تیم امداد سایبری مرکز مدیریت راهبردی افتا، در یک عملیات پیچیده «شکار تهدید»، موفق به شناسایی بدافزاری پیشرفته متعلق به یک گروه هکری سازمانیافته (APT) ناشناخته شد. این گروه مرموز که شباهتهای تکنیکی به گروههای بدنام APT41 و Oneclik دارد، با هدف جاسوسی و استخراج اطلاعات، سازمانهای دولتی را از طریق سوءاستفاده از آسیبپذیریهای لبه شبکه و خرید دسترسیهای معتبر هدف قرار داده است. طبق گزارش رسمی، این مهاجمان با بهرهگیری از امضاهای دیجیتال معتبر مایکروسافت و تکنیکهای رمزگذاری تودرتو در حافظه (Memory)، توانستهاند از سد آنتیویروسهای رایج عبور کنند، اما لایههای مخفی فعالیت آنها توسط متخصصان افتا مهندسی معکوس و افشا شد.
بهرهگیری از تکنیک پیشرفته تزریق کد در پروسههای معتبر ویندوز
این گروه هکری با استفاده از تکنیک AppDomainManager Hijacking، کدهای مخرب خود را در بستر پروسه معتبر dfsvc.exe اجرا کرده است. برخلاف حملات سنتی، این متدولوژی با استفاده از فایلهای دارای امضای دیجیتال مایکروسافت، فرآیند شناسایی توسط ابزارهای امنیتی را به شدت دشوار میکند. زنجیره حمله با اجرای این فایل آغاز شده و در نهایت با استفاده از ابزار Cobalt، دسترسی پایدار مهاجم بر روی سیستم قربانی تثبیت میشود تا عملیات استخراج دادهها با موفقیت به سرانجام برسد.
تفاوتهای ساختاری با گروههای شناختهشده سایبری جهان
اگرچه روشهای اجرایی این بدافزار اشتراکاتی با گروههای APT41 دارد، اما بررسیهای فنی نشان میدهد که نحوه پیادهسازی و لایههای رمزنگاری تودرتوی آن منحصربهفرد است. همین تفاوتهای کلیدی باعث شده تا این حمله به هیچیک از گروههای شناختهشده فعلی نسبت داده نشود و به عنوان یک تهدید نوظهور و ناشناخته در رادارهای امنیتی طبقهبندی گردد. این گروه با استفاده از DLLهای رمزگذاری شده در حافظه، عملاً هیچ ردپای سنتی بر روی دیسک باقی نمیگذارد.
انتشار شاخصهای آلودگی برای ایمنسازی فوری زیرساختها
مرکز مدیریت راهبردی افتا پس از تحلیل ترافیک شبکه و استخراج پیکربندی بدافزار از حافظه، مجموعهای از شاخصهای آلودگی (IoC) با دقت بسیار بالا را تدوین کرده است. این شاخصها در چهار حوزه فایلسیستم، شبکه، میزبان و الگوهای شکار تهدید دستهبندی شدهاند. توصیه اکید این مرکز به مدیران فناوری اطلاعات سازمانها، اعمال فوری این شاخصها در سامانههای SIEM، EDR و فایروالها است تا از وقوع هرگونه نشت اطلاعات یا پایداری دسترسی مهاجمان جلوگیری شود.
***
شناسایی این بدافزار پیشرفته در بدنه سازمانهای دولتی، بر اهمیت حیاتی سرمایهگذاری در حوزه امنیت سایبری به عنوان زیرساخت ثبات اقتصادی تأکید دارد. از منظر مدیریت ریسک، وقوع حملات APT ناشناخته میتواند منجر به توقف خدمات دولتی و نشت دادههای استراتژیک شود که هزینههای بازسازی آن بسیار سنگین خواهد بود. موفقیت مرکز افتا در شکار این تهدید، نشاندهنده ارتقای سطح تابآوری دیجیتال کشور است که مستقیماً بر اعتماد عمومی به سامانههای دولتی و پایداری فعالیتهای اقتصادی مبتنی بر شبکه تأثیر میگذارد. تقویت دفاع سایبری، در واقع بیمه کردن داراییهای نامشهود ملی در برابر جاسوسی صنعتی و اختلالات سازمانیافته است.
