خبرکاو:

 14 فوریه 2023  اطلاعات تهدید سایبری Ravie Lakshmanan

مایکروسافت روز دوشنبه یک عامل جاسوسی سایبری مستقر در چین را به مجموعه حملاتی نسبت داد که نهادهای دیپلماتیک در آمریکای جنوبی را هدف قرار داده بودند.

تیم اطلاعات امنیتی غول فناوری در حال ردیابی این خوشه با نام در حال ظهور DEV-0147 است و این فعالیت را به عنوان "گسترش عملیات استخراج داده های این گروه که به طور سنتی سازمان های دولتی و اتاق های فکر در آسیا و اروپا را هدف قرار می داد" توصیف می کند.

گفته می‌شود که عامل تهدید از ابزارهای هکری مانند ShadowPad برای نفوذ به اهداف و حفظ دسترسی مداوم استفاده می‌کند.

ShadowPad که PoisonPlug نیز نامیده می‌شود، جانشین تروجان دسترسی از راه دور PlugX است و به‌طور گسترده توسط گروه‌های متخاصم چینی با پیوندهایی به وزارت امنیت دولتی (MSS) و ارتش آزادی‌بخش خلق (PLA)، در Secureworks مورد استفاده قرار گرفته است.

یکی از ابزارهای مخرب دیگری که توسط DEV-0147 استفاده می‌شود، بارگیری بسته وب به نام QuasarLoader است که امکان استقرار بارهای اضافی را روی میزبان‌های در معرض خطر می‌دهد.

بیشتر بخوانید

آیا توییتر، پی‌پال و والمارت برای راه‌اندازی اپلیکیشن فوق‌العاده آمریکا با هم رقابت خواهند کرد؟

ردموند روشی را که ممکن است DEV-0147 برای دستیابی به دسترسی اولیه به یک محیط هدف استفاده کند، فاش ن کرد. گفته می‌شود، فیشینگ و هدف‌گیری فرصت‌طلبانه برنامه‌های وصله‌نشده، بردارهای احتمالی هستند.

مایکروسافت گفت: «حمله‌های DEV-0147 در آمریکای جنوبی شامل فعالیت‌های پس از بهره‌برداری شامل سوء استفاده از زیرساخت هویت داخلی برای بازیابی و جابجایی جانبی، و استفاده از Cobalt Strike برای فرماندهی و کنترل و استخراج داده‌ها بود».

DEV-0147 تنها تهدید پایدار پیشرفته (APT) مستقر در چین برای استفاده از ShadowPad در ماه‌های اخیر نیست.

در سپتامبر 2022، NCC Group جزئیات یک حمله را با هدف یک سازمان ناشناس کشف کرد که از یک نقص مهم در WSO2 (CVE-2022-29464، امتیاز CVSS: 9.8) برای رها کردن پوسته های وب و فعال کردن یک زنجیره عفونت که منجر به تحویل ShadowPad برای جمع آوری اطلاعات.

ShadowPad همچنین توسط عوامل تهدید ناشناس در حمله ای که وزارت خارجه عضو آسه آن را هدف قرار داده است، از طریق بهره برداری موفقیت آمیز از سرور مایکروسافت اکسچنج آسیب پذیر و متصل به اینترنت، به کار گرفته شده است.

دیگر اخبار

مقایسه هایما S5 توربو و توربوپلاس؛ مشخصات فنی، آپشن‌ها، قیمت و شرایط فروش

این فعالیت که توسط آزمایشگاه‌های امنیتی الاستیک REF2924 نامیده می‌شود، برای به اشتراک گذاشتن ارتباطات تاکتیکی با گروه‌های دولت-ملت دیگر مانند Winnti (معروف به APT41) و ChamelGang مشاهده شده است.

این شرکت بيان کرد : «مجموعه نفوذ REF2924 [...] یک گروه حمله را نشان می‌دهد که به نظر می‌رسد روی اولویت‌هایی متمرکز است که وقتی در کمپین‌ها مشاهده می‌شوند، با منافع استراتژیک ملی حمایت شده همسو می‌شوند».

این واقعیت که گروه‌های هکر چینی به استفاده از ShadowPad با وجود مستند بودن آن در طول سال‌ها ادامه می‌دهند، نشان می‌دهد که این تکنیک تا حدی موفقیت دارد.

این مقاله جالب بود؟ ما را در توییتر  و لینکدین دنبال کنید تا محتوای اختصاصی بیشتری را که پست می کنیم بخوانید.

خبرکاو