ترندهای APT گزارش Q2 2022

ترندهای APT گزارش Q2 2022

به مدت پنج سال، تیم تحقیق و تحلیل جهانی (GReAT) در کسپرسکی خلاصه‌های فصلی فعالیت تهدیدات پایدار پیشرفته (APT) را منتشر می‌کند. این خلاصه ها بر اساس تحقیقات اطلاعاتی تهدیدات ما هستند. و آنها یک تصویر فوری از آنچه ما منتشر کرده‌ایم و در گزارش‌های خصوصی APT خود با جزئیات بیشتر بحث کرده‌ایم ارائه می‌کنند. آنها برای برجسته کردن رویدادها و یافته های مهمی طراحی شده اند که ما احساس می کنیم مردم باید از آنها آگاه باشند.

این آخرین قسط ما است، با تمرکز بر فعالیت‌هایی که در سه ماهه دوم 2022 مشاهده کردیم.

قابل توجه ترین یافته ها

در 24 ژانویه، یک هش برای بدافزار پیچیده Solaris SPARC در توییتر پست شد. پلتفرم جاسوسی سایبری پیچیده و مدولار از نظر پیچیدگی رقیب EquationDrug، Remsec و Regin است. ما یک نوع ویندوز از این نمونه را با استفاده از همان الگوریتم رمزگذاری رشته، ماژول‌های داخلی و عملکردها شناسایی کردیم. ایمپلنت یک چارچوب پیچیده است که در داخل SBZ نامیده می شود. این روش از چندین روش استخراج و زیرساخت شبکه پیچیده، از جمله آدرس دهی، تغییر مسیر و مسیریابی پشتیبانی می کند. SBZ احتمالاً به STRAITBIZZARE، یک پلتفرم جاسوسی سایبری که توسط گروه Equation استفاده می شود، اشاره دارد. همچنین توجه به همپوشانی بین شناسه‌های رابط از نمونه‌های DanderSpritz از Dump ShadowBrokers «Lost in Translation» و شناسه‌های رابط در چارچوبی که ما توانستیم با هم مرتبط کنیم، جالب است. دو گزارش خصوصی ما به ترتیب اطلاعات فنی را در مورد انواع Windows و SPARC ارائه کردند.

در اواخر سال 2021، با یک درایور مخرب DXE مواجه شدیم که در چندین تصویر میان‌افزار UEFI گنجانده شده بود که توسط اسکنر میان‌افزار ما (ادغام شده در محصولات کسپرسکی در ابتدای سال 2019) پرچم‌گذاری شده بود. درایور مخرب مطابق با ماژول پشتیبانی سازگاری (CSM) است که برای تسهیل یک دنباله راه‌اندازی قدیمی از رکورد بوت اصلی (MBR) استفاده می‌شود. این ماژول به گونه‌ای اصلاح شد که یک زنجیره عفونت در کنار منطق اجرای خوش‌خیم ایجاد کند، که منجر به استقرار پوسته کد مخرب حالت هسته با هدف اجرای یک بار اضافی از یک سرور خارجی شد، که ما قادر به بازیابی کامل آن نبودیم. . بررسی مؤلفه مخرب UEFI، که ما آن را CosmicStrand نامیدیم، نشان داد که نوعی از آن در واقع قبلاً توسط یک فروشنده امنیتی دیگر توضیح داده شده است. نمونه‌هایی که ما پیدا کردیم در ابتدا به نظر می‌رسید از زیرساخت متفاوتی استفاده می‌کردند و فقط شامل تغییرات جزئی بودند که یک نوع جدیدتر از بدافزار را تشکیل می‌داد. تله متری ما نشان می دهد که هر دو نوع در مجموعه محدودی از رایانه های شخصی یافت شده اند و احتمالاً پاسخی را از سرورهای C2 مربوطه در بازه های زمانی محدود دریافت کرده اند، که به ما امکان می دهد با اطمینان کم تا متوسط ارزیابی کنیم که ایمپلنت به صورت هدفمند استفاده شده است و می توانست توسط یک بازیگر پیشرفته برای یک هدف نامشخص به کار گرفته شود. مجموعه اهداف محدود بود و به نظر می رسید رایانه های متعلق به قربانیان در چین، ویتنام، روسیه و ایران باشد.

فعالیت روسی زبان

در ماه مارس، Proofpoint یک پست وبلاگی درباره یک کمپین جدید فیشینگ نیزه ای مربوط به جنگ در اوکراین منتشر کرد که به طور آزمایشی به بازیگر روسی زبان UNC1151 (معروف به TA445 و Ghostwriter) نسبت داده می شود. بر اساس یافته های آنها، این حمله به وضعیت فعلی اوکراین مربوط می شود. مهاجمان ایمیل‌های فیشینگ نیزه‌ای را برای کارکنان دولت اروپایی که مسئول مدیریت حمل‌ونقل و جابجایی جمعیت در اروپا بودند، با هدف آلوده کردن آنها به تروجان Sunseed ارسال کردند. تحقیقات ما در مورد این فعالیت ما را به کشف سایر کمپین‌های مرتبط با هدف قرار دادن طیف گسترده‌ای از نهادهای مستقر در آسیای مرکزی، اروپا و قاره آمریکا از حداقل می 2020 سوق داد. ما پیوندهایی به فعالیت‌های جرایم سایبری مشاهده‌شده قبلی، نمونه‌های جدید و ناشناخته‌ای که توسط این سازمان استفاده شده بود، یافتیم. مهاجمان در طول فعالیت‌های پس از بهره‌برداری، انبوهی از اطلاعات اخیر در مورد زیرساخت‌های C2 و آخرین نمونه‌های توزیع شده برای قربانیان به خطر افتادن.

فعالیت چینی زبان

در 22 مارس، Volexity یک پست وبلاگی منتشر کرد که مربوط به فعالیت جدیدی بود که یک اقلیت تبتی را هدف قرار می‌داد، منتسب به Storm Cloud، یک بازیگر تهدید که تحت نام Holy Water دنبال می‌کنیم. این پست یک خانواده بدافزار چند پلتفرمی به نام GIMMICK را تشریح می‌کند که بر روی دستگاه‌های ویندوز و macOS تأثیر می‌گذارد، با انواعی که در چندین زبان برنامه‌نویسی (NET، Delphi، ObjectiveC) توسعه یافته‌اند و همه از پروتکل C2 یکسان مبتنی بر Google Drive استفاده می‌کنند. پس از بررسی این کمپین، IoC های اضافی و تجزیه و تحلیل اجزای مورد استفاده در این حملات را ارائه کردیم.

ما از ماه مارس فعالیت جدیدی را از عامل تهدید کننده ExCone و DexCone شناسایی کردیم. ما آثار باستانی مربوط به موج جدیدی از حملات فیشینگ نیزه‌ای را علیه اهدافی در روسیه مشاهده کردیم که از اطلاعات مربوط به بحران اوکراین برای فریب قربانیان برای باز کردن یک سند مخرب استفاده می‌کنند. ایمیل فقط اولین مرحله از یک فرآیند چند مرحله ای عفونت است که به نصب یک نوع کوچک جدید از تروجان Pangolin منجر می شود. Pangolin بدافزار خصوصی است که ما در سال 2021 کشف کردیم و منحصراً توسط ZexCone، عامل تهدید کننده ExCone و DexCone استفاده می شود. ما همچنین یک نسخه کامل از تروجان Pangolin، شامل دستورات جدید را پیدا کردیم.

خاورمیانه

اخیراً، محققان SEKOIA.IO گزارشی را منتشر کرده‌اند که مجموعه‌ای از دامنه‌ها را پوشش می‌دهد که معتقدند بخشی از زیرساخت مخربی است که آنها را BananaSulfate نامیده‌اند. این زیرساخت از توجه ویژه ای برخوردار است زیرا به نظر می رسد به سرعت در حال گسترش و تغییر است، با ده ها دامنه ثبت شده تاکنون، و تنها برای دوره های زمانی کوتاه فعال است. علاوه بر این، همانطور که توسط SEKOIA.IO اشاره شده است، نام دامنه نشان می دهد که ممکن است بخشی از حمله ای باشد که چندین پلتفرم را هدف قرار می دهد، زیرا دامنه ها به عنوان خدمات قانونی در سیستم عامل های ویندوز، iOS و اندروید ظاهر می شوند. در نهایت، شباهت‌های خاصی بین این زیرساخت و زیرساخت‌هایی که در گزارش‌های قبلی مشاهده کردیم، نشان می‌دهد که ممکن است این فعالیت توسط عامل تهدیدی که ما Karkadann/Piwiks می‌نامیم، تجدید شود.

آسیای جنوب شرقی و شبه جزیره کره

در ژانویه، کیمسوکی، یکی از بازیگران تهدیدکننده فعال و پرکار به زبان کره ای، به یک شرکت رسانه ای و یک اتاق فکر در کره جنوبی حمله کرد. بر اساس تله متری ما، این بازیگر با ارسال یک ایمیل فیشینگ حاوی یک سند Word ماکرو تعبیه شده حمله را آغاز کرد. نمونه‌های مختلفی از اسناد Word مختلف کشف شد که هر کدام محتوای فریبنده‌ای متفاوت مرتبط با مسائل ژئوپلیتیک در شبه جزیره کره را نشان می‌داد. این بازیگر همچنین از فرمت فایل برنامه HTML برای آلوده کردن قربانی با استفاده از یک سند طعمه Hangeul استفاده کرد. پس از عفونت اولیه، یک اسکریپت ویژوال بیسیک به قربانی تحویل داده شد. به عنوان بخشی از این فرآیند، بازیگر از یک سرویس وبلاگ قانونی برای میزبانی یک اسکریپت مخرب با قالب کدگذاری شده سوء استفاده کرد. فایل VBS کاشته شده قادر است اطلاعات مربوط به رایانه های آلوده را گزارش کند و بارهای اضافی را با فرمت کدگذاری شده دانلود کند. مرحله آخر یک فایل اجرایی ویندوز آلوده است. در نهایت، بدافزار تحویل داده شده قادر به سرقت اطلاعات از قربانی، مانند لیست فایل ها، ضربه زدن به کلید کاربر، و اعتبارنامه های ورود به سیستم ذخیره شده در مرورگرهای وب است. ظاهرا این بازیگر اطلاعات حساس را به سرقت برده تا از حمله خود استفاده کند. ما فایل‌های گزارشی را از زیرساخت مهاجم حاوی آدرس‌های IP متعدد قربانیان احتمالی بیشتری کشف کردیم. تحقیقات ما همپوشانی های متعددی را با بدافزار قدیمی کیمسوکی نشان داد: این گروه از کد بدافزار و اسکریپت های اصلی خود برای مدت طولانی استفاده کرده است. با این حال، طرح عفونت به طور مداوم در حال تکامل است. در این مثال، از یک سرویس وبلاگ قانونی برای کاهش سوء ظن استفاده شد. و مراحل عفونت برای تایید قربانیان اضافه شد. یکی از چیزهای جالبی که در تحقیقات خود مشاهده کردیم این است که این بازیگر از یک رایانه در معرض خطر در شبکه قربانی به عنوان محیط آزمایش بدافزار خود استفاده کرده است.

لازاروس در حال حاضر یکی از فعال ترین گروه ها است که صنایع دفاعی و موسسات مالی هدف اصلی آن هستند. در نتیجه تلاش‌های مستمر ما برای پیگیری فعالیت این بازیگر، اکنون دو عملیات اضافی از گروه کشف کرده‌ایم. DeathNote، که زیر چتر Lazarus قرار دارد، یک خوشه بدافزار پیچیده است که به طور فعال توسط این گروه مورد استفاده قرار می‌گیرد و اخیراً زمانی مشاهده شد که گروه Lazarus به یک فروشنده نرم‌افزار و اتاق فکر حمله کرد. از آن زمان، ما چندین نهاد را در کره جنوبی کشف کرده ایم که در ماه فوریه به بدافزار مشابه آلوده شده اند. با این حال، طرح آلودگی در این موارد کمی به روز شد زیرا بازیگر بدافزار wAgent را در روند تحویل خود اضافه کرد.

از اواخر سال 2021، ما کمپین‌های حمله جدیدی را از سوی عامل تهدید SideCopy، که معتقدیم زیرگروه TransparentTribe است، شناسایی کرده‌ایم. این حملات قربانیان هندی و افغانی را هدف قرار دادند و در حالی که برخی از حملات زنجیره حمله پیچیده‌تری داشتند، همه آنها شامل تکنیک‌های پیچیده‌تر بودند، مانند مراحل مختلف اسکریپت‌های HTA با محموله‌های مخرب رمزگذاری‌شده/معروف، بدافزارهای مقیم حافظه و در بیشتر موارد. ، بارگذاری جانبی DLL برای اجرای درپشتی NightFury. ما تعدادی سناریو را در میان این حملات شناسایی کرده‌ایم که یا از یک آرشیو ZIP حاوی یک فایل LNK مخرب یا یک سند Word با یک ماکرو VBA مخرب شروع شده‌اند. محموله های نهایی این حملات شامل Crimson RAT، ReverseRAT و درب پشتی NightFury است. مهاجمان از وب‌سایت‌های در معرض خطر برای میزبانی اسکریپت‌های HTA اولیه و سرورهای خود به عنوان C2 برای نمونه‌های درب پشتی و RAT مختلف و همچنین سرورهای دانلود برای ماژول‌های دانلودر استفاده کردند. گزارش خصوصی ما تجزیه و تحلیلی از زیرساخت حمله و اجزای بدافزار دخیل در این حملات را ارائه می دهد.

ما یک کمپین بسیار فعال را کشف کردیم که از مارس 2022 شروع شد و سرمایه گذاران سهام و ارزهای دیجیتال در کره جنوبی را هدف قرار داد. بر اساس طرح نامگذاری دامنه، ما این کمپین را NaiveCopy می نامیم. این بازیگر از محتویات مرتبط با ارزهای دیجیتال یا شکایات مجری قانون به عنوان مضامین فریبنده استفاده کرد. زنجیره های عفونت شامل تزریق قالب از راه دور، ایجاد یک ماکرو مخرب است که با استفاده از Dropbox، یک روش چند مرحله ای عفونت را شروع می کند. در نهایت، پس از نشان دادن اطلاعات میزبان قربانی، بدافزار تلاش می‌کند تا مرحله نهایی را دریافت کند. خوشبختانه، ما این شانس را داشتیم که مرحله نهایی را که شامل چندین ماژول برای استخراج اطلاعات حساس از قربانی است، بدست آوریم. در نتیجه تجزیه و تحلیل محموله نهایی، نمونه‌های اضافی مورد استفاده یک سال پیش را پیدا کردیم. در آن زمان، عامل تهدید از یک سند اکسل و فایل اجرایی ویندوز برای بردار آلودگی اولیه استفاده کرد. محموله نهایی مورد استفاده در سال 2021 ساختارهای مختلفی داشت، اما همپوشانی های زیادی با نسخه های قبلی داشت. بر اساس این یافته، ما تأیید کردیم که این کمپین حداقل یک سال به طول انجامیده است. ما از نزدیک با فروشندگان KrCERT و ISP کار کردیم تا زیرساخت مهاجم را تعطیل کنیم و از عفونت های اضافی جلوگیری کنیم. از نظر انتساب، ما نمی توانیم هیچ ارتباط دقیقی با عوامل تهدید شناخته شده پیدا کنیم، اگرچه معتقدیم که آنها با زبان کره ای آشنا هستند و از یک تاکتیک مشابه برای سرقت اعتبارنامه ورود به یک پورتال معروف کره ای استفاده کرده اند که توسط گروه کونی

از ژانویه 2022، TransparentTribe (با نام مستعار PROJECTM و MYTHIC LEOPARD) امواج جدیدی از حملات را علیه کارکنان دولتی در هند برای انجام فعالیت‌های جاسوسی آغاز کرد. عامل تهدید حملات مختلفی را انجام داد که در آن اهداف به سمت بازدید از وب‌سایت‌های جعلی که به‌عنوان مخازن رسمی برای Kavach طراحی شده بودند، فریب می‌دادند، یک برنامه احراز هویت دو مرحله‌ای که برای برخی از کارمندان دولت در هند اجباری است. مردم معمولاً فریب داده می‌شوند تا نصب‌کننده‌های جعلی را دانلود و اجرا کنند که قربانیان را تأیید می‌کند و یک تروجان جدید را که ما AREA51 نامیده‌ایم دانلود می‌کنند. این تروجان برای انجام یک اعتبارسنجی دیگر و شناسایی قربانیان مربوطه برای آلوده شدن به بدافزارهای دیگر استفاده می شود. در طول بررسی ما، دیدیم که مهاجم از AREA51 برای استقرار نسخه جدیدی از MumbaiRAT، یک نوع جدید CrimsonRAT و PeppyRAT استفاده می کند. ما همچنین یک وب سایت جعلی را کشف کردیم که برای توزیع نصب کننده جعلی Kavach برای لینوکس استفاده می شد. ایمپلنت یک دانلود کننده ساده است که Poseidon را دانلود و اجرا می کند، ابزاری پس از بهره برداری برای لینوکس و macOS که می تواند با چارچوب Mythic post-exploitation استفاده شود.

اکتشافات جالب دیگر

اختلال مخرب سرویس‌های اینترنتی مبتنی بر KA-SAT در ماه فوریه ممکن است تلاشی برای جلوگیری از ارتباطات نیروهای نظامی و سرویس‌های امنیتی اوکراین بوده باشد. ما توانستیم چندین آسیب‌پذیری پیکربندی و افشای اطلاعات حساس را شناسایی کنیم که به مهاجم اجازه می‌دهد به بخش‌های شبکه مدیریت خصوصی Viasat دسترسی داشته باشد، همچنین کد را از راه دور اجرا کند یا پیکربندی را در سیستم‌های CPE تغییر دهد. ما بدافزار پاک‌کن در دسترس عموم، CosmosWiper را که در 15 مارس به یک سرویس چند اسکنر آنلاین ارسال شده بود، تجزیه و تحلیل کردیم. و ما با اطمینان متوسط به بالا معتقدیم که برای مختل کردن برخی از سیستم‌های CPE مشتریان KA-SAT استفاده شده است. محققان بر این باورند که بدافزار مورد استفاده برای پاک کردن مودم‌های پهن باند ماهواره‌ای Viasat می‌تواند به VPNFilter10 مرتبط باشد.

در ماه فوریه، ما یک کمپین جدید SilentMarten را کشف کردیم که نهادهای دولتی قرقیزستان را هدف قرار می دهد. این اولین باری بود که تکنیک قرار دادن کد پوسته را در گزارش‌های رویداد ویندوز مشاهده کردیم که به تروجان مرحله آخر بدون فایل اجازه می‌دهد از سیستم فایل پنهان شود. قطره چکان پوسته کد را در رویدادهای اطلاعاتی منبع رویداد سیستم مدیریت کلید (KMS) با شناسه دسته بندی خاص و شناسه های پیام افزایش یافته ذخیره می کند. تکنیک دیگر استفاده از یک نام دامنه C2 است که از یک نام قانونی تقلید می کند. نام “eleed” متعلق به یک محصول منطقه ای ERP/ECM است که واقعاً در سیستم های هدف استفاده می شود. بازیگر تهدید، شناسایی اولیه خود را هنگام توسعه مراحل مخرب بعدی در نظر می گیرد. آنها رمزگشاهای ضد تشخیص زیادی را با استفاده از کامپایلرهای مختلف ارائه کردند: cl.exe مایکروسافت، GCC تحت MinGW و نسخه اخیر Go. آنها همچنین تصمیم گرفتند که فقط به یک تروجان مرحله آخر پایبند نمانند: HTTP و تروجان های نامگذاری شده مبتنی بر لوله نیز وجود دارد. همراه با ماژول های سفارشی فوق، چندین ابزار تست قلم تجاری مانند Cobalt Strike و NetSPI (SilentBreak سابق) استفاده شد. در سپتامبر 2021، مجموعه ابزار SilentBreak را مشاهده کردیم، اما در مناطق دیگر – خاورمیانه و شمال آفریقا. توجه به گزارش رویدادها به ذخیره کدهای پوسته محدود نمی شود. قطره چکان ها همچنین توابع Windows Native API را وصله می کنند تا فرآیند عفونت را مخفی تر کنند. همچنین، برخی از ماژول ها با گواهی دیجیتال Fast Invest امضا شده اند. ما معتقدیم که این توسط عامل تهدید صادر شده است، زیرا تله متری ما هیچ نرم افزار قانونی امضا شده با آن را فراتر از کد مخرب مورد استفاده در این کمپین نشان نمی دهد.

ما اخیرا SessionManager را شناسایی کردیم، یک ماژول IIS مخرب با شناسایی ضعیف که از اواخر مارس 2021 شروع شد، علیه سازمان‌های غیردولتی و سازمان‌های دولتی در آفریقا، آمریکای جنوبی، آسیا، اروپا، روسیه و خاورمیانه استفاده شده است. ما معتقدیم، با اطمینان متوسط به بالا، این ماژول به لطف بهره برداری قبلی از آسیب پذیری های نوع ProxyLogon در سرورهای Exchange مستقر شده است. ما معتقدیم، با اطمینان کم، SessionManager ممکن است توسط عامل تهدید GELSEMIUM بر اساس همپوشانی در قربانی شناسی و استفاده از OwlProxy مورد استفاده قرار گیرد.

ما برای اولین بار کمپین VileRAT DeathStalker را در آگوست 2020 گزارش کردیم. در حالی که همچنان به ردیابی فعالیت‌های مرتبط ادامه می‌دادیم، متوجه شدیم که عامل تهدید همچنان به‌طور مرتب بدافزار و زنجیره‌های عفونت قبلی خود را به‌روزرسانی می‌کند. تاکتیک‌های اصلی DeathStalker ثابت هستند، اما عامل تهدید به طور مداوم تلاش می‌کند تا از شناسایی فرار کند. ما اخیراً اسناد عفونت جدیدی را شناسایی کرده‌ایم که در نهایت نمونه‌های به‌روز شده VileRAT را ارائه می‌دهند و شاخص‌ها و دانش جدیدی در مورد این کمپین‌ها در یک گزارش خصوصی ارائه می‌کنند.

در سال های اخیر، تعداد حوادث هک و نشت به طور پیوسته افزایش یافته است و این به یک ابزار محبوب برای APT ها و مجرمان سایبری تبدیل شده است. در مورد APT ها، این نشت ها عمدتاً برای خدشه دار کردن تصویر یک هدف و به خطر انداختن شهرت آنها استفاده می شود. به عنوان مثال، در سال 2016، دبی واسرمن شولتز، رئیس کمیته ملی دموکرات، به دنبال افشای ایمیل گسترده ویکی لیکس استعفا داد. برای مجرمان سایبری، نشت اطلاعات معمولاً همراه با حملات باج‌افزار استفاده می‌شود، جایی که داده‌های یک شرکت رمزگذاری شده و برای باج نگهداری می‌شوند. از آغاز جنگ در اوکراین، گروه‌های مجرم سایبری مختلف (مانند Conti) حمایت خود را از طرف‌های درگیر در مناقشه ابراز کرده‌اند و جدایی بین عملیات‌های تحت حمایت دولت و عملیات‌های مجرمانه سایبری را مخدوش کرده‌اند. به طور مشابه، ما شاهد افزایشی در تعداد فعالیت‌های هکتیویستی مرتبط با درگیری بوده‌ایم، از حملات DDoS تا عملیات Doxxing و هک و نشت. اخیراً با چندین عملیات از این دست مواجه شدیم که در چارچوب جنگ روسیه و اوکراین جالب توجه است. این گزارش به چندین وب‌سایت که احتمالاً با APTها و هکتیویست‌ها مرتبط هستند نگاه می‌کند.

در یک گزارش خصوصی که تا حدودی با قالب معمول ما متفاوت است، ما یک بررسی جامع از تکنیک‌ها، تاکتیک‌ها و رویه‌های باج‌افزار مدرن (TTP) منتشر کردیم. این گزارش تلاش‌های چندین تیم در Kaspersky را ترکیب کرد – تیم تحقیقاتی تهدید ما، تیم جهانی واکنش اضطراری (GERT) و تیم تحقیقات و تحلیل جهانی (GReAT). ما همچنین از بهترین شیوه‌های موسسه فناوری‌های پیشرفته Escal (SANS)، مراکز ملی امنیت سایبری و موسسه ملی استانداردها و فناوری (NIST) استفاده کردیم. این گزارش از آمار ما برای انتخاب محبوب‌ترین گروه‌ها استفاده می‌کند، حملاتی را که انجام داده‌اند به تفصیل تجزیه و تحلیل می‌کند، و از داده‌های توصیف‌شده در MITER ATT&CK برای شناسایی تعداد زیادی از TTPهای مشترک استفاده می‌کند. با ردیابی همه گروه ها و شناسایی حملات، می بینیم که تکنیک های اصلی در سراسر زنجیره کشتار سایبری یکسان باقی می مانند. الگوهای حمله آشکار شده تصادفی نیستند، زیرا این دسته از حمله به هکرها نیاز دارد تا مراحل خاصی را طی کنند، مانند نفوذ به شبکه شرکت یا رایانه قربانی، ارائه بدافزار، کشف بیشتر، سرقت حساب، حذف کپی‌های سایه، حذف نسخه‌های پشتیبان، و در نهایت به هدف خود برسند.

جمع بندی نهایی

در حالی که TTPهای برخی از بازیگران تهدید در طول زمان ثابت می مانند و به شدت به مهندسی اجتماعی به عنوان وسیله ای برای دستیابی به جایگاهی در سازمان هدف یا به خطر انداختن دستگاه یک فرد متکی هستند، برخی دیگر مجموعه ابزار خود را تازه می کنند و دامنه فعالیت های خود را گسترش می دهند. بررسی‌های فصلی منظم ما برای برجسته کردن پیشرفت‌های کلیدی گروه‌های APT است.

در اینجا روندهای اصلی که در سه ماهه دوم سال 2022 دیده ایم آمده است:

  • ژئوپلیتیک همچنان یکی از محرک های توسعه APT است. جای تعجب نیست که ما همچنان شاهد حملاتی با محوریت جنگ در اوکراین هستیم. ما شاهد افزایش حملات “هکتیویست” بوده ایم، از حملات DDoS گرفته تا عملیات Doxxing و هک و نشت. مجرمان سایبری نیز به دنبال سوء استفاده از درگیری هستند. علاوه بر این، ما همچنین شاهد بوده ایم که بازیگران تهدید از جنگ به عنوان موضوعی برای فریب دادن قربانیان احتمالی به اجرای کدهای مخرب سوء استفاده می کنند.
  • همانطور که در گزارش ما در مورد کمپین NaiveCopy که سرمایه گذاران سهام و ارزهای دیجیتال در کره جنوبی را هدف قرار داده است، تاکید شد، سود مالی یکی از انگیزه های مداوم در پشت حملات APT است.
  • در بررسی سالانه APT خود در سال 2021، دو مورد را برجسته کردیم که مهاجمان ایمپلنت های UEFI ساخته بودند. و رشد بیشتر حملات سطح پایین را پیش بینی کرد. در این سه ماهه ما یک مؤلفه مخرب دیگر UEFI، CosmicStrand را گزارش کردیم.

مثل همیشه، باید توجه داشته باشیم که گزارش های ما محصول دید ما به چشم انداز تهدید است. با این حال، باید در نظر داشت که، در حالی که ما در تلاش برای بهبود مستمر هستیم، همیشه این احتمال وجود دارد که حملات پیچیده دیگری زیر رادار ما پرواز کنند.

ترجمه:
پیشگامان تجارت امن ایرانیان

پیام بگذارید

آدرس ایمیل شما منتشر نخواهد شد.