ایران‌هک را در شبکه‌های اجتماعی دنبال کنید

گروه سایبری ایران هک

115

آمریکا, اخبار جهان, امنیت, باج افزار, جرایم سایبری, جنگ سایبری

حمله باج‌افزار RA World با استفاده از ابزارهای مرتبط با APTهای چینی

116نمایش

در نوامبر ۲۰۲۴، یک حمله باج‌افزار RA World به یک شرکت نرم‌افزاری آسیایی انجام شد که در آن ابزاری مرتبط با گروه‌های تهدید APT وابسته به چین مورد استفاده قرار گرفت.

طبق گزارش محققان Broadcom، مهاجمان پشت این حمله از ابزارهایی استفاده کرده‌اند که پیش‌تر به‌طور انحصاری با گروه‌های جاسوسی مرتبط با چین شناخته می‌شدند.

روش حمله و ابزارهای مورد استفاده

📌 در این حمله، مهاجمان از یک مجموعه ابزار خاص استفاده کردند که پیش‌تر در حملات جاسوسی سایبری توسط گروه‌های APT چینی به کار گرفته شده بود.

🔹 احتمال دارد که این مهاجمان به‌طور مستقل و به‌عنوان یک گروه باج‌افزار فعالیت کنند.
🔹 هرچند ابزارهای مرتبط با APTهای چینی معمولاً به اشتراک گذاشته می‌شوند، اما بسیاری از آن‌ها عمومی نیستند و معمولاً در فعالیت‌های مجرمانه سایبری استفاده نمی‌شوند.

🚨 سوءاستفاده از آسیب‌پذیری PAN-OS (CVE-2024-0012)

  • در حمله نوامبر ۲۰۲۴، مهاجمان از یک آسیب‌پذیری در PAN-OS شرکت Palo Alto سوءاستفاده کردند.
  • آن‌ها با سرقت اعتبارنامه‌ها و استخراج داده‌ها از Amazon S3، در نهایت باج‌افزار RA World را در سیستم‌های هدف مستقر کردند.
  • یک فایل اجرایی متعلق به Toshiba برای بارگذاری بدافزار PlugX مورد استفاده قرار گرفت.
  • باج درخواستی اولیه ۲ میلیون دلار بود که در صورت پرداخت ظرف سه روز، به ۱ میلیون دلار کاهش می‌یافت.

ارتباط با گروه‌های جاسوسی چینی

📌 PlugX مورد استفاده در این حمله، دارای ویژگی‌های مشابهی با نسخه‌ای از این بدافزار است که پیش‌تر با گروه Fireant (همچنین شناخته‌شده به نام Mustang Panda یا Earth Preta) مرتبط بوده است.

🔹 این نسخه از PlugX دارای مهر زمانی کامپایل یکسانی با Thor PlugX است که به Fireant مرتبط است.
🔹 همچنین شباهت‌هایی با نوع دوم PlugX مستند‌شده توسط Trend Micro دارد که باز هم به Fireant مرتبط است.
🔹 هر دو نسخه از کلید رمزگذاری RC4 یکسان (qwedfgx202211) استفاده می‌کنند و دارای ساختار پیکربندی مشابهی هستند، که این ارتباط را تقویت می‌کند.

📌 پیشینه ارتباط گروه RA World با حملات باج‌افزاری قبلی

  • پالو آلتو حملات RA World را به گروه Bronze Starlight (همچنین شناخته شده به نام Emperor Dragonfly) نسبت داده است که مستقر در چین است و از باج‌افزارهای مختلف استفاده کرده است.
  • این حمله از ابزار پروکسی NPS استفاده کرده است که قبلاً توسط Bronze Starlight استفاده شده بود.
  • SentinelOne گروه Bronze Starlight را به باج‌افزارهای LockFile، AtomSilo، NightSky و LockBit مرتبط کرده است.
  • برخلاف کره شمالی، گروه‌های جاسوسی چینی معمولاً انگیزه مالی برای استفاده از باج‌افزار ندارند.

احتمالات درباره هدف واقعی حمله

🔹 یکی از احتمالات این است که یک عامل تهدید دولتی از حمله باج‌افزاری به‌عنوان پوششی برای فعالیت‌های جاسوسی استفاده کرده باشد.
🔹 با این حال، شواهد نشان می‌دهد که مهاجمان در مذاکرات مربوط به باج فعالانه شرکت کرده‌اند، که این رفتار برای حملات فریبکارانه (Deception Attacks) غیرمعمول است.
🔹 سناریوی محتمل این است که یکی از اعضای این گروه، به‌صورت مستقل و برای کسب درآمد شخصی، از ابزارهای کارفرمای خود در این حمله استفاده کرده باشد.

🔎 گزارش Broadcom شامل شاخص‌های سازش (IoCs) برای شناسایی این تهدید است.

نتیجه‌گیری

🚨 این حمله نشان می‌دهد که ابزارهای پیشرفته‌ای که معمولاً برای جاسوسی سایبری مورد استفاده قرار می‌گیرند، می‌توانند در حملات باج‌افزاری نیز به کار گرفته شوند.
🚨 سازمان‌ها باید علاوه بر تقویت امنیت سایبری، همواره نظارت مستمر بر شبکه خود داشته باشند تا از ورود عوامل تهدید جلوگیری کنند.
🚨 باج‌افزارها همچنان به‌عنوان یک تهدید جدی باقی مانده‌اند و مهاجمان در حال تطبیق روش‌های خود برای دور زدن ابزارهای امنیتی هستند.

, , , , , , , , , ,

دوست داشتید؟ لطفا با دوستان خود به اشتراک بگذارید.

115

یک نظر

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

ورود به اسایت

Captcha!
Forgot password?

رمز را فراموش کردم

Back to
ورود به اسایت