حمله بدافزار جدید KV-Botnet به دستگاه‌های Cisco، DrayTek، NETGEAR و Fortinet

بررسی تهدیدات سایبری در گزارش فصلی ترلیکس

اخبار

حمله بدافزار جدید KV-Botnet به دستگاه‌های Cisco، DrayTek، NETGEAR و Fortinet

حمله بدافزار جدید KV-Botnet به دستگاه‌های Cisco، DrayTek، NETGEAR و Fortinet

یک بات نت جدید با تکیه بر فایروال‌ها و روتر‌های Cisco، DrayTek، Fortinet و NETGEAR به‌عنوان یک شبکه انتقال داده مخفی برای عوامل مهاجم APT، توسط عامل تهدید مرتبط با چین به نام Volt Typhoon استفاده می‌شود.

این شبکه مخرب که توسط تیم Black Lotus Labs و Lumen Technologies با نام KV-botnet شناخته می‌شود، ماحصل ادغام دو کلاستر فعالیت مکمل است که حداقل از فوریه ٢٠٢٢ فعال بوده‌اند.

takian.ir new kv botnet targeting cisco draytek fortinet devices 2


این شرکت گفت: "این کمپین دستگاه‌های مستقر در لبه (ورودی) شبکه‌ها را آلوده می‌کند. این بخش که به‌عنوان یک نقطه نرم و نفوذ‌پذیر در ساختار دفاعی بسیاری از شرکت‌ها ظاهر شده است، که با تغییر روش به مدیریت از راه دور در سال‌های اخیر ترکیب شده است".

گفته می‌شود که این دو کلاستر (با کد KV و JDY) متمایز هستند و در‌عین‌حال برای تسهیل دسترسی به قربانیان مهم و همچنین ایجاد زیرساخت‌های مخفی کار می‌کنند. داده‌های تله‌متری نشان می‌دهد که بات نت از آدرس‌های IP مستقر در چین هدایت شده است.

در‌حالی‌که بخش بات‌های JDY با استفاده از تکنیک‌های کمتر پیچیده، درگیر اسکن گسترده‌تر می‌شود، مولفه KY، که محصولات عمدتا منسوخ شده و از رده خارج را نشان می‌دهد، ظاهرا برای عملیات دستی در برابر اهداف پرمخاطب که توسط بات اول انتخاب شده و رزرو شده‌اند، استفاده می‌شود.

گمان می‌رود که Volt Typhoon حداقل یکی از کاربران KV-botnet باشد و زیرمجموعه‌ای از زیرساخت‌های عملیاتی آنها را در بر می‌گیرد، که با کاهش محسوس عملیات در ژوئن و اوایل ژوئیه ٢٠٢٣، مصادف با افشای عمومی اطلاعات گروه مهاجم در پی هدف قرار دادن زیرساخت‌های حیاتی در ایالات متحده، منطبق است.

takian.ir new kv botnet targeting cisco draytek fortinet devices 3


‌مایکروسافت که برای اولین بار تاکتیک‌های این عامل تهدید را افشا کرد، گفت: "سعی این گروه بر این است تا با مسیر‌یابی ترافیک از طریق تجهیزات شبکه کوچک اداری و خانگی (SOHO)، از‌جمله روتر‌ها، فایروال‌ها و سخت‌افزار VPN، با فعالیت‌های عادی شبکه ترکیب شود".

فرآیند دقیق مکانیسم آلودگی اولیه مورد استفاده برای نقض دستگاه‌ها در حال حاضر ناشناخته است. به‌دنبال آن بدافزار مرحله اول اقداماتی را برای حذف برنامه‌های امنیتی و دیگر گونه‌های بدافزار انجام می‌دهد تا اطمینان حاصل شود که تنها این بدافزار در این دستگاه‌ها حضور دارد.

این بدافزار همچنین برای بازیابی payload اصلی از یک سرور راه دور طراحی شده است، که علاوه بر انتقال به همان سرور، قادر به آپلود و دانلود فایل‌ها، اجرای دستورات و اجرای ماژول‌های اضافی نیز می‌باشد.

طی ماه گذشته، زیرساخت بات‌نت تغییراتی را دریافت کرده و دوربین‌های IP Axis را هدف قرار داده است، که نشان می‌دهد اپراتور‌ها در حال آمادگی برای موج جدیدی از حملات هستند.

محققان گفتند: "یکی از جنبه‌های نسبتا جالب این کمپین این است که به نظر می‌رسد تمام ابزار‌ها کاملا in-memory هستند. این امر در کنار ماندگاری طولانی مدت، تشخیص را بسیار دشوار می‌کند".

آنها افزودند: "از آنجایی که بدافزار کاملا در حافظه قرار دارد، کاربر نهایی می‌تواند با قطع اتصال برق دستگاه، آلودگی را متوقف کند. در‌حالی‌که این اقدام، تهدید قریب‌الوقوع را از بین می‌برد، آلودگی مجدد نیز به طور منظم رخ می‌دهد".

این یافته‌ها در حالی به‌دست می‌آیند که واشنگتن پست گزارش داده است که طی سال گذشته ولت تایفون به دوازده نهاد مهم در ایالات متحده، از‌جمله تاسیسات برق و آب و همچنین سیستم‌های ارتباطی و حمل‌ونقل نفوذ کرده است.

این گزارش می‌افزاید: "هکر‌ها اغلب به‌دنبال پنهان کردن ردپای خود با عبور دادن حملات خود از طریق دستگاه‌های بی‌خطر مانند روتر‌های خانگی یا اداری قبل از رسیدن و نفوذ به قربانیان خود بوده‌اند".

 

 

 

 

 

 

 

 

 

 

 

 



نظرات کاربران
ارسال نظر