شناسایی APT در زیرساخت‌های صنعتی
کد مطلب: 19491
تاریخ انتشار : دوشنبه ۲۱ شهريور ۱۴۰۱ ساعت ۱۱:۰۰
 
شرکت کسپرسکی در گزارش اخیر خود با افشای حملات هدفمند سایبری در حوزه زیرساخت‌های صنعتی، یادآور شده است که این حملات از ژانویه ۲۰۲۲ در جهان شناسایی‌شده و تاکنون ده‌ها شرکت هدف مهاجمان قرار گرفته است.
شناسایی APT در زیرساخت‌های صنعتی
 
 
Share/Save/Bookmark
شرکت کسپرسکی در گزارش اخیر خود با افشای حملات هدفمند سایبری در حوزه زیرساخت‌های صنعتی، یادآور شده است که این حملات از ژانویه ۲۰۲۲ در جهان شناسایی‌شده و تاکنون ده‌ها شرکت هدف مهاجمان قرار گرفته است.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، روش اصلی نفوذ این حملات، ایمیل‌های فیشینگ هدفمند بیان‌شده است. در برخی از موارد، این ایمیل‌ها که با دقت و حساسیت بالایی ایجاد شده‌اند، حاوی اطلاعات و داده‌هایی هستند که مختص همان سازمان و حوزه کاری است و این اطلاعات در دسترس عموم نیست؛ که این امر، بیانگر این مسئله است مهاجمان، مراحل قبل از حمله و به دست آوردن اطلاعات را به‌خوبی انجام داده‌اند.

ممکن است این اطلاعات در حملات قبلی به همان سازمان یا کارکنان آن یا سایر سازمان‌ها یا افراد مرتبط با سازمان قربانی به‌دست‌آمده باشد. در این ایمیل‌ها، فایل مایکروسافت مخربی وجود دارد که کد مخرب موجود در آن، با سوءاستفاده از آسیب‌پذیری CVE-۲۰۱۷-۱۱۸۸۲ مهاجم را قادر می‌سازد تا کد دلخواه خود را بدون هیچ‌گونه فعالیت اضافی کاربر اجرا کند.

در حملات سری اول از بدافزار PortDoor استفاده‌شده است و در سری جدید حملات، مهاجمان از شش در پشتی متفاوت به‌طور همزمان استفاده کرده‌اند (حفظ افزونگی و ارتباط پایدار در صورت شناسایی یکی از آن‌ها توسط آنتی‌ویروس‌ها). این بدافزارها عملیات مرتبط با کنترل سیستم‌های آلوده و جمع‌آوری داده‌های محرمانه و ارسال آن به سرورهای C&C را انجام می‌دهند.

مهاجم پس از آلوده‌سازی سیستم اولیه، فرآیند آلوده‌سازی سایر سیستم‌ها را دنبال می‌کند. برای این هدف، مهاجم از اطلاعات مرتبط با اسکن شبکه (که در مرحله قبل استخراج‌شده است)، جستجو و اکسپلویت آسیب‌پذیری‌ها، حملات پسورد استفاده می‌کند. در مرحله نهایی، مهاجم کنترل DC و کل ایستگاه‌های کاری و سرورها را به دست می‌آورد. در طول این عملیات، مهاجم از تکنیک‌های گوناگونی برای جلوگیری شناسایی ابزارهای خود توسط آنتی‌ویروس‌ها استفاده می‌کند.


یکی از مهم‌ترین کارهایی که مهاجمان در سیستم‌های آلوده انجام می‌دهند، سرقت مستندات و فایل‌های مهم سازمانی است. برای این منظور، فایل‌های مهم به‌صورت فشرده و دارای پسورد ذخیره و برای سرورهای میانی (سرورهای مرحله یک) خود ارسال می‌کنند. سرورهای میانی، این فایل‌ها را برای یک سرور دیگر (سرور مرحله دوم) ارسال می‌کنند.

بر اساس گزارش کسپرسکی، تاکنون ده‌ها قربانی برای این حمله شناسایی‌شده است که نوع قربانیان هدفمند بودن این حملات را نشان می‌دهد. صنایع دفاعی از جمله اهداف اصلی این حملات محسوب می‌شوند. این حمله کارخانه‌های صنعتی، مؤسسات تحقیقاتی، سازمان‌های دولتی، وزارتخانه‌ها و ادارات را در چندین کشور بلاروس، روسیه و اوکراین و همچنین افغانستان هدف قرار داده است.


شواهد شبکه‌ای و سیستمی برای شناسایی فعالیت این بدافزار به شرح زیر است، با توجه به اینکه این بدافزار از اوایل سال میلادی فعالیت داشته، برای شناسایی آن باید در داده‌های آرشیو (ترافیکی و رویدادها) جستجو انجام شود.
File MD۵:
۰A۲E۷C۰۱B۸۴۷D۳B۱C۶EEBE۶AF۶۳DC۱۴۰
۰A۹۴۵۵۸۷E۰E۱۱A۸۹D۷۲B۴C۰B۴۵A۴F۷۷E
۱۰۸۱۸F۴۷AA۴DC۲B۳۹A۷B۵EEF۶۵۲F۳C۶۸
۱۱۵۷۱۳۲۵۰۴BE۳BF۵۵۶A۸۰DB۸A۲FF۹۳۹۵
۱۱۹۵۵۳۵۶۲۳۲DCF۶۸۳۴۵۱۵BF۱۱۱BB۵۱۳۸
۱۱BA۵۶۶۵EC۱DBA۶۶۰۴۰۱AFDE۶۴C۲B۱۲۵
۱۷FA۷۸۹۸D۰۴۰FA۶۴۷AFA۴۴۶۷۹۲۱A۶۶CF
۱۸۰EE۳E۴۶۹BFCFC۰۷۹E۱A۴۶D۱۶۴۴۰۴۶۷
۱EA۵۸FF۴۶۹F۵EE۰FDCF۵B۳۰FC۱۹E۴CB۸
۲۱۶D۹F۸۲BA۲B۹۲۸۹E۶۸F۹۷۷۸E۱E۴۰AC۹
۲۹B۶۲۶۹۴DC۹F۷۲۰BD۰۹۴۳۸F۳۷B۷B۳۵۸A
۳۹۵۳EB۸F۷۸۲۵E۷۵۶۵۱۵BE۷۹EF۴۵۶۵۵B۰
۳A۱۳B۹۹B۲۵۶۷۱۹۰AB۸۷E۸AB۷۴۵۷۶۱۰۱۷
۴۰EB۰۸F۱۵۱۸۵۹C۱FE۴DC۸E۶BC۴۶۶B۰۶F
۴۱۳FA۴AD۳AFE۰۰B۳۴۱۰۲C۵۲۰A۹۱F۰۳۱C
۴۸۶۶۶۲۲D۲۴۹F۳EA۱۱۴۴۹۵A۴A۲۴۹F۳۰۶۴
۴AD۱AD۱۴۰۴۴BD۲C۵A۵C۵E۷E۷DD۹۵۴B۲۳
۴D۴۲C۳۱۴FF۴۳۴۱F۲D۱۳۱۵D۷۸۱۰BD۴E۱۵
۵۱۳۶۷DC۴۰۹A۷A۷E۵۵۲۱C۲F۷۰۰C۵۶A۴۵۲
۵۱BEFD۷۴AC۳B۸۹۴۳DA۵۸C۸۴۱۰۱۷A۵۷A۸
۵۶AF۳۲۷۹۲۵۳E۴A۶۰BD۰۸۰DD۶A۵CA۷BA۸
۵EA۳۳۸D۷۱D۲A۴۹E۷B۳۲۵۹BC۵۲F۴۲۴۳۰۳
۵EB۴۲E۱BA۹۹FACE۰۲CE۵۰EA۱AAF۷۲AB۵
۶۰۳۸۵۸۳B۱۵۵F۷۳FAF۱B۵EF۸۱۳۵۱۵۴۲۷۸
۶۴EF۹۵۰D۱F۳۱A۴۱FE۶۰C۰FD۱۰CA۴۶۱۰۹
۶۶۵۲۹۲۳CE۸۰A۰۷۳FD۹۸۵E۲۰B۸۵۸۰E۷۰۳
۶BDF۱C۲۹۴B۶A۳۴A۵۷۶۹E۸۷۲D۴۹AFD۹E۷
۶DFC۳BDD۲B۷۰۶۷۰BF۲۹۵۰۶E۵۸۲۸F۶۲۷E
۷۰DA۶۸۷۲B۶B۲DA۹DDC۹۴D۱۴B۰۲۳۰۲۹۱۷
۷۱۰۱FE۹E۸۲E۹B۰E۷۲۷B۶۴۶۰۸C۹FD۵DF۱
۷C۳۸۳C۹CA۲۹F۷۸FCC۸۱۵EAEA۹۳۷۳B۴BB
۷FE۴۰۳۲۵F۰CEF۸A۳۲E۶۹A۶۰۸۷EBC۷۱۵۷
۸۴DF۳۳۵EBC۱۰۶۳۳DA۱۵۲۴C۷DBB۸۳۶۹۹۴
۸۷AA۰BEDF۲۹۳E۹B۱۶A۹۳E۴۴۱۱۳۵۳F۳۶۷
۹۴AF۱B۴۰۰FDBDEBD۸EDA۳۳۷۴۷۴C۰۷۴۷۹
AA۷۲۳۱۹۰۴A۱۲۵۲۷۳F۵E۵EE۵۵A۱۴۴۱BA۴
AB۲۶F۴C۸۷۷A۷۳۵۷CABF۹۵FB۵۰۳۳A۵BEF
AB۵۵A۰۸ED۷۷۷۳۶CE۶D۲۶۸۷۴۱۸۷۱۶۹BC۹
AE۱۱F۷۲۱۸E۹۱۹DF۵B۸A۹A۲C۰DC۲۴۷F۵۶
B۲C۹F۵CAE۷۲AF۵A۵۰۹۴۰D۵۵BB۵B۹۲E۹۸
C۶D۶CFFD۵۶۶۳۸A۶۸A۰DE۱۱۰۳۵B۹C۹۰۹۷
CBECDFA۱D۰۷۰۸D۶۰۵۰۰۸۶۴A۲A۹DE۴۹۹۲
CCC۹۴۸۲A۷BEE۷۷۷BBB۰۸۱۷۲DCCDAB۸AA
D۳۹۴F۰۰۵۴۱۶A۲۰۵۰۵C۵۹۷ECF۷۸۸۲۴۵۰F
D۴۴A۲۷۶۵۲۹۳۴۳F۷AC۲۹۱AD۷AD۰B۹۹۳۷۸
D۶۶۹B۰۳۸۰۷۱۰۲B۴AF۸۷B۲۰EC۳۷۳۱۹۰۹A
DA۷۶۵E۴E۶B۰D۲۵۴۴FE۳F۷۱E۳۸۴۸۱۲C۴۰
E۰۰۵F۵DA۳BA۵D۶۷۲۶DA۴E۶۶۷۱۶۰۵B۸۱۴
E۲A۳CD۲B۳C۲E۴۳CA۰۸D۲B۹EE۷۸D۴۹۱۹B
E۸۸۰۰D۵۹C۴۱۱A۹۴۸EE۹۶۶FF۷۴۵FBD۵C۹
E۸A۱۶۱۹۳BCD۴۷۷D۸۲۳۱E۶FC۱A۴۸۴DC۸A
EBCFFECE۱B۱AF۵۱۷۷۴۳D۳DFFDE۷۲CB۴۳
F۰۱A۹A۲D۱E۳۱۳۳۲ED۳۶C۱A۴D۲۸۳۹F۴۱۲
FB۲B۴C۹CA۶A۷۸۷۱A۹۸C۶E۲۴۰۵E۲۷A۲۱F
FF۶D۸۵۷۸BE۶۵A۳۱F۳۶۲۴B۶۲E۰۷BEF۷۹۵
۶۸۶۰۱۸۹B۷۹FF۳۵۱۹۹F۹۹۱۷۱۵۴۸F۵CD۶۵
۹EC۵۶A۱۸۳۳۳D۴D۴E۴D۳C۳۶۱D۴۸۷C۰۵BD
E۵B۶۵۷۱E۱۵۱۲D۳۸۹۶F۸C۲۳۶۷DDC۵A۰۲D
۷CB۰D۸CFFE۴۸DF۷B۵۳۱B۶BEDE۸۱۳۷۱۹۹
۸۶BB۸FA۰D۰۰FD۹۴F۱۵AE۱BD۰۰۱۰۳۷C۶C
۹F۵BBA۱ACEF۳CCBBDC۷۸۹F۸۸۱۳B۹۹۰۶۷
۴EA۲B۹۴۳A۱D۹۵۳۹E۴۲C۵BDBA۳D۳CA۷A۰
۵۹۳۴B۷E۲۴D۰۳E۹۲B۳DBACBE۴۹F۶E۶۷۷C
C۸F۱۳C۹۸۹۰CEB۶۹۵۵۳۸FDC۴۴AD۸۱۷۲۷۸
BABDF۶FA۷۳E۴۸۳۴۵F۰۰۴۶۲C۳EF۵۵۶B۸۶
CBB۷E۰B۸DDE۲۲۴۱۴۸۰B۷۱B۹C۶۴۸C۱۵۰۱


File path:
C:۱mcinsupd.cfg
C:۱mcinsupd.exe
C:۱mytilus۳.dll
C:۱Cace.exe
C:۲LiveUpdate.exe
C:۲safestore۶۴.dll
C:۳mcinsupd.cfg
C:۳mcinsupd.exe
C:۳mytilus۳.dll
C:۴LiveUpdate.exe
C:۴safestore۶۴.dll
C:MicrosoftMFInstsrv.exe
C:MicrosoftMFwus.dll
C:ProgramData۱Cace.exe
C:ProgramData۲GIS!researchRemediation.exewinhelp.tmp
C:ProgramData۲GISconhost.exe
C:ProgramData۲GISconhost.exe.cab
C:ProgramData۲GISps.cab
C:ProgramData۲GISRemediation.exe
C:ProgramData۲GISRemediation.exe.cab
C:ProgramData۲GIS esearchconhost.exe
C:ProgramData۲GIS esearchPs.exe
C:ProgramData۲GIS esearchRemediation.exe
C:ProgramDataAADConnect۱.bat
C:ProgramDataAADConnectdtkexec.cfg
C:ProgramDataAADConnectPtWatchDog.exe
C:ProgramDataAADConnectTmDbgLog.dll
C:ProgramDataAdobeARMmcsync.exe
C:ProgramDataAdobeARMmcsync.log
C:ProgramDataAdobeARMMcUtil.dll
C:ProgramDataAppleasOELnch.exe
C:ProgramDataAppleccLib.dll
C:ProgramDataAppleNordLnch.cfg
C:ProgramDataASUSALLmcsync.exe
C:ProgramDataASUSALLmcsync.log
C:ProgramDataASUSALLMcUtil.dll
C:ProgramDataIntelhccutils.dll
C:ProgramDataIntelhkcmd.exe
C:ProgramDataIntelhkSetting.cfg
C:ProgramDataMicrosoftAppVhccutils.dll
C:ProgramDataMicrosoftAppVhkcmd.exe
C:ProgramDataMicrosoftAppVhkSetting.cfg
C:ProgramDataMicrosoftCryptoRSAasOELnch.exe
C:ProgramDataMicrosoftCryptoRSAccLib.dll
C:ProgramDataMicrosoftCryptoRSAmcsync.exe
C:ProgramDataMicrosoftCryptoRSAmcsync.log
C:ProgramDataMicrosoftCryptoRSAMcUtil.dll
C:ProgramDataMicrosoftCryptoRSANordLnch.cfg
C:ProgramDataMicrosoftDRMLiveUpdate.exe
C:ProgramDataMicrosoftDRMmcinsupd.cfg
C:ProgramDataMicrosoftDRMmcinsupd.exe
C:ProgramDataMicrosoftDRMmytilus۳.dll
C:ProgramDataMicrosoftDRMsafestore۶۴.dll
C:ProgramDataMicrosoftMFActive.GRL
C:ProgramDataMicrosoftMFInstsrv.exe
C:ProgramDataMicrosoftMFPending.GRL
C:ProgramDataMicrosoftMFwus.dll
C:ProgramDataMicrosoftuconhost.exe
C:ProgramDataOracleace.exe
C:ProgramDatash.exe
C:UsersDefaultAppDataRoamingwinsetLiveUpdate.exe
C:UsersDefaultAppDataRoamingwinsetsafestore۶۴.dll
C:WindowsSystem۳۲TasksGUP
C:WindowsSystem۳۲Taskshkcmd
C:WindowsSystem۳۲wam.dll
C:WindowsSystem۳۲wus.dll
C:WindowsSysWOW۶۴wus.dll
C:WindowsTempconhost.dll
C:WindowsTempconhost.exe
C:WindowsTempmcoemcpy.exe
C:WindowsTempMcoemcpyRun.log
C:WindowsTempMcUtil.dll
C:WindowsTempMcUtil.dll.cab
C:WindowsTemp et.log
C:WindowsTempsmcw.dll
C:WindowsWeb۱.bat
C:WindowsWeb۱hccutils.dll
C:WindowsWeb۱hkcmd.exe
C:WindowsWeb۱hkSetting.cfg
C:WindowsWebace.exe
C:WindowsWebLadon.exe
C:WindowsWebwmic.vbs
C:ProgramDataMicrosoftNetworkDownloaderClient.cfg
C:ProgramDataMicrosoftNetworkDownloaderUpdate.exe
C:ProgramDatamc.cab
C:ProgramDatamy_capture.exe
%AppData%RoamingMicrosoftWindowsStart MenuProgramsStartupMpClient.dll
%AppData%RoamingMicrosoftWindowsStart MenuProgramsStartupMsMpEng.exe
%AppData%RoamingMicrosoftWindowsStart MenuProgramsStartupMSCAL.OCX
%AppData%RoamingMicrosoftMsMpEng.exe
C:ProgramData empwcrypt۳۲.dll
C:ProgramData empwmic.dll
C:ProgramDataABBYYFineReaderClient.cfg
C:ProgramDataABBYYFineReaderdebug.log
C:ProgramDataABBYYFineReaderOEMPRINT.CAT
C:ProgramDataABBYYFineReaderUpdate.exe
C:ProgramDataABBYYFineReaderWINWORD.EXE_
C:WindowsTempClient.cfg
C:ProgramDataAdobeSetupmcinsupd.exe
C:ProgramDataAdobeSetupmcinsupd.cfg
Security solution verdicts:
Backdoor.Win۳۲.Agent.myuhpj
Backdoor.Win۳۲.Agentb.ca
Backdoor.Win۳۲.Agentb.cc
Backdoor.Win۳۲.CotSam.a
Backdoor.Win۶۴.Agent.iwv
Backdoor.Win۶۴.Agent.iwy
Backdoor.Win۶۴.Agent.iwz
Backdoor.Win۶۴.Agent.ixl
Backdoor.Win۶۴.Agent.ixm
HackTool.Win۶۴.Agent.hk
HEUR:Trojan.Win۳۲.APosT.gen
not-a-virus:NetTool.Win۳۲.NbtScan.a
Trojan.Win۳۲.Agentb.kpkq
Trojan.Win۳۲.APosT.mim
Trojan.Win۳۲.APosT.min
Trojan.Win۳۲.APosT.mxw
Trojan.Win۶۴.Agent.qwhymc
Trojan.Win۶۴.Agent.qwhypj
Trojan.Win۶۴.Agentb.bdq
Trojan.Win۶۴.Agentb.bse
Trojan.Win۶۴.Agentb.bsf
Trojan.Win۶۴.Dllhijacker.km
Trojan.Win۶۴.Dllhijacker.ks
Trojan.Win۶۴.DllHijacker.qq
HEUR:Backdoor.Win۳۲.CotSam.gen
Backdoor.Win۶۴.CotSam.a
Domain names and IP addresses:
www۱.nppnavigator[.]net
www۳.vpkimplus[.]com
۴۵.۱۵۱.۱۸۰[.]۱۷۸
custom.songuulcomiss[.]com
tech.songuulcomiss[.]com
video.nicblainfo[.]net
۱۶۰.۲۰۲.۱۶۲[.]۱۲۲
doc.redstrpela[.]net
fax.internnetionfax[.]com
www۲.defensysminck[.]net
info.ntcprotek[.]com
www۱.dotomater[.]club
۱۹۲.۲۴۸.۱۸۲[.]۱۲۱
www۲.sdelanasnou[.]com
۵۴.۳۶.۱۸۹[.]۱۰۵
۵.۱۸۰.۱۷۴[.]۱۰
۴۵.۶۳.۲۷[.]۱۶۲
server.dotomater[.]club
مرجع : مرکز مدیریت راهبردی افتا