حملات مخفیانه گروه چینی APT31 علیه شرکت‌های IT روسیه با سوءاستفاده از سرویس‌های ابری!

گروه تهدید پیشرفته چین‌محور APT31 در بازه‌ی ۲۰۲۴ تا ۲۰۲۵ مجموعه‌ای از حملات سایبری هدفمند را علیه بخش فناوری اطلاعات روسیه انجام داده و توانسته برای مدت‌های طولانی بدون شناسایی باقی بماند.

به گفته‌ی پژوهشگران Positive Technologies، شرکت‌هایی که به عنوان پیمانکار یا یکپارچه‌ساز سیستم برای سازمان‌های دولتی روسیه فعالیت می‌کنند، از اصلی‌ترین اهداف این کمپین بوده‌اند.

APT31 کیست؟

APT31 — با نام‌های Altaire، Judgement Panda، RedBravo، Violet Typhoon و چند عنوان دیگر — از سال ۲۰۱۰ فعال است. این گروه معمولاً سازمان‌های دولتی، مالی، هوافضا، مخابرات، ساخت‌وساز، رسانه و فناوری پیشرفته را هدف قرار می‌دهد.
تمرکز اصلی آن، جاسوسی سایبری برای کسب مزیت‌های سیاسی، اقتصادی و نظامی برای پکن است. در سال ۲۰۲۵ نیز جمهوری چک این گروه را عامل حمله به وزارت امور خارجه خود اعلام کرد.

تکنیک‌های کلیدی حملات گروه چینی APT31 علیه روسیه

۱. استفاده از سرویس‌های ابری قانونی برای C2

مهاجمان برای فرماندهی و کنترل و انتقال داده‌ها از سرویس‌های ابری محبوب روسیه مانند Yandex Cloud استفاده کرده‌اند تا ترافیک مخرب در میان ترافیک عادی گم شود.

۲. سوءاستفاده از شبکه‌های اجتماعی

دستورات رمزگذاری‌شده و payloadها در پروفایل‌های شبکه‌های اجتماعی داخلی و خارجی قرار داده شده و از آن به عنوان کانال ارتباطی پنهان استفاده شده است.

۳. زمان‌بندی هوشمند حملات

بسیاری از فعالیت‌ها در آخر هفته‌ها و تعطیلات رسمی انجام شده تا احتمال شناسایی کاهش یابد.
در یک مورد، نفوذ اولیه در اواخر ۲۰۲۲ انجام شده و فعالیت مخرب تا تعطیلات سال نوی ۲۰۲۳ افزایش یافته است.

۴. سناریوهای اولیه نفوذ

یکی از حملات سال ۲۰۲۴ شامل یک ایمیل اسپیر‌فیشینگ بود که یک RAR حاوی فایل LNK را ارسال می‌کرد. اجرای این فایل باعث بارگذاری CloudyLoader از طریق DLL sideloading می‌شد.
برخی از این فعالیت‌ها با خوشه تهدید EastWind همپوشانی دارد.

در حمله‌ای دیگر، آرشیوی که ظاهر یک گزارش از وزارت خارجه پرو داشت، برای انتشار CloudyLoader استفاده شده بود.

۵. ابزارها و ترفندهای مورد استفاده APT31

این گروه مجموعه بزرگی از ابزارهای متن‌باز، عمومی و سفارشی را برای مراحل مختلف حمله به‌کار گرفته است. بخشی از مهم‌ترین ابزارها:

ابزارهای شناسایی و استخراج اطلاعات

• SharpADUserIP: شناسایی و اکتشاف در اکتیودایرکتوری

• SharpChrome.exe: استخراج کوکی‌ها و رمزهای ذخیره‌شده مرورگر

• SharpDir: جستجوی فایل‌ها

• StickyNotesExtract.exe: استخراج نوت‌های ویندوز

ایجاد تونل و ارتباط مخفی

• Tailscale VPN

• Microsoft Dev Tunnels

بک‌دورها و ابزارهای پیشرفته

• Owawa: ماژول مخرب IIS برای سرقت اعتبارنامه

• AufTime: بک‌دور لینوکسی با ارتباط رمزگذاری‌شده

• COFFProxy: بک‌دور Golang برای تونل‌سازی و اجرای دستور

• VtChatter: C2 با استفاده از فایل Base64 در VirusTotal

• OneDriveDoor: C2 از طریق OneDrive

• LocalPlugX: نسخه‌ای محلی از PlugX

• CloudSorcerer: بک‌دور مبتنی بر سرویس‌های ابری

• YaLeak: ابزار .NET برای آپلود داده در Yandex Cloud

نکته کلیدی

بسیاری از ابزارها برای فعالیت در حالت server-side تنظیم شده‌اند؛ یعنی منتظر اتصال مهاجم می‌مانند و نشانه‌ای در ترافیک خروجی ایجاد نمی‌کنند.

۶. چرا چند سال شناسایی نشدند؟

• تمام ترافیک خروجی شبیه سرویس‌های ابری قانونی بوده

• دسترسی‌ها زمان‌بندی‌شده و کم‌سروصدا بوده

• ابزارها در سیستم قربانی با نام‌های شبیه برنامه‌های اصلی (مثل Chrome و Yandex Disk) اجرا شده‌اند

• مهاجمان فایل‌ها، رمزهای ایمیل و سرویس‌های داخلی را به‌مرور استخراج کرده‌اند

Positive Technologies می‌گوید این تکنیک‌ها به APT31 اجازه داده چندین سال بدون شناسایی در شبکه قربانیان باقی بماند.

منابع: