قیمت چند مجوز تخفیف
پایگاه داده تهدید بدافزار کمپین جاسوسی رد منشن

کمپین جاسوسی رد منشن

تا Mezo در بدافزار, تهدید مداوم پیشرفته (APT)
ترجمه به:

یک کمپین جاسوسی سایبری مداوم و بسیار استراتژیک مرتبط با یک عامل تهدید همسو با چین، با موفقیت خود را در شبکه‌های مخابراتی جاسازی کرده است. هدف اصلی، نظارت و نفوذ به زیرساخت‌های مرتبط با دولت با استفاده از محیط‌های مخابراتی به عنوان یک دروازه است.

این عملیات طولانی‌مدت به خوشه تهدیدی موسوم به Red Menshen نسبت داده می‌شود که با نام‌های مستعار Earth Bluecrow، DecisiveArchitect و Red Dev 18 نیز ردیابی می‌شود. حداقل از سال ۲۰۲۱، این گروه به‌طور مداوم ارائه‌دهندگان خدمات مخابراتی در سراسر خاورمیانه و آسیا را هدف قرار داده و دسترسی عمیق و پنهانی به سیستم‌های حیاتی برقرار کرده است.

سلول‌های خفته دیجیتال: تکنیک‌های پیشرفته پایداری

محققان امنیتی، سازوکارهای دسترسی مورد استفاده در این کمپین را از جمله پنهان‌ترین سازوکارهای مشاهده‌شده در شبکه‌های مخابراتی دانسته‌اند. این تکنیک‌ها مانند سلول‌های خواب دیجیتال عمل می‌کنند و تا زمان فعال شدن، غیرفعال و ناشناخته باقی می‌مانند.

مهاجمان به ترکیبی از ابزارها و تکنیک‌های بسیار پیشرفته متکی هستند، از جمله:

  • ایمپلنت‌های سطح هسته که در اعماق سیستم عامل عمل می‌کنند
  • درهای پشتی غیرفعال که از روش‌های تشخیص سنتی اجتناب می‌کنند
  • ابزارهای جمع‌آوری اعتبارنامه برای جمع‌آوری داده‌های دسترسی حساس
  • چارچوب‌های فرماندهی و کنترل چندسکویی که عملیات انعطاف‌پذیر را امکان‌پذیر می‌کنند

این قابلیت‌ها به عامل تهدید اجازه می‌دهد تا ضمن به حداقل رساندن فعالیت‌های قابل تشخیص، پایداری بلندمدت خود را حفظ کند.

BPFDoor: درِ پشتی نامرئی در هسته

در مرکز این کمپین،BPFDoor ، یک درب پشتی مبتنی بر لینوکس، قرار دارد که نمونه‌ای از پنهان‌کاری و پیچیدگی است. برخلاف بدافزارهای سنتی، این بدافزار از ایجاد شاخص‌های شبکه‌ای قابل تشخیص خودداری می‌کند.

به جای باز کردن پورت‌ها یا حفظ کانال‌های ارتباطی قابل مشاهده، BPFDoor از قابلیت Berkeley Packet Filter (BPF) در هسته لینوکس سوءاستفاده می‌کند. این بدافزار ترافیک شبکه را به صورت داخلی بررسی می‌کند و تنها زمانی فعال می‌شود که یک بسته «جادویی» خاص و دستکاری‌شده دریافت کند.

این طراحی نیاز به شنودکنندگان مداوم یا فعالیت‌های هشداردهنده را از بین می‌برد و عملاً یک مکانیسم دسترسی پنهان را مستقیماً در سیستم‌عامل تعبیه می‌کند. نتیجه، یک نقطه ورود تقریباً نامرئی است که تشخیص آن از طریق ابزارهای نظارتی مرسوم بسیار دشوار است.

نفوذ اولیه: بهره‌برداری از زیرساخت لبه

زنجیره حمله معمولاً با هدف قرار دادن سیستم‌های متصل به اینترنت و دستگاه‌های لبه‌ای آغاز می‌شود. این دستگاه‌ها شامل دروازه‌های VPN، فایروال‌ها و سرویس‌های تحت وب، به ویژه آن‌هایی که با فناوری‌های اصلی سازمانی مرتبط هستند، می‌شوند.

پس از دستیابی اولیه به دسترسی، مهاجمان مجموعه‌ای از ابزارهای پس از بهره‌برداری را برای گسترش کنترل خود مستقر می‌کنند. این ابزارها شامل چارچوب‌هایی مانند CrossC2، همراه با Sliver، TinyShell، کی‌لاگرها و ابزارهای brute-force می‌شوند. این ابزارها در کنار هم، امکان برداشت اعتبارنامه، شناسایی داخلی و حرکت جانبی در محیط‌های آسیب‌دیده را فراهم می‌کنند.

معماری دو جزئی: کنترل و فعال‌سازی

BPFDoor از طریق یک معماری دو بخشی که برای دقت و پنهان‌کاری طراحی شده است، عمل می‌کند. یک جزء در سیستم آسیب‌دیده قرار دارد و به صورت غیرفعال ترافیک ورودی را برای یک بسته‌ی محرک از پیش تعریف‌شده رصد می‌کند. پس از شناسایی، با ایجاد یک پوسته از راه دور فعال می‌شود.

جزء دوم، یک کنترل‌کننده است که توسط مهاجم اداره می‌شود. این کنترل‌کننده بسته‌های دستکاری‌شده‌ی ویژه‌ای را برای فعال کردن ایمپلنت‌ها ارسال می‌کند و همچنین می‌تواند در محیط قربانی عمل کند. هنگامی که به صورت داخلی مستقر می‌شود، می‌تواند خود را به عنوان فرآیندهای سیستم قانونی پنهان کند، عفونت‌های اضافی را هماهنگ کند و حرکت جانبی کنترل‌شده بین سیستم‌ها را تسهیل کند.

نظارت در سطح مخابرات: فراتر از درهای پشتی سنتی

انواع خاصی از BPFDoor قابلیت‌هایی فراتر از قابلیت‌های استاندارد درب پشتی را نشان می‌دهند. پشتیبانی از پروتکل انتقال کنترل جریان (SCTP) امکان نظارت بر ارتباطات خاص مخابراتی را فراهم می‌کند.

این قابلیت به مهاجمان اجازه می‌دهد تا از فعالیت مشترکین اطلاعات کسب کنند، رفتار کاربر را ردیابی کنند و به طور بالقوه مکان‌های فیزیکی افراد مورد نظر را تعیین کنند. در نتیجه، BPFDoor به طور مؤثر به عنوان یک لایه نظارتی تعبیه شده در زیرساخت‌های مخابراتی عمل می‌کند و امکان مشاهده طولانی مدت و کم‌صدا را در عملیات حساس فراهم می‌کند.

بازآفرینی فرار: انواع جدید و پیشرفت‌های مخفی‌کاری

یک نوع جدید از BPFDoor که به تازگی شناسایی شده است، پیشرفت‌های معماری را برای افزایش فرار و طول عمر ارائه می‌دهد. پیشرفت‌های کلیدی عبارتند از:

  • پنهان کردن بسته‌های محرک در ترافیک HTTPS به ظاهر قانونی
  • اعمال یک نشانگر آفست بایت ثابت ('9999') برای تشخیص فعال‌سازی قابل اعتماد
  • معرفی ارتباط مبتنی بر ICMP بین میزبان‌های آلوده برای تعامل کم‌حجم

این تکنیک‌ها به ترافیک مخرب اجازه می‌دهند تا به طور یکپارچه با فعالیت عادی شبکه ترکیب شوند و احتمال شناسایی را به طور قابل توجهی کاهش دهند، در حالی که اجرای دستورات را به طور قابل اعتمادی حفظ می‌کنند.

تکامل تریدکرافت: عمیق‌تر در انبوه اطلاعات

این کمپین، تغییر گسترده‌تری را در روش‌شناسی مهاجمان برجسته می‌کند. مهاجمان به جای تکیه صرف بر بدافزارهای فضای کاربر، به طور فزاینده‌ای در حال جاسازی بدافزارها در عمق بیشتری از پشته محاسباتی، به ویژه در سطوح هسته و زیرساخت هستند.

محیط‌های مخابراتی به دلیل پیچیدگی‌شان، که شامل سیستم‌های bare-metal، لایه‌های مجازی‌سازی، سخت‌افزار شبکه با کارایی بالا و اجزای اصلی 4G/5G کانتینری می‌شود، اهداف جذابی هستند. این ایمپلنت‌ها با ادغام با سرویس‌های قانونی و محیط‌های زمان اجرا، می‌توانند از سد دفاعی سنتی نقاط پایانی عبور کرده و برای مدت طولانی بدون شناسایی باقی بمانند.

نتیجه‌گیری: جبهه‌ای جدید در جاسوسی سایبری

این کمپین، تکامل قابل توجهی را در تاکتیک‌های جاسوسی سایبری نشان می‌دهد. مهاجمان با بهره‌گیری از زیرساخت‌های مخابراتی و سازوکارهای پنهان‌کاری در سطح هسته، به دسترسی بلندمدت و کم‌رؤیت به محیط‌های بسیار حساس دست می‌یابند.

استفاده از ابزارهای پیشرفته‌ای مانند BPFDoor، همراه با تکنیک‌های نوآورانه‌ی گریز و یکپارچه‌سازی عمیق سیستم، نشان‌دهنده‌ی چالشی رو به رشد برای مدافعان است. شناسایی و کاهش چنین تهدیدهایی نیازمند افزایش دید در لایه‌های پایین‌تر پشته‌ی محاسبات و بازنگری در رویکردهای امنیتی سنتی است.

پرطرفدار

پربیننده ترین

بارگذاری...