سرقت زیرساخت بدافزار ده‌ساله توسط هکر‌های روسی Turla با هدف استقرار Backdoor‌های جدید

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian.ir russian turla hackers hijack decade old malware 1
گروه جاسوسی سایبری روسی موسوم به Turla در زیرساخت‌های حمله که توسط یک بدافزار متعلق به ده سال پیش، برای ارائه ابزار‌های شناسایی و backdoor اختصاصی خود برای هدف قرار دادن اهدافی در اوکراین نفوذ کرده‌اند.

مجموعه Mandiant متعلق به گوگل که این عملیات را تحت نام کلاس‌تر طبقه‌بندی نشده UNC4210 معرفی می‌کند، گفت که سرور‌های ربوده شده مربوط به گونه‌ای از بدافزار به نام ANDROMEDA (معروف به Gamarue) است که در سال ٢٠١٣ در VirusTotal آپلود شد.

محققان Mandiant در تحلیلی که به‌تازگی منتشر شد، گفتند : "UNC4210 حداقل سه دامنه command-and-control (C2) متعلق به ANDROMEDA منقضی شده را مجدد ثبت کرد و شروع به پروفایل‌سازی قربانیان برای استقرار انتخابی KOPILUWAK و QUIETCANARY در سپتامبر ٢٠٢٢ کرد.

گروه Turla که با نام‌های Iron Hunter، Krypton، Uroburos، Venomous Bear و Waterbug نیز شناخته می‌شود، یک سازمان علمی دولت ملت است که عمدتا سازمان‌های دولتی، دیپلماتیک و نظامی را با استفاده از مجموعه بزرگی از بدافزار‌های سفارشی، هدف قرار می‌دهد.

از زمان شروع تهاجم نظامی روسیه به اوکراین در فوریه ٢٠٢٢، این گروه متخاصم به مجموعه‌ای از تلاش‌های شناسایی و فیشینگ اعتبارنامه با هدف نهاد‌های مستقر در این کشور، متهم شده است.

در جولای ٢٠٢٢، گروه تحلیل تهدیدات گوگل (TAG) فاش کرد که تورلا یک برنامه اندرویدی مخرب ایجاد کرده است تا ظاهرا برای "کمک" به هکریست‌های طرفدار اوکراین حملات Distributed Denial-of-Service (DDoS) علیه سایت‌های روسی را انجام دهند.

آخرین کشف Mandiant نشان می‌دهد که Turla به‌طور مخفیانه از آلودگی‌های قدیمی‌تر به‌عنوان مکانیزم توزیع بدافزار استفاده می‌کند، و نه صرف اینکه ANDROMEDA از طریق پورت های USB آلوده منتشر می‌شود.

این شرکت گفت : "بدافزار پخش شونده از USB همچنان یک عامل ساده برای دسترسی اولیه به سازمان‌ها است. "

در حادثه‌ای که توسط Mandiant تجزیه‌و‌تحلیل شد، گفته می‌شود که یک USB آلوده در یک سازمان اوکراینی ناشناس در دسامبر ٢٠٢١ وارد شده است، که در‌نهایت منجر به استقرار یک نسخه قدیمی ANDROMEDA در میزبان پس از راه اندازی یک لینک مخرب (. LNK) فایل پنهان شده در قالب یک پوشه در درایو USB شده است.

takian.ir russian turla hackers hijack decade old malware 2
عامل تهدید سپس یکی از دامنه‌های غیرفعال را که بخشی از زیرساخت منحل‌شده C2 ANDROMEDA بود (که در ژانویه ٢٠٢٢ دوباره ثبت شده) تغییر کاربری داد تا با ارائه اولین مرحله KOPILUWAK dropper، یک ابزار شناسایی شبکه مبتنی بر جاوا اسکریپت، قربانی را آلوده کند.

دو روز بعد، در ٨ سپتامبر ٢٠٢٢، حمله با اجرای یک ایمپلنت مبتنی بر دات نت به نام QUIETCANARY (معروف به Tunnus) به مرحله نهایی رسید و در نتیجه فایل‌های ایجاد شده پس از ١ ژانویه ٢٠٢١ خارج شدند.

صنایع تجاری مورد استفاده تورلا با گزارش‌های قبلی از تلاش‌های گسترده این گروه برای شناسایی قربانیان، مصادف با جنگ روسیه و اوکراین همراه شد و به طور بالقوه به آن کمک کرد تا تلاش‌های استثماری بعدی خود را برای جمع‌آوری اطلاعات مورد علاقه روسیه انجام دهد.

همچنین یکی از موارد نا‌دری که در آن واحد هک شناسایی شده، در‌حالی‌که نقش خود را پنهان می‌کند، این است که قربانیان یک کمپین بدافزار متفاوت را هدف قرار می‌دهد تا اهداف استراتژیک خود را برآورده کند.

محققان گفتند : «از آنجایی که بدافزار‌های قدیمی ANDROMEDA همچنان از دستگاه‌های USB آسیب‌دیده منتشر می‌شوند، این دامنه‌های دوباره ثبت‌شده، خطری را ایجاد می‌کنند زیرا عوامل تهدید جدید می‌توانند کنترل را به‌دست گرفته و بدافزار جدید را در دستگاه قربانیان مستقر کنند. »

"این تکنیک جدید ادعای دامنه‌های منقضی شده که توسط بدافزار‌های با انگیزه مالی به طور گسترده توزیع شده استفاده می‌شود، می‌تواند مصالحه‌های بعدی را در مجموعه گسترده‌ای از سازمان‌ها فعال کند. بعلاوه، بدافزار‌ها و زیرساخت‌های قدیمی‌تر ممکن است توسط مدافعان که طیف گسترده‌ای از هشدار‌ها را ارائه می‌دهند، نادیده گرفته شوند. "

حمله به آزمایشگاه‌های تحقیقات هسته‌ای ایالات متحده با COLDRIVER
این یافته‌ها همچنین زمانی به‌دست آمد که رویترز در گزارشی گفت که یک گروه تهدید دیگر تحت حمایت دولت روسیه با نام رمز COLDRIVER (معروف به Callisto یا SEABORGIUM) سه آزمایشگاه تحقیقات هسته‌ای در ایالات متحده را در اوایل سال ٢٠٢٢ هدف قرار داده است.

برای این منظور، حملات دیجیتالی مستلزم ایجاد صفحات ورود جعلی برای آزمایشگاه‌های ملی بروکهاون، آرگون، و لارنس لیورمور در تلاش برای فریب دانشمندان هسته‌ای برای افشای رمز‌های عبورشان بود.

این تاکتیک‌ها با فعالیت شناخته شده COLDRIVER مطابقت دارد که اخیرا از جعل صفحات ورود شرکت‌های مشاوره دفاعی و اطلاعاتی و همچنین سازمان‌های غیردولتی، اتاق‌های فکر، و نهاد‌های آموزش عالی در بریتانیا و ایالات متحده پنهان شده است.

برچسب ها: SEABORGIUM, Callisto, آزمایشگاه تحقیقات هسته‌ای ایالات متحده, COLDRIVER, Tunnus, KOPILUWAK dropper, Waterbug, Iron Hunter, Krypton, Uroburos, Venomous Bear, QUIETCANARY, KOPILUWAK, Gamarue, ANDROMEDA, UNC4210, Ukraine, اوکراین, Russia, Turla, باج‌افزار, Mandiant, TAG, Hacker, macOS, Microsoft, malware, ransomware , DDoS, دفاع سایبری, تهدیدات سایبری, Cyber Security, backdoor, روسیه, هکر, بدافزار, امنیت سایبری, Cyber Attacks, حمله سایبری, news

نوشته شده توسط تیم خبر.

چاپ