گروه هکری Seedworm با باینریهای امضاشده جاسوسی کرد
خلاصهٔ کاملتر
شرکت سیمانتک یک کارزار جاسوسی گسترده را شناسایی کرده که در اوایل ۲۰۲۶ دستکم ۹ سازمان را در ۹ کشور و چهار قاره هدف گرفته. گردانندهی این کارزار گروه Seedworm (با نامهای MuddyWater، Temp Zagros و Static Kitten) است که پژوهشگران معتقدن از طرف وزارت اطلاعات ایران فعالیت میکنه. اهداف شامل تولیدکنندگان صنعتی و الکترونیک، نهادهای دولتی، خدمات مالی، مؤسسات آموزشی و یک فرودگاه بینالمللی در خاورمیانه بودن.
نکتهی متمایز این حمله، نحوهی پنهانشدن مهاجمان است. بهجای بدافزار آشکار، دو فایل اجرایی معتبر و امضاشده را به کار گرفتن: fmapp.exe (ابزار درایور صوتی Fortemedia) برای بارگذاری fmapp.dll مخرب، و sentinelmemoryscanner.exe (جزئی از یک محصول امنیتی) برای بارگذاری sentinelagentcore.dll. این تکنیک که DLL Sideloading نام داره، چون ابزارهای امنیتی به نرمافزار امضاشده اعتماد میکنن، تشخیصش بسیار سخته. هر دو فایل مخرب حامل ابزار ChromElevator بودن که رمزها، کوکیها و دادهی پرداخت را از مرورگر میدزده.
نکتهی فنی مهم اینه که زنجیرهی حمله نه با اپراتور انسانی، بلکه با node.exe (رانتایم Node.js) هدایت میشد؛ یک اسکریپت Node.js داخل یک فایل XML روی ماشین آلوده پنهان شده بود. این یک تغییر نسبت به عادت قدیمی گروه (اجرای دستورات خام PowerShell) به سمت رانتایمی است که ردیابیاش سختتره. ماندگاری هم با افزودن یک ورودی به کلید استارتاپ ویندوز برقرار میشد.
برای خروج داده، مهاجمان از یک سرویس عمومی انتقال فایل به نام sendit.sh استفاده کردن تا سرقت را داخل ترافیک عادی ابری پنهان کنن. آنها ابزارهای سرقت اعتبارنامه را در چند مرحله به کار بردن (دامپ هش رمز از رجیستری، دیالوگ جعلی ورود ویندوز و استخراج بلیتهای Kerberos از حسابهای پرسطحدسترسی) که به گفتهی سیمانتک نشانهی بلوغ و انضباط فزایندهی این گروه است.
نکات کلیدی:
- Seedworm با سوءاستفاده از باینریهای امضاشدهی Fortemedia و SentinelOne و تکنیک DLL Sideloading نفوذ کرد
- بدافزار ChromElevator رمز، کوکی و دادهی پرداخت مرورگر را میدزدید
- زنجیرهی حمله با Node.js هدایت میشد، نه PowerShell
- توصیه: رصد DLLهای امضانشده کنار اجراهای امضاشده و فعالیت غیرمنتظرهی Node.js




