iفین تک (ای فین تک - آی فین تک)

بدافزاری با پشتوانه پلتفرم معتبر

به تحلیل iفین‌تک، بدافزار جدیدی با نام SHELBY توسط کارشناسان امنیت سایبری شناسایی شده است که ویژگی منحصر به فردی دارد: استفاده از پلتفرم GitHub به عنوان سرور کنترل و فرمان (Command and Control یا C2). این رویکرد به مهاجمان اجازه می‌دهد بدون نیاز به ایجاد زیرساخت‌های اختصاصی، از محیطی مشروع برای مدیریت بدافزار استفاده کنند.

عملکرد فنی SHELBY: استفاده هوشمند از GitHub

SHELBY در ساختار خود از ریپازیتوری‌های GitHub برای دریافت دستورالعمل‌های جدید، آپدیت فایل‌های اجرایی و ارسال داده‌های جمع‌آوری‌شده به مهاجمان بهره می‌گیرد. این بدافزار از طریق PowerShell در سیستم قربانی اجرا می‌شود و سپس با بررسی وضعیت دستگاه، اقدام به ایجاد اتصال پایدار با GitHub می‌کند.

نکته کلیدی در عملکرد SHELBY آن است که ارتباطات بین سیستم آلوده و GitHub کاملاً مشروع به نظر می‌رسد و بسیاری از راهکارهای امنیتی سازمان‌ها چنین تبادلاتی را غیرمخرب در نظر می‌گیرند. درواقع، مهاجمان با سوءاستفاده از API رسمی GitHub، اطلاعات را به‌صورت رمزنگاری‌شده بین بدافزار و مخزن مخفی تبادل می‌کنند.

چرا GitHub؟ بررسی استراتژی مهاجمان

انتخاب GitHub به عنوان ابزار C2، یک استراتژی نوین در میان تهدیدهای پیشرفته (APT) محسوب می‌شود. این پلتفرم به‌دلیل اعتبار بالا، دسترسی آسان، رمزنگاری ذاتی HTTPS و ویژگی‌های همکاری هم‌زمان، یک گزینه بسیار کارآمد برای مخفی کردن فعالیت‌های مخرب است.

برخلاف روش‌های قدیمی که نیاز به سرورهای خاص برای ارتباط C2 داشتند، مهاجمان با استفاده از GitHub می‌توانند عملیات خود را در بستر ابری و بدون جلب توجه انجام دهند. حتی در صورت کشف فعالیت مشکوک، پاک‌سازی یک ریپازیتوری در GitHub بسیار آسان‌تر از تعطیل کردن یک سرور اختصاصی است.

قابلیت‌های خطرناک SHELBY

به گزارش آی فین‌تک، SHELBY یک بدافزار چندمنظوره با مجموعه‌ای از توانایی‌های پیشرفته است که شامل موارد زیر می‌شود:

اجرای دستورات از راه دور (RCE)

سرقت اطلاعات حساس از مرورگر و فایل‌ها

تهیه اسکرین‌شات و keylogging

قابلیت‌های ماندگاری در سیستم (persistence)

مخفی‌سازی فرآیندها و جلوگیری از کشف توسط آنتی‌ویروس‌ها

این ترکیب از ویژگی‌ها، SHELBY را به یک تهدید جدی به‌ویژه برای سازمان‌های فناوری‌محور و کسب‌وکارهای دیجیتال تبدیل کرده است.

آمار و اهداف احتمالی حمله

در بررسی‌های انجام‌شده، نمونه‌هایی از این بدافزار در کشورهای مختلف از جمله ایالات متحده، آلمان، هند و ترکیه شناسایی شده‌اند. اهداف اولیه شامل شرکت‌های فعال در حوزه فناوری، استارتاپ‌های مالی، نهادهای آموزشی و موسسات تحقیقاتی بوده‌اند. همچنین تحلیل‌ها نشان می‌دهد که مهاجمان با هدف جمع‌آوری اطلاعات طبقه‌بندی‌شده و گسترش بدافزار در شبکه‌های داخلی سازمان‌ها عمل می‌کنند.

چالش‌های مقابله با SHELBY برای تیم‌های امنیتی

استفاده از GitHub به‌عنوان زیرساخت ارتباطی، ابزارهای سنتی شناسایی بدافزار را به چالش کشیده است. بسیاری از فایروال‌ها و سامانه‌های تشخیص نفوذ (IDS) ترافیک مرتبط با GitHub را مجاز تلقی می‌کنند، که این موضوع شناسایی فعالیت‌های مخرب را دشوار می‌سازد.

به تحلیل آی فین‌تک، تیم‌های امنیتی برای مقابله با SHELBY و بدافزارهای مشابه، باید به ابزارهای تحلیل رفتاری و مانیتورینگ دقیق فعالیت‌های PowerShell مجهز شوند. صرفاً اتکا به آنتی‌ویروس‌ها یا لیست‌های سیاه IP برای چنین تهدیداتی کفایت نمی‌کند.

پیشنهادهای امنیتی برای مقابله با این تهدید

برای کاهش ریسک نفوذ و فعالیت بدافزار SHELBY، سازمان‌ها باید اقدامات زیر را در نظر بگیرند:

محدود کردن دسترسی PowerShell در سیستم‌های کاربران عادی

استفاده از ابزارهای تشخیص فعالیت غیرعادی در GitHub

پیاده‌سازی سیستم‌های EDR (تشخیص و پاسخ نقطه پایانی)

آموزش کاربران درباره تهدیدهای مهندسی اجتماعی

ارزیابی ترافیک HTTPS با ابزارهای تحلیل عمیق بسته‌ها (DPI)

این اقدامات می‌توانند به تیم‌های امنیتی کمک کنند تا زودتر متوجه فعالیت مشکوک شده و مانع از گسترش بدافزار شوند.

 زنگ خطری برای سوءاستفاده از پلتفرم‌های قانونی

به گزارش iفین‌تک، بدافزار SHELBY نمونه‌ای از تهدیدهای مدرن و پیشرفته‌ای است که با بهره‌گیری از پلتفرم‌های قانونی مانند GitHub، اقدامات خرابکارانه خود را پنهان می‌کنند. این رویکرد مهاجمان، نشان‌دهنده دوران جدیدی از جنگ سایبری پنهان است که در آن ابزارهای توسعه‌دهندگان به سلاح‌های دیجیتال تبدیل می‌شوند.

با افزایش چنین تهدیداتی، ضرورت دارد که سازمان‌ها علاوه‌بر تقویت زیرساخت‌های امنیتی، نسبت به رفتارهای غیرمعمول در پلتفرم‌های معتبر نیز حساس‌تر شوند. آینده امنیت سایبری به توانایی ما در تشخیص تهدید در میان فعالیت‌های به ظاهر قانونی بستگی دارد.