روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ تیم GReAT بیش از هفت سال است که گزارشات سه‌ماهه‌ای از فعالیت APT منتشر می‌کند. بر اساس تحقیقات هوش تهدید ما، این خلاصه‌ها نگاهی اجمالی دارند بر آنچه به طور مبسوط در گزارشات APT خصوصی خود منتشر کرده و بدان‌ها پرداختیم. هدف، برجسته کردن رویدادهای مهم و یافته‌های اساسی است که به گمان ما افراد لازم است از آن‌ها مطلع باشند. گزارش فعلی، آخرین خلاصه سه‌ماهه‌ی سال 2024 است. با ما همراه باشید. 

قابل توجه‌ترین یافته‌ها

در نیمه دوم سال 2022، موجی از حملات از سوی یک عامل تهدید ناشناس قربانیان را با نوع جدیدی از چارچوب حمله که ما آن را P8 نامیدیم، هدف قرار داد. این کمپین قربانیان ویتنامی، عمدتاً از بخش مالی و برخی از بخش املاک و مستغلات را نشانه گرفت. بعداً، در سال 2023، Elastic Lab گزارشی درباره حمله OceanLotus APT  معروف به APT32) ) منتشر کرد که از مجموعه جدیدی از ابزارهای مخرب به نام Spectral Viper بهره می‌برد. اگرچه کمپین‌ها یکسان هستند، اما نمی‌توانیم به طور قطعی P8 را به OceanLotus نسبت دهیم.

چارچوب P8 شامل یک لودر و چندین پلاگین می‌شود. به جز لودر مرحله اول و پلاگین PipeShell، همه پلاگین ها از C2 دانلود و سپس در حافظه بارگذاری می‌شوند و هیچ اثری روی دیسک باقی نمی‌گذارند. پس از تجزیه و تحلیل کامل چارچوب و ماژول های آن، حدسمان بر این است که P8 بر اساس پروژه منبع باز C2Implant، که یک چارچوب قرمز رنگ C2 است، توسعه یافته باشد. با این حال، P8 شامل بسیاری از توابع داخلی و طراحی مجدد پروتکل ارتباطی و الگوریتم رمزگذاری می‌شود که آن را به یک پلت‌فرم جاسوسی خوب و قدرتمند تبدیل می‌کند. بر اساس فرمان‌های پشتیبانی‌شده پیاده‌سازی‌شده، گمان می‌کنیم که هدف پیاده‌سازی یک پلت‌فرم پس از بهره‌برداری مشابه Cobalt Strike باشد. روش‌های به دست آوردن ماندگاری در سیستم‌های آسیب‌دیده ساخته نشده‌اند و به دستورات دریافتی از C2 بستگی دارند. متأسفانه، نتوانستیم هیچ فایل طعمه یا ناقل عفونت اولیه را به دست آوریم. بر اساس تله متری محدود، ما با اطمینان متوسط ​​به پایین معتقدیم که برخی از آلودگی‌های اولیه ایمیل های فیشینگ نیزه ای بوده‌اند. قابل ذکر است، این حملات از نسخه منسوخ شده ابزار حذف Kaspersky برای بارگذاری جانبی چراغ P8 استفاده می کنند. ما همچنین آسیب‌پذیری‌های SMB و درایور چاپگر را مشاهده کردیم که برای حرکت جانبی در شبکه استفاده می‌شوند.

پیشتر گزارش پیگیری در P8 منتشر کردیم که پلاگین های مورد استفاده در حملات را توصیف می‌کند. هر بار که سیستم راه اندازی مجدد می‌شود، یا بر اساس نیاز عملیات، P8 افزونه های اضافی را از C2 دانلود یا آنها را از دیسک در حافظه بارگذاری می‌کند. تاکنون 12 پلاگین یا ماژول را جمع‌آوری کرده ایم که برای پشتیبانی از عملیات با افزودن قابلیت‌هایی برای حرکت جانبی، استخراج، مدیریت فایل، سرقت اعتبار، گرفتن اسکرین‌شات یا قابلیت های بارگذاری سفارشی استفاده می‌شود. به طور خاص، دو افزونه برای آپلود فایل های مورد علاقه استفاده می‌شود. یک افزونه برای فایل‌های کوچک و پلاگین دوم برای آپلود فایل‌های بزرگ به سرور دیگری استفاده می‌شود- احتمالاً برای کاهش بار شبکه در C2.  ما متعاقباً حملات جدیدی را از سوی این عامل تهدید شناسایی کردیم. در حین انجام این حملات، بازیگر TTP های خود را از آنچه در گزارش های قبلی ما ذکر شده بود تغییر داد. به عنوان مثال، مکانیسم‌های پایداری جدیدی شناسایی شدند و متوجه شدیم که مکانیسم بارگذاری محموله نهایی، چراغ P8 نیز تغییر کرده است. از نظر علم قربانی‌شناسی، تغییر چندانی حاصل نشد. بیشتر موارد عفونت هنوز در موسسات مالی در ویتنام بود و یک قربانی در صنعت تولید فعال بود. ناقل عفونت هنوز پیدا نشده است و ما نتوانستیم این حملات را به OceanLotus (APT32) مرتبط کنیم.

در اوایل سال 2024، مشخص شد که یک درایو USB ایمن به خطر افتاده و کد مخرب به نرم افزار مدیریت دسترسی نصب شده روی درایو USB تزریق شده است. درایو USB ایمن توسط یک نهاد دولتی در آسیای جنوب شرقی برای ذخیره و انتقال ایمن فایل‌ها بین ماشین‌ها در محیط‌های حساس ایجاد شده است. نرم افزار مدیریت دسترسی، رسیدن به پارتیشن رمزگذاری شده درایو را تسهیل می‌کند. یک نسخه تروجان‌زده از ماژول نرم افزاری برای استفاده در این حملات پیدا شد. کد مخرب تزریق شده به آن برای سرقت فایل های حساس ذخیره‌شده در پارتیشن امن درایو طراحی شده است، در حالیکه به عنوان یک کرم USB عفونت را به درایوهای USB -از همان نوع- پخش می‌کند. سال گذشته حملاتی را علیه نوع دیگری از درایو USB ایمن بررسی کردیم. به طور مشابه، حملات از طریق یک نرم افزار مدیریت USB تروجان‌زده به نام UTetris انجام شد. ما در حال ردیابی عامل تهدید کننده حمله نرم افزار UTetris به نام TetrisPhantom هستیم. علاوه بر نرم افزار Trojanized UTetris، TetrisPhantom از تعدادی ابزار مخرب دیگر استفاده می‌کند که چند سالی است در حال استفاده بوده اند. TetrisPhantom هنوز فعال بوده و نمونه های جدیدی از ابزارهای آن به تازگی شناسایی شده است.

فعالیت چینی‌زبان

در جولای 2021، کمپینی به نام ExCone شناسایی کردیم که نهادهای دولتی در روسیه را هدف قرار می‌داد. مهاجمین از پخش کننده رسانه VLC برای استقرار بک‌در FourteenHi پس از سوء استفاده از آسیب پذیری‌های MS Exchange استفاده کردند. ما همچنین چراغ‌های Cobalt Strike و چندین ردپای این بازیگر را به بدافزار ShadowPad و فعالیت UNC2643 پیدا کردیم که به نوبه خود با عامل تهدید HAFNIUM مرتبط است. در اواخر همان سال، مجموعه جدیدی از فعالیت ها را کشف کردیم. این بار قربانی شناسی تغییر کرد: قربانیان در اروپا، آسیای مرکزی و آسیای جنوب شرقی نیز یافت شدند. ما همچنین نمونه‌های جدیدی را پیدا کردیم که به Microcin، یک تروجان که منحصراً توسط SixLittleMonkeys استفاده می‌شود، پیوند دادیم. مدت کوتاهی پس از آن، کمپین دیگری به نام DexCone با TTPهایی مشابه کمپین ExCone کشف شد. چندین بک‌در جدید مانند Pangolin و Iguania کشف شد که هر دو شباهت‌هایی به FourteenHi دارند.

سپس، در سال 2022، کمپین دیگری توسط همان بازیگر تهدید کننده کشف کردیم که روسیه را هدف قرار داده بود، با علاقه خاصی به نهادهای دولتی، با استفاده از ایمیل‌های فیشینگ نیزه ای یا هدف‌دار به عنوان یک ناقل عفونت و به کارگیری نسخه به روز شده تروجان Pangolin.  پس از آن، تا اواسط ژوئیه 2024 هیچ فعالیت جدیدی در رابطه با این بازیگر مشاهده نکردیم. در این کمپین اخیر، این بازیگر از ایمیل‌های فیشینگ نیزه‌ای استفاده می‌کند و یک بارگذار جاوا اسکریپت را به عنوان بردار آلودگی اولیه جاسازی می‌کند. لودر جاوا اسکریپت بار دیگری را از یک فایل ZIP بارگیری نموده که به نوبه خود یک تصویر BMP حاوی کد پوسته و یک فایل PE تعبیه شده را که بار نهایی است دانلود می‌کند. این یک بک‌در جدید با عملکرد محدود، خواندن و نوشتن روی فایل ها و تزریق کد به فرآیند msiexec.exe است. در این کمپین، این بازیگر تصمیم گرفت مانند گذشته به جای نهادهای دولتی به مؤسسات آموزشی روسیه حمله کند. بک‌در Scieron، ابزاری که معمولاً در کمپین های جاسوسی سایبری توسط گروه Scarab استفاده می‌شود، در کمپین جدیدی شناسایی شد. این کمپین رمزگشاها و لودرهای جدیدی را معرفی می‌کند که از اطلاعات خاص ماشین برای رمزگشایی و رمزگشایی بک‌در Scieron و اجرای آن در حافظه استفاده می‌کنند. این کمپین به طور خاص یک نهاد دولتی در یک کشور آفریقایی و یک ارائه دهنده مخابرات در آسیای مرکزی را هدف قرار داده است. قابل ذکر است که عفونت های موجود در ارائه دهنده مخابرات به سال 2022 بازمی گردد.

اروپا

Awaken Likho یک کمپین APT است که حداقل از ژوئیه 2021 فعال بوده و عمدتاً سازمان های دولتی و پیمانکاران را هدف قرار می‌دهد. ما تا به امروز بیش از 120 هدف را در روسیه شناسایی کرده‌ایم، اما اهدافی در کشورهای و سرزمین‌های دیگر مانند هند، چین، ویتنام، تایوان، ترکیه، اسلواکی، فیلیپین، استرالیا، سوئیس و جمهوری چک و غیره وجود دارد. . بر اساس یافته‌ها مایلیم دو ویژگی خاص این کمپین را برجسته کنیم: همه حملات به خوبی آماده شده‌اند و هکرها بر استفاده از ابزار قانونی مدیریت از راه دور UltraVNC تکیه می‌کنند. در حالیکه این رویکرد نسبتاً ساده است، مهاجمین سال‌هاست که از این تکنیک با موفقیت استفاده می‌کنند.

کمپین جدید Awaken Likho را نیز کشف کردیم که در می 2024 ظاهر شد، که در آن بازیگر تهدید، TTP های خود را کمی تنظیم کرد. عامل تهدید، آرشیوهای مبتنی بر Golang SFX خود را با حذف فایل‌های استفاده نشده پاکسازی کرد و همچنین پس از استخراج فایل، به اجرای اسکریپت‌های AutoIT روی آورد. UltraVNC به عنوان محموله نهایی باقی ماند، اما در این کمپین شبیه به یک ابزار به روز رسانی OneDrive ساخته شد. هدف‌گیری مانند کمپین قبلی باقی ماند - عمدتاً سازمان‌های دولتی و پیمانکاران آنها واقع در روسیه.

سپس Awaken Likho دوباره TTP های خود را تنظیم کرد، در کمپینی که در ژوئن 2024 کشف شد و هنوز ادامه دارد. بازیگر تهدید به استفاده از اسکریپت‌های AutoIT ادامه داد و همچنین شروع به استفاده از محافظ هایی مانند Themida برای محافظت از نمونه های خود کرد. در حالی که بیشتر نمونه هایی که ما پیدا کردیم هنوز از ماژول UltraVNC استفاده می‌کردند، مهاجمین بار نهایی را در چندین نمونه از UltraVNC به MeshAgent تغییر دادند. برخلاف کمپین های قبلی، این بار دراپرهای Golang SFX را مشاهده نکردیم. ماهیت عامل تهدید، استفاده از ابزارهای منبع باز و رایگان، به آن اجازه می‌دهد تا به سرعت زرادخانه خود را در طول کمپین های فعال تغییر دهد.

Epeius یک ابزار جاسوس‌افزار تجاری است که توسط یک شرکت ایتالیایی توسعه یافته است که ادعا می‌کند راه‌حل‌های اطلاعاتی را برای سازمان‌های مجری قانون و دولت‌ها ارائه می‌کند. در سال های اخیر بدافزار به دلیل انتشار دو مقاله مورد توجه جامعه قرار گرفت. اولین مورد که در سال 2021 توسط Motherboard و Citizen Lab منتشر شد، اولین شواهد و شاخص های مربوط به نرم افزار را به اشتراک گذاشت. مقاله دوم، مقاله ای که در سال 2024 توسط گروه تحلیل تهدید گوگل منتشر شد، مدل کسب و کار شرکت های مختلفی را که راهکارهای نظارت تجاری ارائه می‌کنند، تشریح کرد. دانش درباره این تهدید بسیار اندک است و بدافزار Epeius هرگز به طور عمومی با جزئیات توضیح داده نشده است. تلاش‌های شکار تهدید خودمان برای به دست آوردن نمونه‌های مرتبط در سال ۲۰۲۱ آغاز شد و سال گذشته یک فایل DEX را کشف کردیم که با اطمینان متوسط ​​به بالا به Epeius نسبت می‌دهیم. گزارش خصوصی ما آنچه را که در مورد Epeius می‌دانیم توصیف می کند و توضیحی فنی از مؤلفه اصلی Android آن ارائه می‌دهد.

خاورمیانه

در سپتامبر 2023، همکاران ما در ESET گزارشی درباره یک بک‌در جدید کشف شده و پیچیده که توسط بازیگر تهدید FruityArmor استفاده شده بود، منتشر کردند و آن را DeadGlyph نامیدند. در همان ماه، یک گزارش APT منتشر کردیم که جزئیات ابزارهای ShadowWhisperer و NightmareLoader را که در ارتباط با بدافزار DeadGlyph استفاده می‌شد، منتشر کردیم. اخیراً، آنچه را که به نظر می‌رسد آخرین نسخه ماژول بک‌در اصلی DeadGlyph Executor است، با تغییراتی در معماری و اجزای گردش کار آن شناسایی کردیم.

MuddyWater یک بازیگر APT است که در سال 2017 ظاهر شد و به طور سنتی کشورهای خاورمیانه، اروپا و ایالات متحده را هدف قرار داد. این بازیگر احتمالاً برای مبهم کردن حملات، فرار از دفاع و جلوگیری از تجزیه و تحلیل معمولاً از اجرای چند مرحله ای پاورشل در حملات خود استفاده می‌کند. اخیراً ایمپلنت‌های مبتنی بر VBS/DLL مورد استفاده در نفوذ گروه MuddyWater APT را کشف کرده‌ایم که هنوز هم فعال هستند. این ایمپلنت‌ها در چندین نهاد دولتی و مخابراتی در مصر، قزاقستان، کویت، مراکش، عمان، سوریه و امارات یافت شدند. عامل تهدید از طریق تسک‌های منظم که با ابزار wscript.exe، فایل VBS مخرب را اجرا می‌کنند به ماندگاری می‌رسد. TTP ها و زیرساخت‌هایی که ما برای نفوذهای فعلی تجزیه و تحلیل کردیم مشابه نفوذهای گزارش شده قبلی توسط گروه MuddyWater APT هستند.

آسیای جنوب شرقی و شبه جزیره کره

Gh0st RAT، یک RAT منبع باز که حدود 15 سال پیش ایجاد شد، توسط گروه‌های مختلف از جمله بازیگران تحت حمایت دولت استفاده می‌شود. یکی از آنها نفس اژدها (با نام مستعار APT-Q-27 و Golden Eye Dog)است که برای اولین بار در سال 2020 در رابطه با کمپین آبیاری با هدف فریب دادن کاربران برای نصب نسخه تروجان‌زده تلگرام مورد بحث قرار گرفت. تا سال 2022، این گروه همچنان از برنامه های تروجانی‌شده تلگرام به عنوان یک ناقل عفونت استفاده می‌کرد، اما بار نهایی را به Gh0st RAT تغییر داده بود. یک سال بعد، Sophos یک پست وبلاگی منتشر کرد که آخرین تغییر در TTPهای گروه را شرح می داد، که شامل DLL های بارگذاری دو جانبه می‌شد. از آن زمان، بار Gh0st RAT ثابت باقی مانده است، اما مهاجمین دوباره TTPهای خود را کمی تنظیم کرده اند. بارگذاری جانبی DLL کنار گذاشته شد و با اعمال یک نقص منطقی در نسخه‌ای از برنامه TrueUpdate جایگزین شد، این درحالیست که اخیراً این گروه شروع به اجرای بدافزار از طریق یک زنجیره عفونت مبتنی بر پایتون کرده است که توسط بسته نصب‌کننده اجرا می‌شود.

از لحاظ تاریخی، Dragon Breath صنعت بازی‌های آنلاین و قمار را هدف قرار داده است. با توجه به ماهیت ناقل عفونت، ما هنوز قادر به تعیین مخاطبین هدف برای این کمپین نیستیم. حمله با فریب دادن کاربران برای دانلود نصب کننده مخرب MSI آغاز می شود. پس از شروع نصب، بدافزار در کنار برنامه قانونی نصب می‌شود. ما معتقدیم هنگام جستجوی نسخه چینی نصب‌کننده قانونی TrueUpdate MSI، از قربانی خواسته می‌شود آن را از یک سایت جعلی دانلود و راه‌اندازی کند.

Bitter APT بیش از یک دهه است که فعالیت دارد. از اواخر سال 2023، این عامل تهدید از فایل‌های CHM (HTML کامپایل‌شده)، میانبرهای LNK و فایل‌های DOC به‌عنوان مرحله اول آلودگی استفاده کرده و ادامه می‌دهد. این فایل‌ها اسکریپت‌های مخربی را برای اتصال به یک سرور راه دور و دانلود مرحله بعدی حملات حمل می‌کنند و به نظر می‌رسد به عنوان پیوست به ایمیل‌های فیشینگ نیزه‌ای استفاده می‌شوند. بارهای تحویل داده شده از طریق این اسکریپت‌های مخرب نمونه‌های جدیدی از ماژول های درپشتی را نشان می‌دهد که در گزارش های خصوصی قبلی شرح داده شده است. با این حال، در چندین مورد، محموله‌های نهایی را فقط می‌توان توسط پیکربندی‌های سیستمی از پیش انتخاب‌شده مجاز توسط عامل تهدید پس از مرحله شناسایی اولیه دانلود کرد. در گزارش اخیر، ما در مورد گردش کار فایل‌های LNK، DOC و CHM اولیه، پیشرفت آنها در مراحل بعدی حمله، و همچنین به‌روزرسانی‌های ماژول‌های درب پشتی نهایی و زیرساخت مربوطه بحث کردیم.

Tropic Trooper  (با نام مستعار KeyBoy و Pirate Panda)یک گروه APT است که از سال 2011 فعالیت می‌کند. اهداف این گروه به طور سنتی در دولت و همچنین مراقبت های بهداشتی، حمل و نقل و صنایع پیشرفته در تایوان، فیلیپین و هنگ کنگ بوده است. تحقیقات اخیر ما نشان داد که در سال 2024، این گروه کمپین های مداومی را علیه یک نهاد دولتی در مصر انجام داد که در ژوئن 2023 آغاز شد. ما ژوئن 2024متوجه عفونت شدیم، زمانی که تله‌متری ما هشدارهای تکراری را برای یک نوع پوسته وب چینی جدید (China Chopper توسط بسیاری از بازیگران چینی زبان استفاده می‌شود) نشان داد که در یک وب سرور عمومی یافت می‌شود. این سرور میزبان یک سیستم مدیریت محتوا CMS) ) به نام Umbraco بود، یک پلت‌فرم CMS منبع باز برای انتشار محتوای نوشته شده به زبان C#.  مؤلفه پوسته وب مشاهده شده به عنوان یک ماژول دات نت از Umbraco CMS کامپایل شد. در طول تحقیقات بعدی، ما به دنبال شناسایی‌های مشکوک دیگری در این سرور عمومی بودیم و چندین مجموعه بدافزار مرتبط را شناسایی کردیم. اینها شامل ابزارهای پس از بهره برداری می‌شود که ما معتقدیم با اطمینان متوسط ​​مرتبط هستند و به عنوان بخشی از این نفوذ استفاده می شوند. همچنین ایمپلنت‌های جدید ربوده شده با سفارش جستجوی DLL را شناسایی کردیم که از یک فایل اجرایی آسیب‌پذیر قانونی بارگیری می‌شوند، زیرا مسیر کامل DLL مورد نیاز را ندارد. این زنجیره حمله تلاش کرد تا بارگذار Crowdoor را که به نام SparrowDoor که توسط ESET توصیف شده بود، بارگیری کند. در طول حمله، عامل امنیتی اولین بارکننده Crowdoor را مسدود کرد، که مهاجمین را وادار کرد تا به یک نوع جدید، که هنوز گزارش نشده بود، با همان اثر تغییر کنند. ما نسبت دادن این فعالیت به بازیگر تهدید چینی زبان معروف به Tropic Trooper را مورد بررسی قرار دادیم. یافته‌های ما همپوشانی در قابلیت‌های گزارش شده در کمپین های اخیر Tropic Trooper را نشان می‌دهد. نمونه‌هایی که پیدا کردیم، هم‌پوشانی بالایی با نمونه‌هایی که قبلاً به Tropic Trooper نسبت داده شده بودند نشان می‌دهند.

PhantomNet یک RAT است که اولین بار توسط ESET در اواخر سال 2020 توصیف شد. در سال 2021، ما تجزیه و تحلیل خود را از بدافزار PhantomNet منتشر کردیم که در آن زمان در حملات علیه بخش دولتی ویتنام استفاده می‌شد. گزارش ما به تفصیل افزونه‌هایی را که پیدا کردیم و دستوراتی را که پشتیبانی می‌کرد مورد بحث قرار دادیم. در طی تحقیقات اخیر در مورد حمله سایبری به بخش های آموزشی و دولتی برزیل که در ماه آوریل رخ داد، PhantomNet را دوباره کشف کردیم. این بار توانستیم چندین اسکریپت، دستورات اجرا شده توسط مهاجمین و ابزار سازنده PhantomNet را بازیابی کنیم. عامل تهدید مکانیسم پایداری را تغییر داده است به طوری که بارگذاری بار اکنون به صورت رمزگذاری شده در رجیستری ویندوز و با یک لودر مرتبط برای بازیابی بار از رجیستری ذخیره می‌شود. همچنین برخی تغییرات در قربانی شناسی وجود دارد. پیش از این، عفونت‌های PhantomNet در آسیا یافت می‌شد، اما اکنون عفونت‌ها در بسیاری از مناطق در سراسر جهان یافت شده‌اند و طیف گسترده‌ای از صنایع را تحت تأثیر قرار می‌دهند. ما این یافته ها را در گزارش خصوصی خود مورد بحث قرار دادیم و شکاف‌های گزارش قبلی خود را پر کردیم. همچنین مشاهده کردیم که گروه Kimsuky از استراتژی ثبت بدافزار به‌عنوان سرویسی برای تداوم قابل اعتماد استفاده می‌کند. بدافزار موسوم به ServiceChanger یک فایل DLL مخرب را حذف و سرویسی را که به عنوان یک سرویس قانونی پنهان شده است، ثبت می‌کند. در موردی که ما تجزیه و تحلیل کردیم، ServiceChanger بدافزار TOGREASE را نصب کرد، که نسخه تکامل یافته GREASE است که توانایی تغییر فعال سازی RDP را در صورت لزوم توسط اپراتور اضافه می کند. و در نمونه ای دیگر در هنگام نصب ماینر XMRig مشاهده شد.

علاوه بر این، نسخه به‌روزشده بدافزار GREASE در سال جاری، حساب‌های بک‌در را برای استفاده از اتصالات RDP با نام‌های «Guest» و «IIS_USER» ایجاد می‌کند. آنها کد را از UACME در دسترس عموم قرض می‌گیرند و به آنها اجازه می دهد UAC را دور بزنند و دستورات را با امتیازات افزایش یافته اجرا کنند. به طور منحصر به فرد، بخش منابع در بدافزار GREASE شامل یک نصب‌کننده Zoom Opener  که در برابر ربودن DLL آسیب‌پذیر است می‌شود. با این حال، ممکن است در آینده بدافزاری ایجاد کنند که از این آسیب‌پذیری سوء استفاده کند. گمان می رود بدافزار GREASE به روز شده به بدافزار RandomQuery که توسط Kimsuky نیز استفاده می شود متصل باشد، زیرا به روشی مشابه با C2 ارتباط برقرار می‌کند. شباهت و همپوشانی بین بدافزار TOGREASE و GREASE که توسط گروه Kimsuky استفاده می شود، نشان می‌دهد که این گروه پشت این بدافزار است.

هکتیویسم

در جریان تحقیقات خود در مورد گروه‌های هکریستی که سازمان‌های مستقر در روسیه را هدف قرار می‌دهند، شباهت‌هایی را در میان چندین مورد از این گروه‌ها شناسایی کرده‌ایم. این یا نشان می‌دهد چنین شاخه فعالیتی دست‌کم یک زیرمجموعه را بین خود مشترک دارد و یا گروه‌ها دارند در حملات خود بسیار درهم تنیده و نزدیک عمل می‌کنند. گزارش ما جزئیات ابزارها، بدافزار و رویه‌های گروه BlackJack و لینک‌هایی به گروه پیشتر شناخته شده  Twelve را ارائه می‌دهد. علاوه بر این بررسی بیشتر ابزارهای وایپر و باج افزار ترجیحی از نمونه هایی پرده برداشت که نمی‌توان آنها را به طور قطعی به هیچ یک از گروه‌ها نسبت داد.

کشفیات جالب دیگر

در ماه ژوئن، یک کمپین فعال به نام  PassiveNeuron  شناسایی کردیم که نهادهای دولتی را در آمریکای لاتین و آسیای شرقی با استفاده از بدافزار ناشناخته قبلی هدف قرار می‌داد. سرورها قبل از نصب محصولات امنیتی در معرض خطر قرار گرفتند و روش آلودگی هنوز ناشناخته است. ایمپلنت‌های مورد استفاده در این عمل  Neursite و  NeuralExecutor  نام داشتند. آنها هیچ شباهتی کد با بدافزار شناخته شده ندارند، بنابراین انتساب به یک عامل تهدید شناخته شده در حال حاضر امکان پذیر نیست. این کمپین سطح بالایی از پیچیدگی را نشان می‌دهد و عامل تهدید از سرورهای داخلی آسیب دیده به عنوان زیرساخت C2 میانی استفاده می‌کند. عامل تهدید می‌تواند به صورت جانبی در زیرساخت حرکت و داده ها را استخراج کند، به طور اختیاری شبکه های مجازی ایجاد می‌کند که به مهاجمین اجازه می‌دهد فایل‌های مورد علاقه را حتی از ماشین‌های جدا شده از اینترنت سرقت کنند. این رویکردی مبتنی بر پلاگین سازگاری پویا با نیازهای مهاجم را فراهم می‌کند. در اواسط آوریل، دامنه مشکوکی را کشف کردیم که پس از بررسی بیشتر، دو درب پشتی نوشته شده در Golang را نشان داد. در طول تجزیه و تحلیل، درب پشتی دیگری کشف شد که قبلاً در جدول زمانی حمله استفاده شده بود و با استفاده از VMProtect محافظت می شد. علاوه بر درهای پشتی، یک کی لاگر ناشناخته و استفاده از ابزار SOCAT در این حمله مشاهده شد. کمپین چند ویژگی خاص را نشان می‌دهد. اول، بک‌در Golang از خدمات ترجمه گوگل به عنوان یک پروکسی برای ارتباط با C2 استفاده می‌کند. دوم، عامل تهدید سعی می‌کند از نرم افزار کسپرسکی از نظر نام فایل ها و نام وظایف برنامه‌ریزی شده تقلید کند. ثالثاً، ما فقط یک عفونت پیدا کردیم که یک مرکز تحقیقات مخابراتی در هند را هدف قرار داده بود. ما نتوانستیم این کمپین را به هیچ عامل تهدید شناخته شده‌ای بر اساس شباهت کد یا TTP نسبت دهیم. در اوایل آوریل، تصمیم گرفتیم نگاهی دقیق‌تر به آسیب‌پذیری Core Library Elevation of Privilege مدیریت پنجره دسکتاپ ویندوز  بیاندازیم، که قبلاً به عنوان روز صفر کشف شده بود و در طبیعت مورد سوء استفاده قرار می‌گرفت. در حین جستجوی نمونه‌های مربوط به این اکسپلویت و حملات با استفاده از آن، سندی قابل توجه پیدا کردیم که در 1 آوریل 2024 در یک سرویس چند اسکنر آپلود شد. این سند یک نام فایل نسبتاً توصیفی داشت که نشان می‌دهد حاوی اطلاعاتی درباره یک فایل است. آسیب پذیری در سیستم عامل ویندوز در داخل سند، شرح مختصری از یک آسیب‌پذیری Windows Desktop Window Manager و نحوه استفاده از آن برای به دست آوردن امتیازات سیستم پیدا کردیم. فرآیند بهره برداری شرح داده شده در سند با آنچه در بهره‌برداری روز صفر که قبلاً ذکر شد برای CVE-2023-36033 یکسان بود. با این حال، آسیب‌پذیری متفاوت بود. با قضاوت بر اساس کیفیت نوشتن و این واقعیت که سند جزئیات مهمی در مورد چگونگی ایجاد آسیب‌پذیری واقعی ندارد، احتمال زیادی وجود داشت که آسیب‌پذیری توصیف‌شده ساخته شده باشد یا در کدی وجود داشته باشد که توسط آن قابل دسترسی یا کنترل نباشد. مهاجمین تحقیقات بعدی یک آسیب‌پذیری روز صفر را نشان دادند که می‌توان از آن برای افزایش امتیازات استفاده کرد. پس از گزارش یافته‌ها به مایکروسافت، این آسیب‌پذیری CVE-2024-30051 تعیین شد و یک وصله به عنوان بخشی از Patch Tuesday در 14 می 2024 منتشر شد. پس از نظارت دقیق بر آمار ما برای سوء استفاده ها و حملات مرتبط، مشخص شد که چندین سوء استفاده برای این آسیب پذیری روز صفر وجود دارد. اکتشافات ما نشان داد که از آن همراه با QakBot و سایر بدافزارها مانند NewBot استفاده می‌شود و ما را به این باور رساند که چندین عامل تهدید به آن دسترسی دارند. در حالیکه یافته‌های قبلی از بهره‌برداری در طبیعت از CVE-2024-30051 انگیزه مالی را نشان می‌داد، ممکن است در فعالیت‌های APT آینده از آن استفاده شود.

یک مجموعه به روز شده از نفوذها، احتمالاً مربوط به گروه مزدور سایبری Deathstalker، از ایمپلنت به روز شده DarkMe VB6 OCX/DLL و TTP های مخفی تر، مانند یک زنجیره عفونت پیچیده تر، استفاده می کند. در نفوذهایی که قبلا گزارش کردیم، عامل تهدید معمولاً قطره چکان اولیه را از طریق برنامه‌های پیام‌رسانی فوری (IM) مانند اسکایپ ارائه می‌کرد. در نفوذهای اخیر، بازیگر معمولا قطره چکان اولیه را از طریق تلگرام ارسال می کرد. ما با اطمینان متوسط ​​ارزیابی می‌کنیم که عامل تهدید از طریق کانال‌های تلگرامی مرتبط با تجارت الکترونیک و اخبار فین‌تک، افت‌کننده‌های اولیه را ارائه کرده است. جدا از روش تحویل، مهاجمین همچنین سطح OPSEC و پاکسازی پس از سازش خود را با حذف فایل‌ها، ابزارها و کلیدهای رجیستری پس از دستیابی اپراتورها به اهداف خود، افزایش دادند. چنین اقداماتی به نوبه خود، تشخیص عفونت را دشوارتر و تحقیقات پسا دستکاری را پیچیده می‌کند.

تأملات نهایی

گرچه برخی TTPهای عاملین تهدید در زمان ماندگاری دارند –مانند تکیه بسیار بر مهندسی اجتماعی به عنوان وسیله‌ای برای بدست آوردن ورودی به سازمان هدف یا دستکاری دستگاه فرد- اما بقیه مجموعه ابزارهای خود را به روز کرده‌اند و میزان فعالیت‌های خود را نیز گسترده‌تر. بررسی های فصلی منظم ما برای برجسته کردن مهم ترین پیشرفت های مربوط به گروه های APT طراحی شده‌اند.

روندهای کلیدی که در سه ماهه سوم 2024 مشاهده کردیم در اینجا آمده است:

در این سه ماه، شاهد بودیم که بازیگران تهدید، هم از نظر عمودی و هم از نظر جغرافیایی، هدف خود را گسترش دادند.

• هدف بیشتر فعالیت‌های APT، جاسوسی سایبری است، اگرچه حملات هکریستی همچنان یکی از ویژگی‌های چشم‌انداز تهدید در این سه‌ماهه است و مناطقی از درگیری در دنیای واقعی را منعکس می‌کند.
• حتی ابزارهای منبع باز بیشتری توسط بازیگران تهدید APT به کار گرفته شده اند، که عمدتاً برای مدیریت اتصال شبکه با C2 ها هستند.
• ما همچنان می بینیم که بازیگران تهدید از تکنیک های LOTL  (زندگی خارج از زمین) در کمپین‌های خود استفاده می کنند.
• مثل همیشه، می‌خواهیم به این نکته اشاره کنیم که گزارش‌های ما محصول دید ما به چشم‌انداز تهدید است. با این حال، مهم است که به یاد داشته باشیم که گرچه ما برای بهبود مستمر تلاش می‌کنیم، همیشه این احتمال وجود دارد که حملات پیچیده دیگری در آستین باشد.

• سلب مسئولیت: وقتی به گروه‌های APT به‌عنوان روسی‌زبان، چینی‌زبان و غیره اشاره می‌کنیم، به مصنوعات مختلفی که توسط گروه‌ها استفاده می‌شود (مانند رشته‌های اشکال‌زدایی بدافزار، نظرات یافت شده در اسکریپت‌ها و غیره) اشاره می‌کنیم که حاوی کلماتی در آن‌ها هستند. زبان‌ها، بر اساس اطلاعاتی که مستقیماً به دست آورده‌ایم یا اطلاعاتی که در سطح عمومی شناخته شده و به طور گسترده گزارش شده است. استفاده از زبان‌های خاص لزوماً نشان‌دهنده یک رابطه جغرافیایی خاص نیست، بلکه نشان‌دهنده زبان‌هایی است که توسعه‌دهندگان پشت این مصنوعات APT استفاده می‌کنند.

کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.