تاریخ انتشار : یکشنبه 5 آوریل 2026 - 10:53
کد خبر : 9285
چاپ خبر 0 نظر

شناسایی یک بدافزار مشکوک در زیرساخت‌های کشور

شناسایی یک بدافزار مشکوک در زیرساخت‌های کشور
مرکز افتای ریاست‌جمهوری می‌گوید گروه هکری شناسایی‌شده معمولاً سازمان‌های دولتی را به قصد جمع‌آوری اطلاعات هدف قرار می‌دهد.

تیم امداد سایبری مرکز مدیریت راهبردی افتای ریاست‌جمهوری، با انجام عملیات شکار تهدید در سازمان‌ها بدافزاری را کشف کرد که با توجه به شواهد و بررسی‌های انجام‌شده متعلق به یک گروه هکری سازمان‌یافته (APT) ناشناخته بوده که در حال حاضر اطلاعاتی از نام و ماهیت این گروه در دست نیست.

به گزارش مرکز مدیریت راهبردی افتا، این گروه هکری معمولاً سازمان‌های دولتی را به قصد جمع‌آوری اطلاعات هدف قرار می‌دهد و ورود آن از طریق سوءاستفاده از آسیب‌پذیری‌های سامانه‌های لبه شبکه (اینترنت) و همچنین از طریق خرید دسترسی اولیه و اکانت معتبر بوده است.

با اینکه روش حمله این گروه اشتراکاتی با حملات APT41 و همچنین گروه Oneclik دارد ولی در نوع خود منحصربه‌فرد بوده است و در گزارش‌های بررسی‌شده با هیچ‌کدام از گروه‌های شناخته‌شده مطابقت ندارد.

این گروه از تکنیک پیشرفته AppDomainManager Hijacking (T1574.014) برای اجرای کد مخرب در بستر یک پروسه معتبر ویندوزی استفاده کرده است.

زنجیره حمله با اجرای فرآیند dfsvc.exe آغاز می‌شود و در انتها با استفاده از ابزار Cobalt اقدام به پایداری دسترسی و اجرای کد مخرب و همچنین استخراج اطلاعات از سازمان‌ها می‌کند.

این گروه هکری معمولاً سازمان‌های دولتی را به قصد جمع‌آوری اطلاعات هدف قرار می‌دهد و ورود آن از طریق سوءاستفاده از آسیب‌پذیری‌های سامانه‌های لبه شبکه (اینترنت) و همچنین از طریق خرید دسترسی اولیه و اکانت معتبر بوده است.

این گروه با استفاده از ابزارهایی مانند dfsvc.exe که دارای امضای دیجیتال معتبر مایکروسافت است و همچنین استفاده از دی‌ال‌ال‌های رمز شده تو در تو برای پایداری دسترسی و اجرای شل کد بر روی memory خود را از دید آنتی‌ویروس‌ها مخفی نگه می‌دارد.

تکنیک AppDomainManager Hijacking با استفاده از dfsvc.exe را در گذشته گروه‌های APT41 و گروه Oneclik استفاده کرده بودند ولی در روش پیاده سازی این تکنیک تفاوت‌هایی وجود دارد و به این دلیل نمی‌توان این حملات را به این گروه‌ها نسبت داد.

مرکز مدیریت راهبردی افتای ریاست جمهوری بر اساس نتایج حاصل از مهندسی معکوس لایه‌های بدافزار، استخراج پیکربندی از حافظه و تحلیل ترافیک شبکه، مجموعه‌ای از شاخص‌های آلودگی را با دقت بالا (High-Fidelity) استخراج کرده است.

این شاخص‌ها به چهار دسته فایل سیستم، شبکه، میزبان و الگوهای شکار تقسیم می‌شوند، توصیه مرکز افتا این است که  این شاخص‌ها بلافاصله در سامانه‌های SIEM، EDR و فایروال‌ها اعمال شوند./ زومیت- نوید مهری

اخبار مرتبط

برچسب ها : ، ، ،

ارسال نظر شما
مجموع نظرات : 0 در انتظار بررسی : 0 انتشار یافته : 0
  • نظرات ارسال شده توسط شما، پس از تایید توسط مدیران سایت منتشر خواهد شد.
  • نظراتی که حاوی تهمت یا افترا باشد منتشر نخواهد شد.
  • نظراتی که به غیر از زبان فارسی یا غیر مرتبط با خبر باشد منتشر نخواهد شد.