گروه پیشرفته تهدیدات مداوم (APT) موسوم به OceanLotus یا APT32 که در جنوب شرق آسیا فعال است، اخیراً با استفاده خلاقانه از GitHub، حملهای هدفمند علیه متخصصان امنیت سایبری چین انجام داده است. این حمله از اواسط سپتامبر ۲۰۲۴ آغاز شده و به صنایع مختلف در چین نفوذ کرده است.
📌 شیوه جدید حمله:
مهاجمان یک فایل مخرب با پسوند .suo را در پروژههای Visual Studio جاسازی کردند. این فایل با باز شدن پروژه توسط Visual Studio اجرا میشود و پس از اجرای کد مخرب، برای جلوگیری از شناسایی، خود را حذف میکند.
✅ نکته: این روش برای نخستینبار توسط OceanLotus استفاده شده و نشاندهنده سطح بالای خلاقیت در سوءاستفاده از ابزارهای توسعه نرمافزار است.
🎯 استراتژی هدفگذاری:
مهاجم با ساخت حسابی جعلی بهنام 0xjiefeng در GitHub، خود را بهعنوان یک پژوهشگر امنیتی معرفی کرده و با فورک کردن ابزارهای امنیتی محبوب و انتشار نسخههای آلوده آنها، جامعه امنیتی چین را هدف قرار داده است.
🧪 شاخصهای شناسایی (IOCs):
-
حساب مخرب:
0xjiefeng -
فایلهای آلوده:
TraceIndexer.exeوTTDReplay.dllدر مسیر:C:\Users\Public\TTDIndexerX64\ -
رجیستری شروع خودکار:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\TTDIndexerX64 -
ارتباط با سرور C2 از طریق: Notion API (صفحه با
page_id:11f5edabab708090b982d1fe423f2c0b) -
IPهای سرور C2:
۱۹۰.۲۱۱.۲۵۴.۲۰۳:۴۴۴۳۴۵.۴۱.۲۰۴.۱۸:۸۴۴۳
و چند آدرس دیگر
📌 پیامدها:
-
پروژههای آلوده در چندین وبلاگ و پلتفرم چینی به اشتراک گذاشته شدهاند.
-
کد مخرب به سرعت در جامعه امنیت سایبری چین گسترش یافته است.
-
توضیحات چینیِ ترجمهشده ماشینی، باعث افزایش اعتبار پروژهها نزد قربانیان هدف شدهاند.
⚠️ نتیجهگیری: این حمله نشان میدهد که ابزارهایی که برای بهبود امنیت طراحی شدهاند، میتوانند خود به سلاحی علیه متخصصان امنیت تبدیل شوند. APT32 توانسته است با استفاده از اعتماد به GitHub و Visual Studio، دسترسی پنهانی به سازمانها و تیمهای تحقیقاتی بزرگ چینی پیدا کند.
یک نظر