سرخط خبرها

در ورزش های ترکیبی ( کمیته بوکس شطرنج ایران) دوره های دانش افزایی تخصصی مربیگری و داوری برگزار کرد
وزیر جهاد کشاورزی: استقبال ویژه وزرای کشاورزی بریکس از نسخه ایرانی برنامه امنیت غذایی جهانی
دعوت به حضور باشکوه در اجتماع عظیم شیرخوارگان حسینی
طلا گرانتر می شود
ارائه بیش از ۲۱۰ هزار خدمت پزشکی به حجاج، ۶ فوتی و ۲۸۳ بستری
قوه قضائیه: ورودی زندان ها، ۱۱ درصد کاهش یافت
سازمان ملل: غزه، خطرناکترین منطقه روی زمین
داریو هررا، داور مشهور آرژانتینی به عنوان داور دیدار تیم‌های ملی فوتبال ایران و بلژیک انتخاب شد
رامین رضاییان بالاتر از اولیسه در صدر خلاق‌ترین بازیکنان دور اول جام جهانی ۲۰۲۶
نیمار از لیست برزیل برای بازی مقابل هائیتی کنار گذاشته شد
سنت‌کام از لغو محاصره دریایی ایران خبر داد
ترامپ قمارباز: انتظار داریم آتش‌بس کامل در همه جبهه‌ها از جمله لبنان، حزب‌الله و اسرائیل برقرار شود
رهبر انقلاب: از این لحظه، ملت سرافراز و این خادم ناچیز، منتظر تحقّق شروط گفته‌شده در تفاهم‌نامه خواهیم بود
اتحادیه اروپا از احتمال لغو تحریم‌های هسته‌ای ایران خبر داد
زلنسکی پوتین را تهدید کرد: اگر اوکراین بسوزد، مسکو هم خواهد سوخت
بانک سینا به رتبه دوم شبکه بانکی در ارزیابی سامانه آرش ارتقا یافت
سی‌ان‌ان از تلاش نتانیاهو برای اثرگذاری بر توافق آمریکا و ایران خبر داد
پزشکیان: آنچه امروز به ثبت رسید، نتیجه استقامت ملی، عقلانیت سیاسی و دیپلماسی مسئولانه بود
ضرب‌الاجل دولت به قایق‌ها برای نصب ردیاب
پلیس: مخدوش کردن پلاک حبس دارد
در ورزش های ترکیبی ( کمیته بوکس شطرنج ایران) دوره های دانش افزایی تخصصی مربیگری و داوری برگزار کرد
وزیر جهاد کشاورزی: استقبال ویژه وزرای کشاورزی بریکس از نسخه ایرانی برنامه امنیت غذایی جهانی
دعوت به حضور باشکوه در اجتماع عظیم شیرخوارگان حسینی
طلا گرانتر می شود
ارائه بیش از ۲۱۰ هزار خدمت پزشکی به حجاج، ۶ فوتی و ۲۸۳ بستری
قوه قضائیه: ورودی زندان ها، ۱۱ درصد کاهش یافت
سازمان ملل: غزه، خطرناکترین منطقه روی زمین
داریو هررا، داور مشهور آرژانتینی به عنوان داور دیدار تیم‌های ملی فوتبال ایران و بلژیک انتخاب شد
رامین رضاییان بالاتر از اولیسه در صدر خلاق‌ترین بازیکنان دور اول جام جهانی ۲۰۲۶
نیمار از لیست برزیل برای بازی مقابل هائیتی کنار گذاشته شد
سنت‌کام از لغو محاصره دریایی ایران خبر داد
ترامپ قمارباز: انتظار داریم آتش‌بس کامل در همه جبهه‌ها از جمله لبنان، حزب‌الله و اسرائیل برقرار شود
رهبر انقلاب: از این لحظه، ملت سرافراز و این خادم ناچیز، منتظر تحقّق شروط گفته‌شده در تفاهم‌نامه خواهیم بود
اتحادیه اروپا از احتمال لغو تحریم‌های هسته‌ای ایران خبر داد
زلنسکی پوتین را تهدید کرد: اگر اوکراین بسوزد، مسکو هم خواهد سوخت
بانک سینا به رتبه دوم شبکه بانکی در ارزیابی سامانه آرش ارتقا یافت
سی‌ان‌ان از تلاش نتانیاهو برای اثرگذاری بر توافق آمریکا و ایران خبر داد
پزشکیان: آنچه امروز به ثبت رسید، نتیجه استقامت ملی، عقلانیت سیاسی و دیپلماسی مسئولانه بود
ضرب‌الاجل دولت به قایق‌ها برای نصب ردیاب
پلیس: مخدوش کردن پلاک حبس دارد

یک بدافزار در زیرساخت‌های کشور شناسایی شد

تیم امداد سایبری مرکز مدیریت راهبردی افتای ریاست جمهوری، با انجام عملیات شکار تهدید در سازمان‌ها بدافزاری را کشف کرد که با توجه به شواهد و بررسی‌های انجام‌شده متعلق به یک گروه هکری سازمان‌یافته (APT) ناشناخته بوده که در حال حاضر اطلاعاتی از نام و ماهیت این گروه در دست نیست.

به گزارش خبرگزاری موج

به نقل مرکز مدیریت راهبردی افتا، این گروه هکری معمولاً سازمان‌های دولتی را به قصد جمع‌آوری اطلاعات هدف قرار می‌دهد و ورود آن از طریق سوءاستفاده از آسیب‌پذیری‌های سامانه‌های لبه شبکه (اینترنت) و همچنین از طریق خرید دسترسی اولیه و اکانت معتبر بوده است.

برای افزایش سطح آگاهی راجع به روش عملکرد این گروه گزارش تحلیل بدافزار و TTP حمله و همچنین شاخص‌های آلودگی و قواعد شکارتهدید (IOC) مربوط به این گروه در این مقاله در اختیار عموم قرار داده می‌شود.

با اینکه روش حمله این گروه اشتراکاتی با حملات APT۴۱ و همچنین گروه Oneclik دارد ولی در نوع خود منحصربه‌فرد بوده است و در گزارش‌های بررسی‌شده با هیچ‌کدام از گروه‌های شناخته‌شده مطابقت ندارد.

این گروه از تکنیک پیشرفته AppDomainManager Hijacking (T۱۵۷۴.۰۱۴) برای اجرای کد مخرب در بستر یک پروسه معتبر ویندوزی استفاده کرده است.

زنجیره حمله با اجرای فرآیند dfsvc.exe آغاز می‌شود و در انتها با استفاده از ابزار Cobalt اقدام به پایداری دسترسی و اجرای کد مخرب و همچنین استخراج اطلاعات از سازمان‌ها می‌کند.

این گروه هکری معمولاً سازمان‌های دولتی را به قصد جمع‌آوری اطلاعات هدف قرار می‌دهد و ورود آن از طریق سوءاستفاده از آسیب‌پذیری‌های سامانه‌های لبه شبکه (اینترنت) و همچنین از طریق خرید دسترسی اولیه و اکانت معتبر بوده است.

این گروه با استفاده از ابزارهایی مانند dfsvc.exe که دارای امضای دیجیتال معتبر مایکروسافت است و همچنین استفاده از دی‌ال‌ال‌های رمز شده تو در تو برای پایداری دسترسی و اجرای شل کد بر روی memory خود را از دید آنتی‌ویروس‌ها مخفی نگه می‌دارد.

تکنیک AppDomainManager Hijacking با استفاده از dfsvc.exe را در گذشته گروه‌های APT۴۱ و گروه Oneclik استفاده کرده بودند ولی در روش پیاده سازی این تکنیک تفاوت‌هایی وجود دارد و به این دلیل نمی‌توان این حملات را به این گروه‌ها نسبت داد.

مرکز مدیریت راهبردی افتای ریاست جمهوری بر اساس نتایج حاصل از مهندسی معکوس لایه‌های بدافزار، استخراج پیکربندی از حافظه و تحلیل ترافیک شبکه، مجموعه‌ای از شاخص‌های آلودگی را با دقت بالا (High-Fidelity) استخراج کرده است.

این شاخص‌ها به چهار دسته فایل سیستم، شبکه، میزبان و الگوهای شکار تقسیم می‌شوند، توصیه مرکز افتا این است که این شاخص‌ها بلافاصله در سامانه‌های SIEM، EDR و فایروال‌ها اعمال شوند.

برای آشنایی و بهره‌برداری متخصصان، کارشناسان و مدیران فناوری اطلاعات و امنیت سامانه‌های دستگاه‌های دارای زیرساخت حیاتی، مشروح گزارش فنی مرکز مدیریت راهبردی افتای ریاست جمهوری در باره شناسایی یک APT در زیرساخت‌های کشور در فایل پیوست تقدیم شده است.