کمیته رکن چهارم – محققان کسپرسکی نوع جدیدی از بدافزارهای مرتبط با گروه ایرانی Charming Kitten را شناسایی کردهاند. این بدافزار با نام BellaCPP بر پایه زبان برنامهنویسی C++ طراحی شده و در حملات پیشرفته سایبری استفاده میشود.
به گزارش کمیته رکن چهارم، بدافزار BellaCPP نسخهای جدید از خانواده بدافزار BellaCiao است که پیشتر در آوریل ۲۰۲۳ شناسایی شد. نمونه اولیه BellaCiao مبتنی بر داتنت بود و ویژگیهایی همچون پایداری از طریق webshell و تونلینگ مخفی را دارا بود. اما نسخه جدید با تغییراتی در روشهای اجرایی و ساختاری، به زبان C++ توسعه یافته است.
ویژگیها و روشهای شناسایی
بدافزار BellaCPP در سیستمهایی که قبلاً به BellaCiao آلوده شده بودند، کشف شد. این بدافزار در قالب فایل DLL با نام «adhapl.dll» در پوشه System32 ویندوز مستقر میشود و برای اجرا به عنوان یک سرویس ویندوز طراحی شده است.
طبق گزارش، BellaCPP از رمزنگاری XOR برای رمزگشایی استرینگها و تولید دامنههای هدف استفاده میکند. ساختار دامنهها شامل اطلاعاتی همچون کد کشور و شناسه هدف است. این بدافزار همچنین از عملکردهای خاصی مانند «SecurityUpdate» برای ارتباط با سرورهای مهاجم بهره میبرد.
تفاوتها و قابلیتهای محدودتر
نسخه C++ برخلاف نمونههای پیشین فاقد webshell هاردکد شده است. همچنین تونلینگ SSH در این نسخه بهجای استفاده از webshell پاورشل بهکار گرفته شده است. یک فایل DLL دیگر مرتبط با این بدافزار، که ممکن است وظیفه ایجاد تونل SSH را داشته باشد، هنوز تحلیل کامل نشده است.
پیامدها و هشدارها
کارشناسان امنیتی تاکید دارند که Charming Kitten به بهبود ابزارهای سایبری خود ادامه میدهد و استفاده از زبان C++ نشاندهنده تلاش این گروه برای دور زدن شناساییهای امنیتی است. این گروه با بهرهگیری از روشهای پیشرفته و ابزارهای متنوع، به دنبال حفظ پایداری در شبکه قربانیان خود هستند.
این گزارش بر لزوم بررسی جامع شبکهها و سیستمهای آلوده تأکید میکند، چرا که مهاجمان ممکن است نمونههای ناشناخته بدافزار خود را همچنان فعال نگه دارند.
