به گزارش شهرآرانیوز، این گروه هکری معمولاً سازمانهای دولتی را به قصد جمعآوری اطلاعات هدف قرار میدهد و ورود آن از طریق سوءاستفاده از آسیبپذیریهای سامانههای لبه شبکه (اینترنت) و همچنین از طریق خرید دسترسی اولیه و اکانت معتبر بوده است.
با اینکه روش حمله این گروه اشتراکاتی با حملات APT۴۱ و همچنین گروه Oneclik دارد ولی در نوع خود منحصربهفرد بوده است و در گزارشهای بررسیشده با هیچکدام از گروههای شناختهشده مطابقت ندارد.
این گروه از تکنیک پیشرفته AppDomainManager Hijacking (T۱۵۷۴.۰۱۴) برای اجرای کد مخرب در بستر یک پروسه معتبر ویندوزی استفاده کرده است.
زنجیره حمله با اجرای فرآیند dfsvc.exe آغاز میشود و در انتها با استفاده از ابزار Cobalt اقدام به پایداری دسترسی و اجرای کد مخرب و همچنین استخراج اطلاعات از سازمانها میکند.
این گروه هکری معمولاً سازمانهای دولتی را به قصد جمعآوری اطلاعات هدف قرار میدهد و ورود آن از طریق سوءاستفاده از آسیبپذیریهای سامانههای لبه شبکه (اینترنت) و همچنین از طریق خرید دسترسی اولیه و اکانت معتبر بوده است.
این گروه با استفاده از ابزارهایی مانند dfsvc.exe که دارای امضای دیجیتال معتبر مایکروسافت است و همچنین استفاده از دیالالهای رمز شده تو در تو برای پایداری دسترسی و اجرای شل کد بر روی memory خود را از دید آنتیویروسها مخفی نگه میدارد.
تکنیک AppDomainManager Hijacking با استفاده از dfsvc.exe را در گذشته گروههای APT۴۱ و گروه Oneclik استفاده کرده بودند ولی در روش پیاده سازی این تکنیک تفاوتهایی وجود دارد و به این دلیل نمیتوان این حملات را به این گروهها نسبت داد.
مرکز مدیریت راهبردی افتای ریاست جمهوری بر اساس نتایج حاصل از مهندسی معکوس لایههای بدافزار، استخراج پیکربندی از حافظه و تحلیل ترافیک شبکه، مجموعهای از شاخصهای آلودگی را با دقت بالا (High-Fidelity) استخراج کرده است.
این شاخصها به چهار دسته فایل سیستم، شبکه، میزبان و الگوهای شکار تقسیم میشوند، توصیه مرکز افتا این است که این شاخصها بلافاصله در سامانههای SIEM، EDR و فایروالها اعمال شوند.
برای آشنایی و بهرهبرداری متخصصان، کارشناسان و مدیران فناوری اطلاعات و امنیت سامانههای دستگاههای دارای زیرساخت حیاتی، مشروح گزارش فنی مرکز مدیریت راهبردی افتای ریاست جمهوری در باره شناسایی یک APT در زیرساختهای کشور در فایل پیوست تقدیم شده است.
منبع: زومیت