IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

کار از تهران، ثبت در وایومینگ؛ افشای اطلاعات ارائه‌دهنده Command-and-Control ایرانی

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian.ir registered in wyoming but working from tehran
تیم تحقیقاتی و مهندسی Halcyon، در گزارش جدیدی، جزئیات تکنیک‌های به‌روزی را که برای افشای اطلاعات دیگری از عاملان حملات باج‌افزاری که این حملات و عملیات APT را تسهیل می‌کند و تحت حمایت دولت‌ها اقدام به فعالیت می‌کند را منتشر کرده است: Command-and-Control Providers (C2P) که در قالب یک پروفایل تجاری قانونی، خدمات را به عوامل تهدید می‌فروشند.

در‌حالی‌که این نهاد‌های C2P ظاهرا کسب‌وکارهای قانونی هستند که ممکن است آگاه باشند یا نباشند که از پلت‌فرم‌هایشان برای کمپین‌های حمله سواستفاده می‌شود، با این وجود آنها یک ستون کلیدی از ابزار‌های حمله بزرگ‌تر را ارائه می‌دهند که توسط برخی از پیشرفته‌ترین عاملان تهدید استفاده می‌شود.

در این گزارش با عنوان Cloudzy with a Chance of Ransomware: Unmasking Command-and-Control Providers (C2Ps)، Halcyon روش منحصر‌به‌فردی را برای شناسایی موجودیت‌های C2P نشان می‌دهد که می‌تواند برای پیش‌بینی پیش‌سازهای کمپین‌های باج افزار بزرگ و سایر حملات پیشرفته به طور قابل توجهی و از رونق افتاده‌اند، استفاده شود. Halcyon همچنین دو باج‌افزار جدید و نامعلوم جدید را با نام‌های Ghost Clown و Space Kook شناسایی می‌کند که در حال حاضر به ترتیب BlackBasta و Royal را مستقر می‌کنند.
takian.ir registered in wyoming but working from tehran 2
این گزارش همچنین توضیح می‌دهد که چگونه از روش مشابهی برای پیوند دادن دو شرکت وابسته به باج‌افزار به یک ارائه‌دهنده خدمات اینترنتی، کلودزی، استفاده شده، که ارز‌های دیجیتال را در ازای استفاده ناشناس از سرویس‌های سرور خصوصی مجازی یا Virtual Private Server (VPS) پروتکل دسکتاپ از راه دور یا Remote Desktop Protocol (RDP) می‌پذیرد.

یافته‌های کلیدی
‌مجموعه Halcyon ادعا می‌کند که بر اساس این تحقیق، عامل کلیدی دیگری نیز وجود دارد که از شرایط جذاب مالی رو‌به‌رشد باج‌افزار حمایت می‌کند: ارائه‌دهندگان Command-and-Control Providers (C2P) که (آگاهانه یا نا‌آگاهانه) خدماتی را به مهاجمان ارائه می‌کنند و در‌عین‌حال پروفایل تجاری مشروع و قانونی‌ای را ارائه می‌کنند.

عوامل تهدیدی که ارزیابی می‌شود از Cloudzy استفاده می‌کنند شامل گروه‌های APT مرتبط با دولت‌های چین، ایران، کره شمالی، روسیه، هند، پاکستان و ویتنام هستند. یک تامین‌کننده تحریم شده جاسوس‌افزار‌های اسرائیلی که ابزار‌هایش برای هدف قرار دادن غیرنظامیان شناخته شده است. چندین سندیکای جنایی و وابسته به باج‌افزار که کمپین‌هایشان سرفصل‌های بین‌المللی را به خود اختصاص داده است.

مجموعه Halcyon از یک نقطه محوری بعید استفاده می‌کند (یعنی هاست‌نیم RDP در فراداده زیرساخت حمله یک شرکت وابسته) که می‌تواند تیم‌های امنیتی را قادر سازد تا حملات قریب‌الوقوع باج افزار را قبل از راه اندازی آنها به‌عنوان زیرساخت حمله شناسایی کنند.

هالسیون اینطور شناسایی کرده است که Cloudzy (که ارز‌های دیجیتال را در ازای استفاده ناشناس از سرویس‌های سرور خصوصی مجازی (VPS) پروتکل دسکتاپ از راه دور (RDP) می‌پذیرد) به نظر می‌رسد ارائه‌دهنده خدمات رایجی است که از حملات باج‌افزار و سایر تلاش‌های مجرمانه سایبری پشتیبانی می‌کند.

آنها همچنین لیست بلندبالایی از حملات مرتبط با APT تحت حمایت دولت را شناسایی کرده‌اند که شامل چندین سال شده و به نظر می‌رسد از خدمات Cloudzy استفاده می‌کنند؛ جایی که ارزیابی می‌شود (به طور بالقوه) بین ٤٠٪ - ٦٠٪ از کل فعالیت‌ها می‌تواند دارای ماهیت مخرب تلقی شوند.

هالسیون با شواهدی ادعا می‌کند که اگرچه کلودزی در ایالات متحده ثبت شده است، اما تقریبا به طور قطع در خارج از تهران، در کشور ایران (با نقض احتمالی تحریم‌های ایالات متحده) تحت هدایت شخصی به نام حسن نوذری فعالیت می‌کند.

مجموعه Halcyon دو شرکت وابسته به باج‌افزار ناشناخته قبلی به نام‌های Ghost Clown و Space Kook را شناسایی کرد که در حال حاضر به ترتیب از گونه‌های باج‌افزار BlackBasta و Royal استفاده می‌کنند.

این گزارش آنچه را که به‌عنوان الگوی استفاده یا سواستفاده مداوم از سرور‌های ارائه‌شده توسط ارائه‌دهنده خدمات اینترنتی کلودزی توسط بیش از دوازده عامل تهدید مختلف ارزیابی می‌شود، مستند نموده است، از‌جمله :

• گروه‌های مرتبط با دولت‌های چین، ایران، کره شمالی، روسیه، هند، پاکستان و ویتنام
• یک فروشنده تحریم شده جاسوس‌افزار‌های اسرائیلی که ابزار‌هایش جامعه مدنی را هدف قرار می‌دهد
• چندین سندیکای جنایی دیگر و وابسته به باج افزار که کمپین‌های آنها قبلا تیتر خبر‌ها بوده است

هالسیون این گزارش را با نگاهی دقیق‌تر به ISP Cloudzy به‌پایان می‌رساند و شواهدی را ارائه می‌دهد که حتی اگر کلودزی ادعا می‌کند یک شرکت آمریکایی است، ارزیابی‌ها اینطور می‌گونیدکه در‌واقع در خارج از تهران، ایران فعالیت می‌کند و احتمالا تحریم‌های ایالات متحده را نقض می‌کند.

کمپانی Halcyon توصیه می‌کند که خوانندگان فنی این گزارش از شاخص‌های سازش ارائه‌شده استفاده کنند تا شبکه‌های خود را برای هر یک از فعالیت‌های مخربی که به C2P Cloudzy مرتبط شده، جست‌وجو کنند و وقتی هر یک از ١١ نام میزبان RDP شناسایی شده در محیط آنها ظاهر شد، به دقت به آن توجه داشته باشند.

در ادامه توصیه شده است که مدافعان سایبری به شکل عطف به ماسبق به‌دنبال این هاست‌نیم‌ها باشند، تا حملات احتمالی در حال انجام را شناسایی کنند، و همچنین به طور پیشگیرانه، برای جلوگیری از هرگونه فعالیت مخرب از نقطه آغازی آن، آماده‌باشند.

برچسب ها: کلودزی, سرور خصوصی مجازی, پروتکل دسکتاپ از راه دور, Ghost Clown, Space Kook, Command-and-Control Provider, C2P, Cloudzy, BlackBasta, Royal, Remote Desktop Protocol, Virtual Private Server, VPS, ارز‌های دیجیتال, باج‌افزار, Iran, APT, RDP, ایران, ransomware , Cyber Security, جاسوسی سایبری, امنیت سایبری, جنگ سایبری, Cyber Attacks, مجرمان سایبری, حمله سایبری, news

نوشته شده توسط تیم خبر.

چاپ ایمیل