محققان امنیتی از شرکت ترندمیکرو مدعی شدهاند گروه نفوذ APT33 در حملات خود از یک باتنت مبهمسازی شده بهرهبرداری کرده و نهادها در آمریکا، خارومیانه و آسیا را هدف قرار میدهد. گفتنی است این شرکتهای امنیتی این گروه نفوذ را به کشور ایران نسبت میدهند. این گروه نفوذ از سال ۲۰۱۳ میلادی فعال است و در طول فعالیتهای خود بخشهای مختلفی از جمله دولتی، پژوهشی، انرژی، نفت، مالی، شرکتهای فناوری و تولید و شیمیایی را در آمریکا، اروپا، خاورمیانه و آسیا را هدف حملات خود قرار داده است.
ترندمیکرو اعلام کرده فعالیتهای این گروه برای ردیابی بسیار دشوار است چرا که از روشهای مبهمسازی بهره میبرند. گروه نفوذ APT33 در بخشی از حملات خود از باتنتهای کوچک استفاده کرده که هریک تقریبا دهها بات را تولید کردهاند. ترندمیکرو اعلام کرده این باتها برای بدافزارهایی که بر روی سیستمهای آلوده نصب شده، قابلیت ماندگاری را فراهم آورده و در ادامه میتوانند ابزارهای بیشتری را بر روی سیستمها نصب کنند.
مهاجمان از دامنههای دستور و کنترل و پروکسیهای مبتنی بر ابر بسیاری استفاده کردهاند تا درخواستها از باتها را به سرورهای دستور و کنترل هدایت کنند. این سرورهای دستور و کنترل بر روی سرورهای وب اشتراکی میزبانی میشده که میتوانسته میزبان هزاران دامنهی قانونی باشد. در ادامه این سرورها میتوانستند دادهها را به سرورهای کنترل اصلی که آدرسهای IP مشخصی دارند ارسال کنند. مهاجمان برای دریافت اطلاعات از سرورهای میانی و ارسال دستورات به باتها از یک شبکهی خصوصی VPN استفاده میکنند. محققان اعلام کردهاند هرچند که استفاده از VPN میتواند برای مهاجمان مزایایی را به دنبال داشته باشد ولی ترندمیکرو از این طریق توانسته است راحتتر ترافیک این گروه نفوذ را ردیابی کند.
