روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛  بیش از شش سال است که تیم GReAT در کسپرسکی خلاصه‌هایی فصلی از فعالیت APT منتشر می‌کند. این خلاصه‌ها بر اساس تحقیقات سرویس هوش تهدیدمان هستند که کارشان ارائه‌ی بخش‌هایی است از آنچه قبل‌تر نشر دادیم و در گزارشات خصوصی APT خود به تفصیل در موردشان بحث نمودیم. در واقع این گزارشات طراحی شدند تا رخدادها و یافته‌های مهمی را که حس می‌کنیم افراد باید نسبت به آن‌ها آگاه باشند برجسته کنند. در این مقاله قصد داریم گزارشی ارائه  دهیم از روندهای APT در سه‌ماهه‌ی اول سال میلادی جاری. با ما همراه بمانید.

قابل‌توجه‌ترین یافته‌ها

گروه Gelsemium اکسپلویتِ سمت سرور را انجام می‌دهد که به طور موثر به یک پوسته وب منتهی می‌شود و از ابزارهای سفارشی و عمومی مختلفی که با تکنیک‌ها و فناوری‌های مخفیانه مستقر شده‌اند استفاده می‌کند. دو ایمپلنت اصلی، SessionManager و OwlProxy، برای اولین بار در سال 2022 پس از سوء استفاده از نوع ProxyLogon از سرورهای Exchange شناسایی شدند. آخرین تحقیقات ما به دلیل کشف فعالیت مشکوک در سروری واقع در فلسطین در اواسط نوامبر 2023، با آثاری از تلاش برای نقض قبلی در 12 اکتبر 2023 انجام شد. محموله ها به طور مشخص، به عنوان فایل فونت، به صورت فشرده ارائه می‌شدند. مد رمزگذاری شده این ویژگی ما را به رخدادهای بسیار مشابه در تاجیکستان و قرقیزستان سوق داد.

Careto یک عامل تهدید بسیار پیچیده است که حداقل از سال 2007 دیده شده و سازمان های مختلف را هدف قرار داده اما آخرین عملیات انجام‌شده توسط این عامل تهدید در سال 2013 مشاهده شده است. از آن زمان تاکنون هیچ اطلاعاتی در مورد فعالیت Careto منتشر نشده. شکار تهدید اخیر ما را قادر ساخت تا بینشی از کمپین‌هایی که توسط Careto در سال‌های 2024، 2022 و 2019 اجرا می‌شد به دست آوریم. گزارش خصوصی ما با تمرکز بر نحوه انجام عفونت‌های اولیه، حرکت جانبی، اجرای بدافزار و داده‌ها توسط عامل شرح مفصلی از این فعالیت‌ها ارائه می‌دهد. فعالیت‌های دفع قابل توجه است که بازیگر Careto از تکنیک‌های سفارشی مانند استفاده از سرور ایمیل MDaemon برای حفظ جایگاه خود در سازمان یا استفاده از درایور HitmanPro Alert برای پایداری استفاده می‌کرد. در مجموع، ما شاهد استفاده Careto از سه ایمپلنت پیچیده برای فعالیت‌های مخرب بوده‌ایم که آن‌ها را FakeHMP،  Careto2 و Goreto نام‌گذاری کردیم. قابلیت‌های این ایمپلنت‌ها نیز در گزارش خصوصی ما تشریح شدند.

خاورمیانه

در ماه مارس، یک کمپین بدافزار جدید کشف شد که نهادهای دولتی در خاورمیانه را هدف قرار می‌داد. ما نام  آن را دون‌کیشوت  گذاشتیم. تحقیقاتمان بیش از 30 نمونه دراپر DuneQuixote را کشف کرد که به طور فعال در این کمپین به کار گرفته شده بودند. دراپرها نشان‌دهنده دستکاری فایل‌های نصب‌کننده ابزار قانونی به نام  Total Commander  هستند. اینها کدهای مخربی را برای بارگیری محموله‌های بیشتر حمل می‌کنند که حداقل برخی از آنها نمونه‌های بک‌در موسوم به CR4T هستند. در زمان کشف، ما تنها دو نوع ایمپلنت را شناسایی کردیم، اما به شدت به وجود سایر ایمپلنت‌ها که ممکن است به شکل بدافزار کاملاً متفاوتی باشند، مشکوک هستیم. این گروه پیشگیری از جمع‌آوری و تجزیه و تحلیل ایمپلنت‌های خود را در اولویت قرار دادند - کمپین‌های دون‌کیشوت روش‌های فرار عملی و به خوبی طراحی شده، هم در ارتباطات شبکه و هم در کدهای بدافزار را نشان می‌دهند. آخرین گزارش ما در مورد Oilrig APT پیرامون این بود که چگونه ارائه دهندگان خدمات فناوری اطلاعات به طور بالقوه به عنوان نقطه محوری برای دستیابی به مشتریان خود به عنوان یک هدف نهایی مورد استفاده قرار می‌گیرند، و اینکه ما همچنان فعالیت عامل تهدید را برای شناسایی تلاش‌های مربوط به عفونت دنبال می‌کنیم. فعالیت دیگری را نیز در این فرآیند شناسایی کردیم که احتمالاً توسط همان عامل تهدید پیش برده می‌شد اما این بار یک ارائه‌دهنده خدمات اینترنتی در خاورمیانه هدفش بود. این فعالیت جدید باعث شد که بازیگر با استفاده از VB و PowerShell صحنه‌سازی‌شده از ایمپلنت مبتنی بر دات‌نت استفاده کند. ما نام آن را  SKYCOOK  گذاشتیم که یک ابزار اجرای دستور از راه دور و سارق داده ست. این بازیگر همچنین از یک کی‌لاگر مبتنی بر کلید خودکار استفاده می‌کند.

آسیای جنوب شرقی و شبه جزیره کره

ما در چند سال گذشته فعالیت‌های DroppingElephant را ردیابی و اخیراً چندین نمونه از Spyder backdloor و همچنین Remcos RAT و در تعداد کمتری از موارد دیگر ابزارهای مخرب RAT را در عملیات آن شناسایی کرده‌ایم. اینطور مشاهده شده که عامل تهدید از شبکه DISCORD CDN سوء استفاده کرده و از فایل‌های مخرب .DOC و .LNK برای ارائه این ابزارهای دسترسی از راه دور به قربانیان در جنوب آسیا استفاده می‌کند. طبق توضیحات، بک‌در Spyder برای هدف قرار دادن چندین نهاد در جنوب آسیا استفاده شده است. در گزارش خود، IoCهای تازه کشف شده و نوع سازمان‌های هدف را بر اساس تله‌متری خود به اشتراک گذاشتیم. در پایان سال 2023، یک بدافزار شاخصی را کشف کردیم که توسط گروه Kimsuky تنظیم شده بود و با بهره‌برداری از نرم‌افزار قانونی انحصاری کره جنوبی ارائه شد. گرچه روش دقیق مورد استفاده برای دستکاری این برنامه قانونی به عنوان بردار آلودگی اولیه نامشخص است، اما تأیید کردیم که نرم افزار قانونی ارتباطی با سرور مهاجم برقرار کرده. سپس یک فایل مخرب را بازیابی و بدین ترتیب اولین مرحله بدافزار را آغاز کرده است.

با کمک Durian اپراتور روش های اولیه مختلفی را برای حفظ ارتباط با قربانی که نامش اجرا کرد. ابتدا، آنها بدافزار اضافی به نام  AppleSeed را معرفی کردند، یک بک‌در مبتنی بر HTTP که معمولاً توسط گروه Kimsuky استفاده می‌شود. علاوه بر این، آنها ابزارهای قانونی، از جمله ngrok و Chrome Remote Desktop را به همراه یک ابزار پروکسی سفارشی، برای دسترسی به ماشین‌های مورد نظر ترکیب کردند. در نهایت، بازیگر این بدافزار را برای سرقت داده‌های ذخیره‌شده در مرورگر از جمله کوکی‌ها و اطلاعات لاگین جاسازی کرد. بر اساس تله متری خود، دو قربانی را در بخش ارزهای دیجیتال کره جنوبی شناسایی کردیم. اولین مصالحه در آگوست 2023 و به دنبال آن سازش دوم در نوامبر 2023 رخ داد. قابل توجه است که تحقیقات ما قربانی دیگری را در این موارد کشف نکرد که نشان دهنده رویکرد هدف‌گیری بسیار متمرکز از سوی بازیگر باشد.

نظر به اینکه این بازیگر به طور انحصاری از بدافزار AppleSeed استفاده می‌کرد، ابزاری که از لحاظ تاریخی با گروه Kimsuky مرتبط است، ما از نسبت دادن این حملات به Kimsuky اطمینان بالایی داریم. با این حال، به طرز جالبی، ارتباط ضعیفی را با گروه اندریل شناسایی کرده‌ایم. Andariel، که به دلیل استفاده از یک ابزار پراکسی سفارشی به نام LazyLoad شناخته می‌شود، به نظر می‌رسد شباهت‌هایی با بازیگر این حمله دارد، همانطور که در طول تحقیقات ما مشاهده شد، او نیز از LazyLoad استفاده کرده بوده. چنین ارتباط ظریف مستلزم کاوش بیشتر در مورد همکاری بالقوه یا تاکتیک های مشترک بین این دو عامل تهدید است.

ViolentParody بک‌دری است که در یک شرکت بازی کره جنوبی شناسایی شده و آخرین استقرار آن در ژانویه امسال مشاهده شده است. عامل تهدید با آلوده کردن یک فایل دسته‌ای واقع در یک اشتراک شبکه داخلی، این بک‌در را در شبکه سازمان توزیع کرد. اجرای فایل .BAT آلوده مذکور منجر به راه‌اندازی یک نصب‌کننده MSI می‌شود که به نوبه خود بک‌در دستگاه را رها کرده و آن را به گونه‌ای پیکربندی می‌کند که در کارهای برنامه‌ریزی‌شده و اشیاء COM ادامه یابد. تجزیه و تحلیل این بک‌در نشان داد که می‌تواند داده‌های شناسایی را روی دستگاه آلوده جمع‌آوری کند، عملیات سیستم فایل را انجام دهد و پی‌لودهای مختلف را تزریق کند. علاوه بر این، عامل تهدید را در پشت این ابزارهای آزمایش نفوذ راه‌اندازی بک‌در، مانند Ligolo-ng، Inveigh و Impacket مشاهده کردیم. فعالیت توصیف شده در گزارش خود را با اطمینان کم به Winnti نسبت می‌دهیم.

بازیگر تهدید SideWinder در ماه‌های اخیر صدها حمله را علیه نهادهای برجسته در آسیا و آفریقا انجام داد. اکثر حملات با یک ایمیل فیشینگ حاوی یک داکیومنت Microsoft Word یا یک آرشیو ZIP با یک فایل LNK در داخل شروع می‌شود. پیوست زنجیره‌ای از رویدادها را آغاز می‌کند که منجر به اجرای چندین مرحله میانی با بارگذارهای مختلف جاوا اسکریپت و دات‌نت می‌شود و در نهایت با یک ایمپلنت مخرب توسعه یافته در NET که فقط در حافظه اجرا می‌گردد به پایان می‌رسد. در طول بررسی، زیرساخت نسبتاً بزرگی متشکل از سرورهای خصوصی مجازی مختلف و ده‌ها زیر دامنه را مشاهده کردیم. فرض بر این است که بسیاری از زیر دامنه‌ها برای قربانیان خاص ایجاد شده‌اند، و طرح نام‌گذاری نشان می‌دهد که مهاجم سعی کرده ارتباطات مخرب را به عنوان ترافیک قانونی از وب‌سایت‌های مرتبط با نهادهای دولتی یا شرکت‌های تدارکات پنهان کند.

SideWinder در طول تاریخ نهادهای دولتی و نظامی را در جنوب آسیا هدف قرار داده است، اما در این مورد، ما طیف گسترده‌ای از اهداف را مشاهده کردیم. این بازیگر همچنین قربانیان واقع در جنوب شرقی آسیا و آفریقا را به خطر انداخت. علاوه بر این، نهادهای دیپلماتیک مختلفی را در اروپا، آسیا و آفریقا دیدیم که به خطر افتادند. گسترش هدف‌گذاری شامل صنایع جدید نیز می‌شود که با کشف اهداف جدید در بخش لجستیک، به‌ویژه در لجستیک دریایی اثبات شده است. گروه Lazarus دارای خوشه‌ بدافزارهای مختلفی در زرادخانه خود است و همچنان به به روز رسانی عملکردها و تکنیک های خود برای فرار از شناسایی ادامه می‌دهد. با این حال، می‌توان مشاهده کرد که این بازیگر در مواقعی از بدافزار قدیمی خود استفاده می‌کند. اخیراً متوجه شدیم که این بازیگر بدنام در حال آزمایش ابزار قدیمی و آشنای خود یعنی ThreatNeedle بوده است. نویسنده بدافزار از ابزار بایندر برای ایجاد بدافزار مرحله اولیه برای تحویل و کاشت پی‌لود نهایی استفاده کرد. هدف اصلی ابزار بایندر مونتاژ نصب کننده بدافزار، بار واقعی و پیکربندی است. علاوه بر این، فایل‌های مخرب مختلفی را از یک دستگاه آسیب‌دیده کشف کردیم که پس از ارسال پروفایل قربانی، پی‌لود مرحله بعدی را دریافت می‌کرد. این نوع بدافزار دانلود‌کننده نمونه‌ای از روش عملیات لازاروس است. با این حال، این گروه در این زمان از یک فرمت ارتباطی HTTP پیچیده‌تر استفاده کرد تا از شناسایی در سطح شبکه جلوگیری نماید. با بررسی منابع Command-and-Control (C2) مورد استفاده بازیگر، بسته‌های NPM را کشف کردیم که حاوی کدهای مخرب جاوا اسکریپت برای ارائه بدافزار بدون اطلاع کاربر است. اکثر آنها به عنوان برنامه‌های مرتبط با ارزهای دیجیتال پنهان شده‌اند و می‌توانند پی‌لود اضافی را از سرور تحت کنترل بازیگر دانلود کنند. این یک استراتژی بسیار مشابه با طرحی است که ما در گذشته مشاهده و گزارش کرده‌ایم.

هکتیویسم

Hacktivism که محصول هک و کنش‌گری است، اغلب از پروفایل تهدید یک شرکت حذف می‌شود. این نوع بازیگر تهدید معمولاً در انواع بحران‌ها، درگیری‌ها، جنگ‌ها و اعتراض‌ها و سایر رویدادها فعال بوده و هدفش ارسال پیام سیاسی، اجتماعی یا ایدئولوژیک با استفاده از ابزارهای دیجیتال است.SiegedSec نفوذها و فعالیت‌های هکتیویستی خود را در سراسر سال 2023 در سطح بین المللی افزایش داد. این گروه کوچک که از سال 2022 فعال است، عمدتاً عملیات هک و نشت را انجام می‌دهد. همانند گروه‌های هکریستی گذشته مانند LulzSec، آنچه که با هک و نشت و عملیات مخرب «just for lulz» شروع شد، به تلاش‌های تهاجمی متعدد در تعقیب اهداف مرتبط با عدالت اجتماعی در سراسر جهان تبدیل گشت. این فعالیت‌ها همچنین به هماهنگی با سایر گروه‌های مجرم سایبری به عنوان بخشی از گروه هکریستی Five Families انجامید اگرچه SiegedSec بعداً به دلیل رفتار نامناسب اخراج شد. فعالیت تهاجمی اخیر آنها منوط به رویدادهای سیاسی اجتماعی جاری است.

فعالیت تهاجمی متمرکز بر برنامه‌های وب آنها شرکت‌ها و زیرساخت‌های صنعتی و دولتی را هدف قرار داده و اطلاعات حساس دزدیده شده را افشا می‌کند. ابتکارات عدالت اجتماعی SiegedSec شامل درخواست آزادی برای تخریب کننده/هکر وب سایت کلمبیایی بازداشت شده، دخالت دول ایالتی ایالات متحده در وضع قوانین ضد سقط جنین، درگیری مداوم اسرائیل و حماس و نقض ادعایی حقوق بشر توسط ناتو است. اعضای گروه، چه در گذشته و چه در حال حاضر، هنوز آزاد هستند. در طول درگیری اسرائیل و حماس، فعالیت‌های هکتیویست‌ها از سراسر جهان افزایش یافته است، از جمله انکار سرویس (DoS و DDoS)، تخریب وب، داکس و بازیافت نشت‌های قدیمی. اهداف و قربانیان عمدتاً زیرساخت‌های اسرائیل و فلسطین بوده‌اند. اما از آنجایی که در هر دو طرف این درگیری حامیانی وجود دارد، هکتیویست‌ها زیرساخت کشورهای حامی را نیز هدف قرار می‌دهند. برای کاهش قرار گرفتن در معرض عوامل تهدید از این نوع، ابتدا مهم است که در صورت وقوع رویدادهای مشابه، نمایه تهدید/خطر به روز شود. دوم، درک قرار گرفتن در معرض فناوری مرتبط با کشور یا مؤسسه مربوطه، و جلوگیری از دسترسی غیرمجاز با اطمینان از دسترسی ایمن و نرم افزار به روز، حیاتی است. سوم، آمادگی DoS/DDoS واجب است. اگرچه این حملات گذرا هستند، و صرفاً دسترسی را برای مدت محدودی قبل از از سرگیری سرویس عادی رد می‌کنند، اما ابزارهای مربوطه به طور گسترده در دسترس بوده و تأثیر مخرب آنها بر عملیات تجاری ممکن است بسته به مدت و اندازه حمله متفاوت باشد. بنابراین، اجرای اقداماتی برای کاهش حملات کاربردی و حجمی ضروری است.

در نهایت، نشت داده‌ها امروزه تقریباً اجتناب‌ناپذیر است. هکرها ممکن است صرفاً با اطلاعات محرمانه سرقت شده برای دسترسی کامل سازمانی و افشای اطلاعات حساس دست به کار شوند. سپس داده ها ممکن است در رویدادهای آینده بازیافت شوند و طوری در رسانه‌های خبری به تیترهای داغ تبدیل شوند که دیگر کسی نباشد آن اخبار را نشنیده باشد. بهترین رویکرد برای کاهش این امر، جلوگیری از نشت داده‌ها در همان وهله اول است. پیاده‌سازی روش‌هایی برای نظارت بر جریان شبکه می‌تواند در شناسایی جریان داده‌های خروجی غیرعادی بزرگ، که می‌تواند در مراحل اولیه مسدود شود، مفید باشد.

سایر کشفیات جالب

در سال 2020، یک کمپین فعال را گزارش کردیم که در سال 2019 آغاز به کار کرد و از بدافزار جدید اندرویدی به نام Spyrtacus نیز  که در آن زمان علیه افراد در ایتالیا استفاده می‌شد، استفاده می‌کرد. این ابزار شباهت‌هایی با HelloSpy، نرم‌افزار بدنامی که برای نظارت از راه دور دستگاه‌های آلوده استفاده می‌شود، داشت. بازیگر تهدید برای اولین بار در سال 2018 توزیع APK مخرب را از طریق Google Play شروع کرد، اما به صفحات وب مخربی روی آورد که برای تقلید از منابع قانونی مربوط به رایج‌ترین ارائه‌دهندگان خدمات اینترنتی ایتالیایی در سال 2019 ساخته شده بودند. در طول این سال‌ها به نظارت خود روی این تهدید ادامه دادیم م مین اواخر Spyrtacus را پیشتر عاملی ناشناخته بود و مخصوص ویندوز توسعه داده شده بود کشف کردیم. این ایمپلنت کارش را منبع C2 است که از قبل در یکی از گزارشات ما اسمش برده شد و شباهت‌هایی با همتای اندرویدی‌اش در منطق بدافزار و پروتکل ارتباطی دارد. در طول بررسی‌ها که نشان‌دهنده وجود ایمپلنت‌هایی برای آی‌اواس و مک‌اواس است و این یعنیفعالیت‌های این گروه  به سایر کشورها در اروپا، آفریقا و خاورمیانه بسط پیدا کرده است.

تفکرات نهایی

گرچه TTPهای برخی عاملین تهدید در گذر زمان ثابت می‌مانند (مانند تکیه شدید بر مهندسی اجتماعی به عنوان ابزاری برای به دست آوردن کنترل بر سازمان هدف یا دستکاری دستگاه فرد) اما بقیه مجموعه ابزارهای خود را تازه کرده و مقیاس فعالیت‌های خود را نیز گسترش داده‌اند. بررسی‌های فصلی منظم ما برای برجسته کردن مهم‌ترین پیشرفت‌های مربوط به گروه‌های APT است. در اینجا روندهای اصلی که در سه ماهه اول 2024 شاهد بودیم آمده است:

•         مهمترین نکات مهم در این سه ماهه شامل استفاده Kimsuky  از بک‌در دوریان مبتنی بر Golang در یک حمله زنجیره تامین در کره جنوبی و کمپین‌های متمرکز بر خاورمیانه، از جمله APT هایی مانند Gelsemium، و همچنین حملات هکتیویستی است.
•         بدافزار Spyrtacus که برای هدف قرار دادن افراد در ایتالیا استفاده می‌شود، نشان می‌دهد که عوامل تهدید همچنان برای پلتفرم‌های متعدد، از جمله بدافزارهای تلفن همراه، توسعه می‌یابند.
•         کمپین های APT همچنان از نظر جغرافیایی بسیار پراکنده هستند. در این سه‌ماهه، کمپین‌هایی را گزارش کردیم که بر اروپا، قاره آمریکا، خاورمیانه، آسیا و آفریقا متمرکز بودند.
•         ما شاهد حملاتی بوده‌ایم که بخش‌های مختلفی از جمله دولتی، دیپلماتیک، بازی، لجستیک دریایی و یک ISP را هدف قرار داده‌اند.
•         ژئوپلیتیک یک محرک اصلی توسعه APT است و جاسوسی سایبری همچنان هدف اصلی کمپین‌های APT است.
•         ما همچنان شاهد ظهور بیشتر کمپین‌های هکتیویستی هستیم: این کمپین‌ها عمدتاً (اما نه منحصراً) حول درگیری اسرائیل و حماس متمرکز شده‌اند مانند آنچه در فعالیت‌های SiegedSec دیده می‌شود.

مثل همیشه، دوست داریم اشاره کنیم که گزارشاتی که ارائه می‌دهیم محصول دید خوب تیم ما از چشم‌انداز تهدید است. با این حال باید در نظر داشت که گرچه تلاش داریم همیشه خود را بهتر کنیم اما همیشه هم این امکان وجود دارد که حملات پیچیده دیگری وجود داشته باشند که در زاویه دید رادارهای تیز ما قرار نگیرند.

تکذیبیه:  هنگامی که به گروه‌های APT به‌عنوان روسی‌زبان، چینی‌زبان یا زبان‌های دیگر اشاره می‌کنیم، منظور مصنوعات مختلفی که توسط گروه‌ها استفاده می‌شود (مانند رشته‌های اشکال‌زدایی بدافزار، نظرات موجود در اسکریپت‌ها و غیره) است که حاوی کلماتی در این گروه‌ها هستند. زبان‌ها، بر اساس اطلاعاتی که مستقیماً به دست آورده‌ایم یا به‌طور عمومی شناخته شده و به طور گسترده گزارش شده است. استفاده از زبان های خاص لزوماً یک رابطه جغرافیایی خاص را نشان نمی‌دهد، بلکه به زبان هایی اشاره می‌کند که توسعه دهندگان پشت این مصنوعات APT استفاده می‌کنند.

کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.