شناسایی چندین سرور کنترل و فرمان متعلق به APT۲۹
کد مطلب: 18113
تاریخ انتشار : يکشنبه ۱۰ مرداد ۱۴۰۰ ساعت ۱۵:۰۷
 
محققان امنیت سایبری زیرساخت کنترل و فرمان جدیدی را شناسایی کرده‌اند که ظاهرا متعلق به گروه هکری APT۲۹ یا Cozy Bear روسیه است.
شناسایی چندین سرور کنترل و فرمان متعلق به APT۲۹
 
 
Share/Save/Bookmark
محققان شرکت RiskIQ چندین سرور کنترل و فرمان متعلق به گروه هکری APT۲۹ و بدافزار WellMess را شناسایی کرده‌اند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، محققان امنیت سایبری زیرساخت کنترل و فرمان جدیدی را شناسایی کرده‌اند که ظاهرا متعلق به گروه هکری APT۲۹ یا Cozy Bear روسیه است.

محققان مدعی هستند این زیرساخت با استفاده از بدافزار WellMess، کمپین سایبری فعالی را به پیش می‌برد.

شرکت RiskIQ در گزارشی ادعا کرد که تا کنون بیش از ۳۰ سرور کنترل و فرمان مورد استفاده سرویس اطلاعات خارجی روسیه شناسایی شده است.

گروه APT۲۹ سال گذشته به حمله به شرکت بزرگ سولارویندز متهم شد. شرکت‌های امنیت سایبری مانند فایرآی، مایکروسافت، کرَود استرایک، وُلِکسیتی و Secureworks به طور مداوم فعالیت APT۲۹ را زیر نظر دارند و بر این باورند که این گروه از تاکتیک‌ها و روش‌های متفاوتی نسبت به آن چه که تصور می‌شد بهره‌مند است.

بدافزار WellMess که  نخستین‌بار توسط JPCERT ژاپن شناسایی شد، پیش از این در کمپین‌های جاسوسی صورت گرفته به نهادهای مرتبط با کووید-۱۹ کانادا، آمریکا و بریتانیا، مورد استفاده گروه نام برده قرار داشته است.

مرکز ملی امنیت سایبری بریتانیا معتقد است که APT۲۹ با استفاده از ابزارها و فرایندهای متنوعی نهادهای دولتی، دیپلماتیک، مراقبت بهداشتی و اندیشکده‌ها را با هدف جمع‌آوری اطلاعات، مورد هدف قرار می‌دهد.

RiskIQ پس از پرده‌برداری عمومی از سرور جدید کنترل و فرمان WellMess، بیش از ۳۰ سرور کنترل و فرمان فعال را شناسایی کرد. تصور می‌شود یکی از این سرورها از ۹ اکتبر ۲۰۲۰ تا به الان فعال بوده است.

این نخستین‌بار نیست که RiskIQ سرورهای کنترل و فرمان دخیل در رویداد سولارویندز را شناسایی می‌کند. این شرکت تابع مایکروسافت، پیش از این ۱۸ سرور دخیل در حمله به سولارویندز را شناسایی کرده بود.

این شرکت مدعی است که تا کنون نتوانسته‌ایم هیچ‌گونه ارتباطی را میان این زیرساخت جدید و رویداد سولارویندز شناسایی کنیم.
مرجع : سایبربان