IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

APT29

کلمات رایج امنیت شبکه و فناوری اطلاعات IPImen

پرده برداری از تاکتیک استفاده شده توسط هکرهای اطلاعاتی روسی بوسیله CISA و FBI

 takian.ir russian hackers

آژانس امنیت سایبری و زیرساخت های امنیتی ایالات متحده (CISA) ، وزارت امنیت داخلی (DHS) و دفتر تحقیقات فدرال (FBI) روز دوشنبه یک گزارش مشترک جدید را به عنوان بخشی از آخرین اقدامات خود برای افشای تاکتیک ها، تکنیک ها و روش هایی (TTP) که توسط سرویس اطلاعات برون مرزی روسیه (SVR) در حملات خود علیه ایالات متحده و نهادهای خارجی از آنها بهره برده شده است، منتشر کردند.

آژانس های اطلاعاتی اعلام کردند با بکارگیری "نفوذ پنهانی تجاری در داخل شبکه های در معرض خطر، فعالیت سرویس اطلاعات برون مرزی روسیه (که شامل زنجیره تأمین مخاطرات اخیر برای SolarWinds Orion میشود) در درجه اول شبکه های دولتی ، اتاق فکر و سازمان های تجزیه و تحلیل سیاسی و شرکت های فناوری اطلاعات را هدف قرار می دهد و تلاش می کند تا اطلاعات امنیتی را جمع آوری کند".

عاملین سایبری همچنین تحت مانیکرهای مختلف از جمله Advanced Persistent Threat 29 (APT29) ،Dukes ، CozyBear و Yttrium ردیابی می شود. این پیشرفت در حالی صورت می گیرد که ایالات متحده، روسیه را تحریم کرده و هک SolarWinds و کمپین جاسوسی اینترنتی مرتبط را به طور رسمی به عوامل دولتی که برای سرویس اطلاعات برون مرزی روسیه کار می کنند مرتبط و متصل دانسته است.

APT29، از زمان آغاز تهدیدات در سال 2013، با تعدادی از حملات هماهنگ شده با هدف دستیابی به شبکه های قربانیان، جابجایی بدون امکان شناسایی در محیط های کاربری فرد قربانی و استخراج اطلاعات حساس پیوند خورده است. اما در یک تغییر محسوس در تاکتیک ها در سال 2018، این عامل از استقرار بدافزار در شبکه های هدف به سمت سرویس های ایمیل عظیم مبتنی بر فضای ابری، و این واقعیت از زمان حملات SolarWinds عیان شد که در آن عامل حملات، باینری های Orion را به عنوان یک بردار نفوذ برای سوءاستفاده از محیط های Microsoft Office 365، اهرم کرده است.

گفته می شود این شباهت در آلودگی های آینده تجارت ها، با سایر حملات مورد حمایت سرویس اطلاعات برون مرزی روسیه، از جمله در نحوه انتقال جانبی دشمن از طریق شبکه ها برای دسترسی به حساب های ایمیل، علی رغم اقدامی ویژه در روش استفاده شده برای به دست آوردن پایگاه اولیه، نقش بسزایی در نسبت دادن کمپین SolarWinds به سرویس اطلاعاتی روسیه داشته است.

آژانس خاطرنشان کرد: "در هدف قرار دادن منابع ابری احتمالاً بهره بردن از حساب های کاربری به خطر افتاده یا تنظیمات نادرست سیستم برای اختلاط با ترافیک عادی یا کنترل نشده در محیطی که سازمان های قربانی از آن به خوبی دفاع، نظارت یا مراقبت نمی کنند، احتمال شناسایی را کاهش می دهد".

از جمله برخی دیگر از تاکتیک های مورد استفاده توسط APT29 به پخش کردن رمز عبور (مشاهده شده در هنگام به خطر افتادن یک شبکه بزرگ بدون نام در سال 2018)، بهره برداری از نقص روز صفر در برابر دستگاه های شبکه خصوصی مجازی (مانند CVE-2019-19781) برای دستیابی به دسترسی شبکه و استقرار بدافزار Golang به نام WELLMESS برای سرقت مالکیت معنوی از چندین سازمان درگیر در ساخت واکسن COVID-19، میتوان اشاره نمود.

علاوه بر CVE-2019-19781، دیده شده است که عامل تهدید با استفاده از CVE-2018-13379 ، CVE-2019-9670 ، CVE-2019-11510 و CVE-2020-4006 پایگاه اولیه ای در دستگاه ها و شبکه های قربانی را بدست آورده است.

این گزارش مشترک می افزاید: "دفتر تحقیقات فدرال و وزارت امنیت داخلی به ارائه دهندگان خدمات توصیه می کنند سیستم های تأیید اعتبار و تأیید کاربر خود را برای جلوگیری از سوءاستفاده از خدمات خود تقویت و بروزرسانی کنند". از طرفی دیگر همچنین از مشاغل خواسته شده است شبکه های خود را در برابر احتمال به خطر افتادن با نرم افزارهای مورد اعتماد عموم، محافظت کنند.

کشف سرور C&C مرتبط با بدافزار WellMess

 takian.ir experts uncover several c servers linked to wellmess malware 1

محققان امنیت سایبری روز جمعه از زیرساخت های جدید command-and-control (C2) متعلق به عامل تهدیدکننده روسی با نام APT29، معروف به Cozy Bear، که به طور فعال در حال ارائه سرویس به بدافزار WellMess به عنوان بخشی از یک کمپین حمله مداوم، رونمایی و افشاگری کردند.

شرکت RiskIQ که زیرمجموعه شرکت امنیت سایبری متعلق به مایکروسافت است، در گزارشی که با خبرگزاری ها به اشتراک گذاشته، بیان کرده است که بیش از 30 سرور C2 که توسط اطلاعات خارجی روسیه اداره می شده، کشف شده است.

به نظر می رسد APT29 (نامی است که به عوامل دولتی که برای سرویس اطلاعات خارجی روسیه (SVR) کار می کنند اطلاق میشود)، مغز متفکر حمله بزرگ زنجیره تامین SolarWinds که در اواخر سال گذشته آشکار شد، میباشد و دولتهای انگلیس و ایالات متحده به شکل رسمی از اوایل آوریل امسال، روسیه را مسئول این اتفاقات دانسته اند.

این فعالیت توسط جامعه امنیت سایبری تحت اسم رمزهای مختلف، از جملهUNC2452 (FireEye) ،Nobelium (Microsoft) ،SolarStorm (Unit 42) ، StellarParticle (Crowdstrike) ،Dark Halo (Volexity) و Iron Ritual (Secureworks)، با استناد به تفاوت هایشان در تاکتیک ها، تکنیک ها و رویه هایی (TTPs) که توسط عامل مخرب با پروفایل مهاجم و با عنوان APT29 به کار‌ میرود، شناخته میشوند.

به نقل از هکر نیوز، بدافزاز WellMess (معروف به WellMail) که برای اولین بار توسط JPCERT/CC ژاپن در سال 2018 در کمپین های جاسوسی که توسط عامل تهدید برای سرقت مالکیت معنوی از چندین سازمان درگیر در فرایند تحقیق و توسعه واکسن COVID-19 در انگلستان، ایالات متحده و کانادا، شناسایی شد.

مرکز ملی امنیت سایبری بریتانیا (NCSC) در توصیه نامه امنیتی که در جولای سال 2020 منتشر شد، خاطرنشان کرده است: "این گروه از ابزارها و تکنیک های مختلفی برای هدف گیری عمدتاً اهداف دولتی، دیپلماتیک، اتاق های فکر، سیستم های سلامت و انرژی برای دستیابی به اطلاعات استفاده می کند.".

موسسه RiskIQ گفت که تحقیقات خود را در مورد زیرساخت های حمله APT29 پس از افشای عمومی در مورد سرور WellMess C2 جدید در 11 ژوئن آغاز کرد، که منجر به کشف دسته ای با حدود کمتر از 30 سرور فعال C2 شد. اگرچه مشخص نیست که چگونه از این سرورها استفاده می شود و اهداف آنها چه کسانی هستند، اما اعتقاد بر این است که یکی از سرورها در 9 اکتبر 2020 فعال بوده است.

این اولین بار نیست که RiskIQ ردپای command-and-control مربوط به هکرهای SolarWinds را شناسایی می کند. در ماه آوریل، مجموعه دیگری از 18 سرور که با درصد اطمینان بالایی احتمالاً با اهدافشان از طریق دیتاهای Cobalt Strike ثانویه که توسط بدافزار TEARDROP و RAINDROP در حملات مستقر شده بود ارتباط برقرار می کردند، کشف شدند.

کوین لایولی، مدیر اطلاعات تهدید RiskIQ گفت: "تیم اطلس RiskIQ با اطمینان بالایی ارزیابی کرده است که این آدرس ها و گواهینامه های IP توسط APT29 در حال استفاده فعال هستند. ما نتوانستیم بدافزاری را که با این زیرساخت ارتباط برقرار میکند، پیدا کنیم، اما گمان می کنیم که شبیه نمونه های شناسایی شده قبلی باشد.".