محققان امنیت سایبری زیرساخت کنترل و فرمان جدیدی را شناسایی کردهاند که ظاهرا متعلق به گروه هکری APT۲۹ یا Cozy Bear روسیه است.
منبع : سایبربان
محققان شرکت RiskIQ چندین سرور کنترل و فرمان متعلق به گروه هکری APT۲۹ و بدافزار WellMess را شناسایی کردهاند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، محققان امنیت سایبری زیرساخت کنترل و فرمان جدیدی را شناسایی کردهاند که ظاهرا متعلق به گروه هکری APT۲۹ یا Cozy Bear روسیه است.
محققان مدعی هستند این زیرساخت با استفاده از بدافزار WellMess، کمپین سایبری فعالی را به پیش میبرد.
شرکت RiskIQ در گزارشی ادعا کرد که تا کنون بیش از ۳۰ سرور کنترل و فرمان مورد استفاده سرویس اطلاعات خارجی روسیه شناسایی شده است.
گروه APT۲۹ سال گذشته به حمله به شرکت بزرگ سولارویندز متهم شد. شرکتهای امنیت سایبری مانند فایرآی، مایکروسافت، کرَود استرایک، وُلِکسیتی و Secureworks به طور مداوم فعالیت APT۲۹ را زیر نظر دارند و بر این باورند که این گروه از تاکتیکها و روشهای متفاوتی نسبت به آن چه که تصور میشد بهرهمند است.
بدافزار WellMess که نخستینبار توسط JPCERT ژاپن شناسایی شد، پیش از این در کمپینهای جاسوسی صورت گرفته به نهادهای مرتبط با کووید-۱۹ کانادا، آمریکا و بریتانیا، مورد استفاده گروه نام برده قرار داشته است.
مرکز ملی امنیت سایبری بریتانیا معتقد است که APT۲۹ با استفاده از ابزارها و فرایندهای متنوعی نهادهای دولتی، دیپلماتیک، مراقبت بهداشتی و اندیشکدهها را با هدف جمعآوری اطلاعات، مورد هدف قرار میدهد.
RiskIQ پس از پردهبرداری عمومی از سرور جدید کنترل و فرمان WellMess، بیش از ۳۰ سرور کنترل و فرمان فعال را شناسایی کرد. تصور میشود یکی از این سرورها از ۹ اکتبر ۲۰۲۰ تا به الان فعال بوده است.
این نخستینبار نیست که RiskIQ سرورهای کنترل و فرمان دخیل در رویداد سولارویندز را شناسایی میکند. این شرکت تابع مایکروسافت، پیش از این ۱۸ سرور دخیل در حمله به سولارویندز را شناسایی کرده بود.
این شرکت مدعی است که تا کنون نتوانستهایم هیچگونه ارتباطی را میان این زیرساخت جدید و رویداد سولارویندز شناسایی کنیم.