعایت نکات امنیتی زیر برای محافظت از سیستم‌ها ضروری است:

استفاده از راهکارهای امنیتی معتبر: همواره از یک آنتی‌ویروس قدرتمند و به‌روز مانند محصولات کسپرسکی استفاده کنید که قادر به شناسایی و مسدودسازی بدافزارهای پیچیده باشد.

احتیاط در دانلود نرم‌افزارها و بازی‌ها: از دانلود نرم‌افزارها، به‌ویژه بازی‌ها و کرک‌های آنها، از منابع نامعتبر و غیررسمی پرهیز کنید. بسیاری از این فایل‌ها حاوی بدافزارهایی نظیر بات‌نت تسوندره هستند.

به‌روزرسانی منظم سیستم عامل و برنامه‌ها: همیشه سیستم عامل، مرورگرها و سایر نرم‌افزارهای کاربردی خود را به‌روز نگه دارید تا از آسیب‌پذیری‌های شناخته‌شده سوءاستفاده نشود.

آموزش مهندسی اجتماعی: کاربران باید نسبت به حملات فیشینگ، اشتباه‌گیری اسمی (typosquatting) و سایر تکنیک‌های مهندسی اجتماعی آگاه باشند تا طعمه لینک‌ها و فایل‌های مخرب نشوند.

پشتیبان‌گیری منظم از اطلاعات: از اطلاعات مهم خود به صورت منظم پشتیبان‌گیری کنید تا در صورت آلودگی و از دست رفتن داده‌ها، امکان بازیابی آنها وجود داشته باشد.

جمع‌بندی نهایی و هشدار

بات‌نت تسوندره نمایانگر تلاش‌های مداوم و رو به رشد عاملان تهدید برای توسعه ابزارهای مخرب پیشرفته است. این نسخه جدید، با تلفیق روش‌های نوین آلودگی، استفاده از زیرساخت‌های مقاوم مبتنی بر بلاکچین اتریوم برای فرماندهی و کنترل، و وجود یک بازار مجرمانه برای گسترش فعالیت‌ها، یک تهدید جدی برای امنیت سایبری به شمار می‌رود. فعالیت‌های مداوم "کونه‌کو" و ارتباط بات‌نت تسوندره با بدافزارهای دیگر، نشان می‌دهد که احتمال افزایش این تهدید در آینده نزدیک بسیار زیاد است و نظارت دقیق بر آن از اهمیت حیاتی برخوردار است.

مجله تخصصی هک و امنیت

---

مطالب مرتبط

• گوگل با انتشار وصله‌های امنیتی حیاتی، به دو آسیب‌پذیری فعال در اندروید پایان داد
• شرکت Zecurion یافته‌های آسیب‌پذیری DLP در گزارش رجاء را به چالش کشید
• AWS با رونمایی از «فرانتیر ایجنت‌ها»، نسل جدید ایجنت‌های خودگردان، توسعه نرم‌افزار را متحول می‌کند
• کسپرسکی امنیت دستگاه‌های تعبیه‌شده را با به‌روزرسانی‌های پیشرفته تقویت می‌کند