تغییر TTPها توسط گروه وابسته به روسیه (APT29)

تغییر TTPها توسط گروه APT29 وابسته به دولت روسیه همزمان با انتشار مشاوره‌های امنیتی

آژانس‌های امنیت سایبری UK NCSC و CISA-FBI-NSA یک متن مشاوره امنیتی مشترک منتشر کردند که به سازمان‌ها و آژانس‌ها هشدار می‌دهد بلافاصله سیستم‌های خود را وصله کنند تا خطر حملات انجام شده توسط گروه SVR مرتبط با دولت روسیه (که با نام مستعار APT29، Cozy Bear و The Dukes نیز شناخته می‌شود) را کاهش دهند. در این گزارش مشترک آمده است که جاسوسان سایبری در پی مشاوره‌های ماه آوریل، اهداف و تکنیک‌های خود را تغییر داده‌اند.
سازمان‌های CISA، NSA، NCSE و CSE قبلا در گزارشی مشترک در مورد فعالیت‌های این گروه با هدف سرقت اطلاعات از سازمان‌هایی که در ساخت واکسن COVID-19 در طول سال 2020 درگیر بوده‌اند و از طریق بدافزار WellMess و WellMail، صادر کرده‌اند. حال در گزارش جدید، پیش‌بینی شده است که گروه SVR با تغییر TTPهای خود به این گزارش واکنش نشان داده است.
این تغییرات گزارش شده توسط کارشناسان، شامل استفاده از ابزار متن‌باز Silver برای دستیابی به بالابردن دسترسی در زیرساخت‌های نفوذ شده و استفاده از چندین آسیب‌پذیری از جمله آسیب‌پذیری Microsoft Exchange ProxyLogon با کد شناسایی CVE-2021-26855، است. به نظر می‌رسد اپراتورهای گروه SVR با تغییر TTPهای خود نسبت به گزارش قبلی واکنش نشان داده‌اند تا از تلاش بیشتر برای شناسایی و اصلاح مجدد کارشناسان امنیت شبکه جلوگیری کنند.
در زیر لیست اکسپلویت‌های مربوط به آسیب‌پذیری‌های استفاده شده توسط گروه SVR را مشاهده می‌کنید:

  • CVE-2018-13379 FortiGate
  • CVE-2019-1653 Cisco router
  • CVE-2019-2725 Oracle WebLogic Server
  • CVE-2019-9670 Zimbra
  • CVE-2019-11510 Pulse Secure
  • CVE-2019-19781 Citrix
  • CVE-2019-7609 Kibana
  • CVE-2020-4006 VMWare
  • CVE-2020-5902 F5 Big-IP
  • CVE-2020-14882 Oracle WebLogic
  • CVE-2021-21972 VMWare vSphere

بدیهی است که لیست فوق تمام اکسپلویت‌ها را شامل نمی‌شود. طبق این مشاوره، APT29 سازمان‌هایی را هدف قرار می‌دهد که با منافع اطلاعات خارجی روسیه همسو هستند. لیست اهداف شامل اهداف دولتی، اتاق‌های فکر، سیاست، انرژی و سازمان‌هایی است که در تولید واکسن COVID-19 مشارکت دارند. این گزارش شامل توصیه‌هایی برای کاهش ریسک، همراه با قوانین و رول‌های Snort و YARA است که می‌تواند توسط سازمان‌ها برای شناسایی و دفاع در برابر حملات انجام شده توسط جاسوس‌های سایبری روسی SVR مورد استفاده قرار گیرند.

علاقمند به حوزه امنیت اطلاعات و آشنا به حوزه تست نفوذ
  • facebook
  • twitter
  • googleplus
  • linkedIn
  • flickr

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.