یک گروه تهدید وابسته به چین، در حملهای هدفمند علیه یک سازمان غیرانتفاعی آمریکایی با هدف استقرار ماندگار در شبکه، شناسایی شده است. این سازمان در زمینه «تأثیرگذاری بر سیاستهای دولت آمریکا در موضوعات بینالمللی» فعالیت دارد و مهاجمین چند هفته در شبکه حضور داشتهاند.
بر اساس گزارش تیمهای Symantec و Carbon Black از شرکت Broadcom، حمله از ۵ آوریل ۲۰۲۵ با اسکن انبوه یک سرور و بهرهبرداری از آسیبپذیریهای شناختهشده آغاز شد:
| CVE | محصول آسیبپذیر |
|---|---|
| CVE-2022-26134 | Atlassian |
| CVE-2021-44228 | Apache Log4j |
| CVE-2017-9805 | Apache Struts |
| CVE-2017-17562 | GoAhead Web Server |
پس از ۱۱ روز سکوت، مهاجمان در ۱۶ آوریل فعالیت را از سر گرفته و موارد زیر را اجرا کردند:
اجرای
curlبرای بررسی اتصال اینترنتاجرای
netstatجهت نقشهبرداری شبکهایجاد Scheduled Task برای ماندگاری
اجرای
msbuild.exeبرای لود پیلود مخرب ناشناختهساخت تسک جدید با اختیارات SYSTEM که هر ۶۰ دقیقه اجرا شود
تزریق کد به
csc.exeبرای ارتباط با C2:38.180.83[.]166
🔻 تکنیکهای کلیدی حمله
| تکنیک | شرح |
|---|---|
| DLL Side-Loading | سوءاستفاده از vetysafe.exe برای لود sbamres.dll |
| استفاده از RAT | اجرای پیلود در حافظه (احتمالاً RAT) |
| اشتراک ابزار میان APTها | شباهت مستقیم با گروههای Salt Typhoon، APT41، Space Pirates |
| تمرکز بر Domain Controller | نشانه تلاش برای انتشار گسترده در شبکه |
تحلیلگران تأکید کردند که:
«مهاجمین به دنبال حضور پایدار و مخفی در شبکه و دسترسی به Domain Controllerها بودهاند.»
تحرکات موازی دیگر گروههای چینی (طبق گزارش ESET)
| گروه | منطقه هدف | ابزار/تکنیک |
|---|---|---|
| Speccom (IndigoZebra / SMAC) | آسیای مرکزی | BLOODALCHEMY, kidsRAT, RustVoralix |
| DigitalRecyclers | اروپا | سوءاستفاده از ابزار Magnifier برای دسترسی SYSTEM |
| FamousSparrow | آمریکای لاتین | ProxyLogon + SparrowDoor |
| SinisterEye | تایوان، یونان، آمریکا، اکوادور | AitM، WinDealer، SpyDealer |
| PlushDaemon | ژاپن، کامبوج | AitM + SlowStepper + EdgeStepper |
IIS Serverها در تیررس: حمله با Machine Key و سئو کلواکینگ
گروه REF3927 (چینیزبان) با سوءاستفاده از Machine Keyهای لو رفته ASP.NET، بکدور TOLLBOOTH (HijackServer) را روی IIS مستقر کرده که قابلیت:
Web Shell
اجرای دستورات بدون احراز هویت
SEO Cloaking برای سوءاستفاده از سئو
اجرای Godzilla Web Shell، Mimikatz و GotoHTTP RAT
نصب HIDDENDRIVER Rootkit برای مخفیسازی
طبق HarfangLab، صدها سرور در سراسر جهان (تمرکز روی هند و آمریکا) آلوده شدهاند.
این موج حملات به IIS در ادامه فعالیت گروههایی مثل GhostRedirector، Operation Rewrite و UAT-8099 دیده میشود.
✅ جمعبندی امنیتی
| نکته کلیدی | اهمیت |
|---|---|
| استفاده از آسیبپذیریهای بسیار قدیمی | نشان میدهد بسیاری از سرورها هنوز پچ نشدهاند |
| تمرکز روی Persistence | حمله فقط نفوذ نیست، حضور ماندگار هدف اصلی است |
| استفاده مشترک از ابزار بین گروههای چینی | انتساب دقیق APT دشوارتر میشود |
| IIS و Machine Keyهای لو رفته | یکی از جدیترین زنجیرههای نفوذ در سال ۲۰۲۵ |
🛠 توصیهها
پچ فوری Log4j، Atlassian، Struts، GoAhead
چرخش و محافظت از ASP.NET Machine Keys
مانیتور Scheduled Tasks و رفتار
msbuild.exe/csc.exeبررسی DLL Side-Loading روی سرویسهای امنیتی
شناسایی ارتباط خروجی به IPهای مشکوک (مثل 38.180.83.166)
