هکرهای APT41 به حداقل 6 دولت ایالتی امریکا نفوذ کردند


5/5 - (1 امتیاز)

هکرهای APT41 وابسه به کشور چین، حداقل شش شبکه دولتی ایالتی ایالات متحده را بین اردیبهشت ماه 1400 تا بهمن ماه 1400 با سو استفاده از آسیب پذیری های Web Application هایی که در اینترنت قرار دارند، هک کرد.

محققان Mandiant در گزارشی که روز سه‌ شنبه منتشر شد، گفتند: آسیب‌ پذیری‌ های مورد سوء استفاده شامل «یک آسیب‌ پذیری Zero-Day در برنامه USAHERDS (CVE-2021-44207) و آسیب پذیری Log4j (CVE-2021-44228) است.

شرکت امنیت سایبری گفته است علاوه بر Web Compromises، حملات مداوم همچنین شامل تسلیحاتی کردن Exploit هایی مانند Deserialization، SQL Injection و آسیب‌ پذیری‌های Directory Traversal است.

این APT، که با نام‌ های Barium و Winnti نیز شناخته می‌ شود، سابقه هدف قرار دادن سازمان‌ ها در بخش‌های دولتی و خصوصی را برای سازماندهی فعالیت‌های جاسوسی به موازات عملیات هایی با انگیزه مالی دارد.

در اوایل سال 1398، این گروه به یک کمپین نفوذ جهانی مرتبط شد که از انواع Exploit ها شامل Citrix NetScaler/ADC، Cisco Routers و Zoho ManageEngine Desktop Central برای حمله به ده ها نهاد در 20 کشور با Payload های مخرب استفاده کرد.

آخرین افشاگری روند هکرهای APT41 را ادامه می‌ دهد که به سرعت از آسیب‌ پذیری‌ های جدید افشا شده مانند Log4Shell برای دستیابی به Gain Initial به شبکه‌ های هدف، شامل دو دولت ایالتی امریکا و شرکت‌ های بیمه و مخابرات، در چند ساعت پس از اطلاع عمومی، استفاده می‌ کند.

به گفته محققان، این نفوذ تا بهمن ماه 1400 ادامه یافت، زمانی که اعضای گروه هکری دو قربانی دولت ایالتی امریکا را که برای اولین بار در اردیبهشت و خرداد 1400 به آن ها نفوذ کرده بودند، دوباره به خطر انداختند،

“محققان گفتند که “هکرهای APT41 میل بی وقفه ای برای دسترسی به شبکه های دولتی ایالتی  دارند.”

علاوه بر این، Foothold ای که پس از بهره برداری از Log4Shell ایجاد شد، منجر به استقرار نوع جدیدی از Backdoor ماژولار C++ به نام KEYPLUG در سیستم‌ های لینوکس شد، اما نه قبل از انجام شناسایی گسترده و جمع‌ آوری اعتبار از محیط‌های هدف.

KEYPLUG

همچنین در طول این حملات یک Dropper در حافظه به نام DUSTPAN (معروف به StealthVector) مشاهده شد که برای اجرای Payload مرحله بعدی تنظیم شده است، همینطور در کنار ابزارهای پیشرفته post-compromise مانند DEADEYE، یک بارگذار بدافزار که مسئول راه اندازی LOWKEY Implant وجود دارد.

به گفته محققان، راه های Evasion و قابلیت‌ های مورد استفاده توسط APT41 شامل افزایش استفاده از خدمات Cloudflare برای ارتباطات فرماندهی و کنترل (C2) و استخراج داده‌ ها بود.

اگرچه Mandiant اشاره کرد که شواهدی از کشف اطلاعات شناسایی شخصی توسط این گروه هکری پیدا کرده است که معمولاً در راستای عملیات جاسوسی است اما هدف نهایی این کمپین در حال حاضر نامشخص است.

همینطور این دومین باری است که یک گروه هکری تحت حمایت کشور چین از نقص های امنیتی موجود در کتابخانه Apache Log4j برای نفوذ به اهداف سوء استفاده می کند.

در دی ماه 1400، مایکروسافت کمپین حمله‌ ای را که توسط Hafnium – هکری که در پشت بهره‌ برداری گسترده از نقص‌ های Exchange Server در یک سال پیش راه‌ اندازی شده بود – توضیح داد که از این آسیب‌ پذیری برای “حمله به زیرساخت‌ های مجازی‌ سازی برای گسترش هدف‌ گیری معمولی خود استفاده کرد.”

در هر صورت، آخرین فعالیت‌ ها نشانه دیگری از دشمنی است که دائماً در حال تطبیق است که می‌ تواند نقاط هدف خود را تغییر دهد و همچنین بدافزار خود را برای حمله به نهادهایی در سراسر جهان که دارای منافع استراتژیک هستند، اصلاح کند.

عملیات‌ های بی‌ وقفه این گروه هکری  علیه بخش‌ های بهداشت، فناوری پیشرفته و مخابرات در طول سال‌ ها توجه وزارت دادگستری ایالات متحده را به خود جلب کرده است، وزارت دادگستری آمریکا در سال 1398 اتهاماتی را علیه پنج عضو این گروه صادر کرد و هکرها را در فضای سایبری FBI قرار داد.

محققان گفتند: “APT41 می تواند به سرعت تکنیک های Initial Access خود را با به خطر انداختن مجدد یک محیط از طریق یک بردار متفاوت، یا با عملیاتی کردن سریع یک آسیب پذیری جدید تطبیق دهد.” این گروه همچنین تمایل خود را برای بازتولید و استقرار قابلیت ها از طریق بردار های حمله جدید به جای نگه داشتن آنها برای استفاده در آینده نشان می دهد.

در یک Related Development، گروه تجزیه و تحلیل تهدیدات گوگل اعلام کرد که اقداماتی را برای مسدود کردن یک کمپین فیشینگ انجام داده است که ماه گذشته توسط یک گروه دیگر تحت حمایت دولت چین که با نام APT31 (معروف به Zirconium) با هدف «کاربران پرمخاطب Gmail وابسته به دولت ایالات متحده» ردیابی شده بود”

بدون دیدگاه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.