×
اقتصادی
شناسه خبر : 307367
تاریخ انتشار : جمعه 1405/01/14 ساعت 21:24
شناسایی بدافزار مرموز در زیرساخت‌های کشور +جزئیات عملیات شکار تهدید

شناسایی بدافزار مرموز در زیرساخت‌های کشور +جزئیات عملیات شکار تهدید

تیم امداد سایبری مرکز مدیریت راهبردی افتای ریاست جمهوری طی انجام عملیات شکار تهدید در سازمان‌ها، بدافزاری را کشف کرد که با توجه به شواهد و بررسی‌های انجام‌شده متعلق به یک گروه هکری سازمان‌یافته (APT) ناشناخته بوده است.

نورنیوز_ گروه اقتصادی : تیم امداد سایبری مرکز مدیریت راهبردی افتای ریاست جمهوری، با انجام عملیات شکار تهدید در سازمان‌ها بدافزاری را کشف کرد که با توجه به شواهد و بررسی‌های انجام‌شده متعلق به یک گروه هکری سازمان‌یافته (APT) ناشناخته بوده که در حال حاضر اطلاعاتی از نام و ماهیت این گروه در دست نیست.

  این گروه هکری معمولاً سازمان‌های دولتی را به قصد جمع‌آوری اطلاعات هدف قرار می‌دهد و ورود آن از طریق سوءاستفاده از آسیب‌پذیری‌های سامانه‌های لبه شبکه (اینترنت) و همچنین از طریق خرید دسترسی اولیه و اکانت معتبر بوده است.

برای افزایش سطح آگاهی راجع به روش عملکرد این گروه گزارش تحلیل بدافزار و TTP حمله و همچنین شاخص‌های آلودگی و قواعد شکارتهدید (IOC) مربوط به این گروه در این مقاله در اختیار عموم قرار داده می‌شود.

با اینکه روش حمله این گروه اشتراکاتی با حملات APT41 و همچنین گروه Oneclik دارد ولی در نوع خود منحصربه‌فرد بوده است و در گزارش‌های بررسی‌شده با هیچ‌کدام از گروه‌های شناخته‌شده مطابقت ندارد.

این گروه از تکنیک پیشرفته AppDomainManager Hijacking (T1574.014) برای اجرای کد مخرب در بستر یک پروسه معتبر ویندوزی استفاده کرده است.

زنجیره حمله با اجرای فرآیند dfsvc.exe آغاز می‌شود و در انتها با استفاده از ابزار Cobalt اقدام به پایداری دسترسی و اجرای کد مخرب و همچنین استخراج اطلاعات از سازمان‌ها می‌کند.

این گروه هکری معمولاً سازمان‌های دولتی را به قصد جمع‌آوری اطلاعات هدف قرار می‌دهد و ورود آن از طریق سوءاستفاده از آسیب‌پذیری‌های سامانه‌های لبه شبکه (اینترنت) و همچنین از طریق خرید دسترسی اولیه و اکانت معتبر بوده است.

این گروه با استفاده از ابزارهایی مانند dfsvc.exe که دارای امضای دیجیتال معتبر مایکروسافت است و همچنین استفاده از دی‌ال‌ال‌های رمز شده تو در تو برای پایداری دسترسی و اجرای شل کد بر روی memory خود را از دید آنتی‌ویروس‌ها مخفی نگه می‌دارد.

تکنیک AppDomainManager Hijacking با استفاده از dfsvc.exe را در گذشته گروه‌های APT41 و گروه Oneclik استفاده کرده بودند ولی در روش پیاده سازی این تکنیک تفاوت‌هایی وجود دارد و به این دلیل نمی‌توان این حملات را به این گروه‌ها نسبت داد.

مرکز مدیریت راهبردی افتای ریاست جمهوری بر اساس نتایج حاصل از مهندسی معکوس لایه‌های بدافزار، استخراج پیکربندی از حافظه و تحلیل ترافیک شبکه، مجموعه‌ای از شاخص‌های آلودگی را با دقت بالا (High-Fidelity) استخراج کرده است.

این شاخص‌ها به چهار دسته فایل سیستم، شبکه، میزبان و الگوهای شکار تقسیم می‌شوند، توصیه مرکز افتا این است که  این شاخص‌ها بلافاصله در سامانه‌های SIEM، EDR و فایروال‌ها اعمال شوند.

برای آشنایی و بهره‌برداری متخصصان، کارشناسان و مدیران فناوری اطلاعات و امنیت سامانه‌های دستگاه‌های دارای زیرساخت حیاتی، مشروح گزارش فنی مرکز مدیریت راهبردی افتای ریاست جمهوری در باره شناسایی یک APT در زیرساخت‌های کشور در فایل پیوست تقدیم شده است.

 


نظرات

آخرین اخبار
نوراینفو | آیا ویپ از سیگار هم خطرناک‌تر است؟
جدایی دو امید از پرسپولیس
تصمیم‌گیری برای تنگه هرمز فقط توسط ایران و عمان صورت می‌گیرد
حقیقت هشدار سردار علایی و واکنش شهید شمخانی چه بود؟
آلمان احتمال خرابکاری در آتش‌سوزی خط ریلی پرتردد را بررسی می‌کند
میزبانی تیم‌های ایرانی در کشور سومی
فروشنده ملک به کوشنر در آلبانی مظنون به جعل اسناد است
آلمان احتمال خرابکاری در آتش‌سوزی خط ریلی پرتردد را بررسی می‌کند
قطر و اردن خواستار پایان تنش‌های خطرناک در منطقه شدند
نبض جام | ویژه برنامه روزانه نورنیوز برای جام جهانی 2026 / قسمت بیست و هشتم
آغاز قطعی برق در برخی مناطق تهران بدون اطلاع قبلی+اطلاعیه توزیع برق
طرح «مهتاب» 118 مگاوات از بار غیرمجاز شبکه برق را کاهش داد
دستور الزیدی برای پیگیری کشته شدن یک عراقی به دست گارد ساحلی کویت
بازیکن ملوان شاگرد رحمتی در گل گهر شد
آیا مکانیسم ماشه آخرین برگ بازی غرب است؟
علیرضا جهانبخش به جمع امدادگران هلال احمر پیوست
قیمت دلار و سایر ارزها امروز شنبه 20 تیر 1405
افزایش دوباره قیمت بنزین در آمریکا
مرگ مشکوک بازیکن آفریقای جنوبی بعد از بازگشت از جام جهانی
قدردانی آستان قدس رضوی از حضور باشکوه در آیین تشییع رهبر شهید
آیت‌الله مظاهری: یاوه‌گویی‌های رئیس‌جمهور آمریکا از استیصال دشمنان حکایت دارد
آتش‌سوزی در اسپانیا دست‌کم 12 کشته داد
ممبینی برکنار می شود؟
ادامه حملات رژیم صهیونیستی به جنوب لبنان؛ بمباران منازل مسکونی
روسیه صادرات گازوئیل را ممنوع کرد
آمار حضور مردم در تشییع پیکر رهبر شهید در مشهد اعلام شد
نورنما | نمایی متفاوت از محل تدفین رهبر
مستمری مددجویان بهزیستی به حساب مشمولان واریز شد
سرگردانی مسافران قطار مشهد در بیابان‌های سمنان
بازتاب پیام رهبر انقلاب در رسانه‌های منطقه
رفع تدریجی اختلالات بانکی؛ فعالیت کامل سامانه‌ها تا پایان هفته
افزایش کلاهبرداری با پیامک و پیام‌های جعلی ابلاغیه قضایی
اژه‌ای: آمریکا و اسرائیل هم مجازات شوند هم خسارت بپردازند
قیمت نقره امروز شنبه 20 تیر 1405 + جدول
قیمت گوشت قرمز امروز 20 تیر 1405 + جدول
قیمت سکه پارسیان امروز شنبه 20 تیر 1405+جدول
نورویدئو | وقتی سیاست، زبانش را از دست می دهد
چرا نوجوانان روز به روز از دنیای کتاب دورتر می شوند؟
قیمت طلا و سکه امروز شنبه 20 تیر 1405 +جدول قیمت ها
انهدام محموله انفجاری در مرز کردستان
انتقام خون امام شهید را از قاتلین جنایتکار و بی‌آبرو می گیریم
واکنش سازمان هواپیمایی به شایعه خرید بوئینگ از عربستان
فارن‌پالیسی: تهدیدسازی علیه ترکیه بخشی از راهبرد انتخاباتی نتانیاهو است
احضار مدیرعامل پالایشگاه پلدختر پس از آتش‌سوزی
خداحافظی با چک رمزدار
جایگاه دانشگاه‌های ایرانی در جدیدترین رتبه‌بندی‌های جهانی
هشدار اتحادیه اروپا به متا؛ اینستاگرام و فیس‌بوک در آستانه جریمه سنگین
وجه همه بلیت‌های پروازهای لغوشده بازگردانده شد
هشدار درباره احتمال سقوط اجسام در هنگام ورزش باد شدید
ایهود باراک: نتانیاهو برای تشدید جنگ تدارک می‌بیند