آخرین اخبار
صفحه اصلی
اخبار

تهدید خاموش؛ جاسوسی سایبری چین از راه آسیب‌پذیری‌های روز

تاریخ:
در: اخبار, امنیت سایبری
دیدگاهتان را بنویسید:
155 نمایش ها

کمیته رکن چهارم – گزارش جدید Cisco Talos نشان می‌دهد که گروه تهدید سایبری وابسته به چین با نام UAT‑۷۲۹۰ از سال ۲۰۲۲ مشغول اجرای کمپین‌های جاسوسی پیچیده علیه نهادهای مخابراتی و زیرساختی در جنوب آسیا و جنوب‌شرقی اروپا بوده است.

به گزارش کمیته رکن چهارم، شرکت Cisco Talos در تازه‌ترین تحلیل تهدیدات سایبری، فعالیت مستمر و هدفمند یک گروه وابسته به چین به نام UAT‑۷۲۹۰ را از سال ۲۰۲۲ مورد بررسی قرار داده است. این گروه که تاکنون عمدتاً با اهداف جاسوسی سایبری در جنوب آسیا شناخته می‌شد، دامنه حملات خود را به کشورهای جنوب‌شرقی اروپا نیز گسترش داده است.

براساس گزارش، تمرکز اصلی UAT‑۷۲۹۰ جمع‌آوری اطلاعات فنی گسترده از اهداف پیش از حمله بوده و از ترکیبی از روش‌های ساده تا پیچیده برای نفوذ استفاده می‌کند. برخلاف برخی گروه‌های پیشرفته، این گروه به جای توسعه اکسپلویت‌های پیچیده، به‌طور گسترده از کدهای اثبات مفهوم (PoC) عمومی برای بهره‌برداری از آسیب‌پذیری‌های روز در تجهیزات مرزی و سرورها استفاده می‌کند.

🎯 اهداف و روش‌های حمله

هدف‌گیری این گروه عمدتاً شامل شرکت‌های مخابراتی در جنوب آسیا است، اما فعالیت در اروپا نیز مشاهده شده است. حملات معمولاً با بهره‌برداری از ضعف‌های یک‌روزه (one‑day)، حملات Brute‑Force روی SSH و ابزارهای بدافزاری آغاز می‌شود.

🧰 بدافزارها و ابزارهای کلیدی مورد استفاده

مطابق تحلیل Talos، UAT‑۷۲۹۰ از چند مولفه بدافزاری و ابزار برای نفوذ و تثبیت موقعیت در سیستم‌های آلوده بهره می‌برد:

RushDrop (یا ChronosRAT): نقش dropper را دارد و زنجیره آلودگی را آغاز می‌کند.

DriveSwitch: ابزاری برای راه‌اندازی بدافزار SilentRaid روی سیستم‌های آلوده.

SilentRaid (یا MystRodX): بدافزار اصلی با هسته C++ که امکان دسترسی مداوم فراهم می‌کند و مجهز به قابلیت‌های plugin‑like است مانند:

ارتباط با سرور کنترل

اجرای دستورات شل از راه دور

پورت فورواردینگ

عملیات روی فایل‌ها

Bulbature: درب‌پشتی که گراف عملیاتی را روی دستگاه‌های لبه‌ای آلوده به‌عنوان گره‌های ارتباطی (Operational Relay Boxes – ORBs) توسعه می‌دهد.

گزارش‌ها حاکی است که MystRodX نسخه توسعه‌یافته ChronosRAT است و توانایی‌هایی مانند اجرای shellcode، keylogger، مدیریت فایل، گرفتن اسکرین‌شات، پروکسی و پورت فورواردینگ دارد.

🤝 همکاری با سایر گروه‌ها

تحلیل Cisco Talos نشان می‌دهد که زیرساخت‌های ORB این گروه ممکن است توسط سایر گروه‌های تهدید سایبری چینی نیز مورد استفاده قرار گرفته باشد، از جمله:

Stone Panda

RedFoxtrot (یا Nomad Panda)

این هم‌پوشانی‌ها می‌تواند موجب تقویت عملیات و تبادل ابزارها میان گروه‌های مختلف شود.

⚠️ توصیه‌های امنیتی

کارشناسان امنیت سایبری تاکید دارند که به‌ویژه سازمان‌های مخابراتی و زیرساختی که در معرض این تهدید هستند باید به موارد زیر توجه کنند:

به‌روزرسانی منظم سیستم‌ها و تجهیزات لبه‌ای برای جلوگیری از بهره‌برداری از آسیب‌پذیری‌های روز

پایش دقیق لاگ‌های SSH برای شناسایی تلاش‌های Brute‑Force یا فعالیت‌های مشکوک

تقویت قابلیت‌های تشخیص تهدید مبتنی بر رفتار (EDR/XDR) برای کشف حملات پیچیده و دیرهنگام

برچسب ها:

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


Type The Red Captcha Characters Below.