×
اقتصادی
شناسه خبر : 307367
تاریخ انتشار : جمعه 1405/01/14 ساعت 21:24
شناسایی بدافزار مرموز در زیرساخت‌های کشور +جزئیات عملیات شکار تهدید

شناسایی بدافزار مرموز در زیرساخت‌های کشور +جزئیات عملیات شکار تهدید

تیم امداد سایبری مرکز مدیریت راهبردی افتای ریاست جمهوری طی انجام عملیات شکار تهدید در سازمان‌ها، بدافزاری را کشف کرد که با توجه به شواهد و بررسی‌های انجام‌شده متعلق به یک گروه هکری سازمان‌یافته (APT) ناشناخته بوده است.

نورنیوز_ گروه اقتصادی : تیم امداد سایبری مرکز مدیریت راهبردی افتای ریاست جمهوری، با انجام عملیات شکار تهدید در سازمان‌ها بدافزاری را کشف کرد که با توجه به شواهد و بررسی‌های انجام‌شده متعلق به یک گروه هکری سازمان‌یافته (APT) ناشناخته بوده که در حال حاضر اطلاعاتی از نام و ماهیت این گروه در دست نیست.

  این گروه هکری معمولاً سازمان‌های دولتی را به قصد جمع‌آوری اطلاعات هدف قرار می‌دهد و ورود آن از طریق سوءاستفاده از آسیب‌پذیری‌های سامانه‌های لبه شبکه (اینترنت) و همچنین از طریق خرید دسترسی اولیه و اکانت معتبر بوده است.

برای افزایش سطح آگاهی راجع به روش عملکرد این گروه گزارش تحلیل بدافزار و TTP حمله و همچنین شاخص‌های آلودگی و قواعد شکارتهدید (IOC) مربوط به این گروه در این مقاله در اختیار عموم قرار داده می‌شود.

با اینکه روش حمله این گروه اشتراکاتی با حملات APT41 و همچنین گروه Oneclik دارد ولی در نوع خود منحصربه‌فرد بوده است و در گزارش‌های بررسی‌شده با هیچ‌کدام از گروه‌های شناخته‌شده مطابقت ندارد.

این گروه از تکنیک پیشرفته AppDomainManager Hijacking (T1574.014) برای اجرای کد مخرب در بستر یک پروسه معتبر ویندوزی استفاده کرده است.

زنجیره حمله با اجرای فرآیند dfsvc.exe آغاز می‌شود و در انتها با استفاده از ابزار Cobalt اقدام به پایداری دسترسی و اجرای کد مخرب و همچنین استخراج اطلاعات از سازمان‌ها می‌کند.

این گروه هکری معمولاً سازمان‌های دولتی را به قصد جمع‌آوری اطلاعات هدف قرار می‌دهد و ورود آن از طریق سوءاستفاده از آسیب‌پذیری‌های سامانه‌های لبه شبکه (اینترنت) و همچنین از طریق خرید دسترسی اولیه و اکانت معتبر بوده است.

این گروه با استفاده از ابزارهایی مانند dfsvc.exe که دارای امضای دیجیتال معتبر مایکروسافت است و همچنین استفاده از دی‌ال‌ال‌های رمز شده تو در تو برای پایداری دسترسی و اجرای شل کد بر روی memory خود را از دید آنتی‌ویروس‌ها مخفی نگه می‌دارد.

تکنیک AppDomainManager Hijacking با استفاده از dfsvc.exe را در گذشته گروه‌های APT41 و گروه Oneclik استفاده کرده بودند ولی در روش پیاده سازی این تکنیک تفاوت‌هایی وجود دارد و به این دلیل نمی‌توان این حملات را به این گروه‌ها نسبت داد.

مرکز مدیریت راهبردی افتای ریاست جمهوری بر اساس نتایج حاصل از مهندسی معکوس لایه‌های بدافزار، استخراج پیکربندی از حافظه و تحلیل ترافیک شبکه، مجموعه‌ای از شاخص‌های آلودگی را با دقت بالا (High-Fidelity) استخراج کرده است.

این شاخص‌ها به چهار دسته فایل سیستم، شبکه، میزبان و الگوهای شکار تقسیم می‌شوند، توصیه مرکز افتا این است که  این شاخص‌ها بلافاصله در سامانه‌های SIEM، EDR و فایروال‌ها اعمال شوند.

برای آشنایی و بهره‌برداری متخصصان، کارشناسان و مدیران فناوری اطلاعات و امنیت سامانه‌های دستگاه‌های دارای زیرساخت حیاتی، مشروح گزارش فنی مرکز مدیریت راهبردی افتای ریاست جمهوری در باره شناسایی یک APT در زیرساخت‌های کشور در فایل پیوست تقدیم شده است.

 


نظرات

آخرین اخبار
نورویدئو | وقتی سیاست، زبانش را از دست می دهد
چرا نوجوانان روز به روز از دنیای کتاب دورتر می شوند؟
قیمت طلا و سکه امروز شنبه 20 تیر 1405 +جدول قیمت ها
قیمت دلار و سایر ارزها امروز شنبه 20 تیر 1405 / دلار 4 هزار تومان ریزش کرد
انهدام محموله انفجاری در مرز کردستان
انتقام خون امام شهید را از قاتلین جنایتکار و بی‌آبرو می گیریم
واکنش سازمان هواپیمایی به شایعه خرید بوئینگ از عربستان
فارن‌پالیسی: تهدیدسازی علیه ترکیه بخشی از راهبرد انتخاباتی نتانیاهو است
احضار مدیرعامل پالایشگاه پلدختر پس از آتش‌سوزی
خداحافظی با چک رمزدار
جایگاه دانشگاه‌های ایرانی در جدیدترین رتبه‌بندی‌های جهانی
هشدار اتحادیه اروپا به متا؛ اینستاگرام و فیس‌بوک در آستانه جریمه سنگین
وجه همه بلیت‌های پروازهای لغوشده بازگردانده شد
هشدار درباره احتمال سقوط اجسام در هنگام ورزش باد شدید
ایهود باراک: نتانیاهو برای تشدید جنگ تدارک می‌بیند
رشد انفجاری معاملات بورس کالا و انرژی در 3 ماه نخست سال
مهاجرانی: دولت برای عزت ایران حتی گلوله هم می‌خورد
پیام‌هایی از مراسم آقای شهید
جدال بر سر یادداشت تفاهم
پشت پرده سفر رامین رضاییان به اسپانیا؛ واکنش باشگاه استقلال به خبر انتقال جنجالی
پیاتزا: اردوی صربستان برای ما مثل یک مرهم بود
وضعیت ترافیک تهران امروز 20 تیر ماه
مترو و BRT تهران تا کی رایگان می‌ماند؟
تهدید به مرگ خامینتون کامباس؛ سایه وحشت پس از حذف کلمبیا از جام جهانی
خسارت 300 میلیون دلاری به زیرساخت‌های پژوهشی کشور در جنگ
بن سلمان و ترامپ درباره تحولات منطقه گفت‌وگو کردند
دلخوری محمدی از پرسپولیس؛ آیا میلاد با قرمزها قرارداد می‌بندد؟
آغاز عرضه ارز زیارتی اربعین از امروز + جزئیات خرید
دبیرکل کتائب حزب‌الله: تهدید دشمنان، ما را از مسیرمان باز نمی‌دارد
ترامپ چرا ناگهان از جان خودش گفت؟
اسپانیا - فرانسه؛ فینال زودرس جام جهانی 2026 در راه است
شبکه امداد مترویی تهران در راه بهره‌برداری تا پایان سال
چرا ترامپ ناگهان از جان خود گفت؟ پیام پنهان پس از تشییع میلیونی رهبر شهید
نورنما | سناریوی ترسناک در چین
حسین؛ پیام‌آور کرامت انسان
ابَر سرمایه تشییع قائد شهید
کالابرگ تیر 1405 شارژ شد+ جزئیات
آتش‌بس در لبنان و دشواری‌های پیش‌‌رو
قیمت خودرو داخلی و خارجی امروز شنبه 20 تیر 1405+ جدول
پرونده جنایی عجیب؛ راز زیر گرفتن شوهر پس از انتقال خانه فاش شد
تداوم گرمای هوا و گرد و خاک در استان یزد
آماده‌سازی هتل‌های قصرشیرین برای میزبانی از زائران اربعین
آمار هولناک زلزله ونزوئلا؛ بیش از 4 هزار کشته و 16 هزار زخمی
ترافیک سنگین در هراز و مسیرهای تهران
جام جهانی 2026 | برنامه بازی‌های امشب شنبه 20 تیر و بامداد فردا
تهدید دوباره ترامپ علیه ایران: هزار موشک آماده شلیک است
پایان تفاهم یا آغاز دیپلماسی اجبار؛نقشه جدید واشنگتن برای بازگشت به میز مذاکره چیست؟
برنامه مسابقات ورزشی امروز 20 تیر 1405+ جدول پخش
وضعیت آب و هوا امروز شنبه 20 تیر 1405 + وضعیت استانها
هشدار پژوهشگران: آسم شدید تنها یک بیماری تنفسی نیست