گروه نفوذ APT33 از بات‌نت‌های خاص منظوره برای اجرای حملات استفاده می‌کند

محققان امنیتی از شرکت ترندمیکرو مدعی شده‌اند گروه نفوذ APT33 در حملات خود از یک بات‌نت مبهم‌سازی شده بهره‌برداری کرده و نهادها در آمریکا، خارومیانه و آسیا را هدف قرار می‌دهد. گفتنی است این شرکت‌های امنیتی این گروه نفوذ را به کشور ایران نسبت می‌دهند. این گروه نفوذ از سال ۲۰۱۳ میلادی فعال است و در طول فعالیت‌های خود بخش‌های مختلفی از جمله دولتی، پژوهشی، انرژی، نفت، مالی، شرکت‌های فناوری و تولید و شیمیایی را در آمریکا، اروپا، خاورمیانه و آسیا را هدف حملات خود قرار داده است.

ترندمیکرو اعلام کرده فعالیت‌های این گروه برای ردیابی بسیار دشوار است چرا که از روش‌های مبهم‌سازی بهره می‌برند. گروه نفوذ APT33 در بخشی از حملات خود از بات‌نت‌های کوچک استفاده کرده که هریک تقریبا ده‌ها بات را تولید کرده‌اند. ترندمیکرو اعلام کرده این بات‌ها برای بدافزارهایی که بر روی سیستم‌های آلوده نصب شده، قابلیت ماندگاری را فراهم آورده و در ادامه می‌توانند ابزارهای بیشتری را بر روی سیستم‌ها نصب کنند.

مهاجمان از دامنه‌های دستور و کنترل و پروکسی‌های مبتنی بر ابر بسیاری استفاده کرده‌اند تا درخواست‌ها از بات‌ها را به سرورهای دستور و کنترل هدایت کنند. این سرورهای دستور و کنترل بر روی سرورهای وب اشتراکی میزبانی می‌شده که می‌توانسته میزبان هزاران دامنه‌ی قانونی باشد. در ادامه این سرورها می‌توانستند داده‌ها را به سرورهای کنترل اصلی که آدرس‌های IP مشخصی دارند ارسال کنند. مهاجمان برای دریافت اطلاعات از سرورهای میانی و ارسال دستورات به بات‌ها از یک شبکه‌ی خصوصی VPN استفاده می‌کنند. محققان اعلام کرده‌اند هرچند که استفاده از VPN می‌تواند برای مهاجمان مزایایی را به دنبال داشته باشد ولی ترندمیکرو از این طریق توانسته است راحت‌تر ترافیک این گروه نفوذ را ردیابی کند.

Related posts

Leave a Comment

17 − 5 =