پژوهشگران حوزهٔ شکار تهدید (Threat Hunting) موفق به شناسایی مجموعهای از فعالیتهای جدید شدهاند که به یک عامل تهدید ایرانی با نام Infy (با نام مستعار Prince of Persia) نسبت داده میشود؛ این در حالی است که حدود پنج سال از آخرین مشاهدهٔ عملیات این گروه علیه اهدافی در سوئد، هلند و ترکیه میگذرد.
تومر بار، معاون تحقیقات امنیتی شرکت SafeBreach، در تحلیل فنی منتشرشده و بهاشتراکگذاشتهشده با وبسایت تخصصی The Hacker News، اظهار داشت: «دامنه و سطح فعالیتهای گروه Prince of Persia بهمراتب گستردهتر از برآوردهای اولیهٔ ما است. این گروه تهدید نهتنها همچنان فعال است، بلکه از نظر عملیاتی نیز مرتبط، مؤثر و بالقوه خطرناک باقی مانده است.»
بر اساس گزارشی که در ماه مه ۲۰۱۶ توسط واحد تحقیقاتی Unit 42 وابسته به شرکت Palo Alto Networks منتشر شد — گزارشی که توسط تومر بار و پژوهشگر امنیتی سایمون کاننت تدوین شده است — گروه Infy در زمرهٔ قدیمیترین بازیگران تهدید پیشرفتهٔ مداوم (Advanced Persistent Threat – APT) قرار میگیرد. شواهد فنی موجود نشان میدهد که فعالیتهای اولیهٔ این گروه دستکم به دسامبر ۲۰۰۴ بازمیگردد.
یکی از ویژگیهای قابل توجه این گروه، توانایی آن در حفظ سطح پایین دیدهشدن (Low Profile) در مقایسه با سایر گروههای هکری ایرانی شناختهشده نظیر Charming Kitten، MuddyWater و OilRig است؛ امری که موجب شده فعالیتهای آن تا حد زیادی از توجه رسانهای و پژوهشی دور بماند.
تحلیل حملات منتسب به این گروه نشان میدهد که عملیات آنها بهطور عمده بر بهرهگیری از دو مؤلفهٔ بدافزاری اصلی متکی بوده است. نخست، یک دانلودر و ماژول شناسایی قربانی با نام Foudre که وظیفهٔ آن جمعآوری اطلاعات اولیه از سامانهٔ هدف و تحویل ایمپلنت مرحلهٔ دوم موسوم به Tonnerre است. ایمپلنت Tonnerre برای استخراج هدفمند دادهها از سامانههای با ارزش بالا (High-Value Targets) طراحی شده است. ارزیابیهای انجامشده نشان میدهد که بدافزار Foudre عمدتاً از طریق کارزارهای فیشینگ مبتنی بر ایمیل توزیع میشود.
یافتههای اخیر شرکت SafeBreach از شناسایی یک کارزار مخفیانه حکایت دارد که با استفاده از نسخههای بهروزشدهی بدافزارهای Foudre (نسخه ۳۴) و Tonnerre (نسخههای ۱۲ تا ۱۸ و ۵۰) قربانیانی را در کشورهای ایران، عراق، ترکیه، هند، کانادا و همچنین برخی کشورهای اروپایی هدف قرار داده است. آخرین نسخهی Tonnerre در سپتامبر ۲۰۲۵ شناسایی شده است.
زنجیرههای حمله نیز دچار تغییر شدهاند؛ بهطوریکه بهجای استفاده از فایلهای Microsoft Excel آلوده به ماکرو، اکنون یک فایل اجرایی بهصورت تعبیهشده درون این اسناد قرار میگیرد تا فرآیند نصب Foudre انجام شود. با این حال، برجستهترین ویژگی در شیوهی عمل عامل تهدید، استفاده از الگوریتم تولید دامنه (Domain Generation Algorithm – DGA) بهمنظور افزایش تابآوری و پایداری زیرساخت فرماندهی و کنترل (C2) است.
علاوه بر این، نمونههای مرتبط با Foudre و Tonnerre بهمنظور اعتبارسنجی دامنهی C2، یک فایل امضای دیجیتال مبتنی بر RSA را دانلود میکنند. بدافزار سپس این فایل را با استفاده از یک کلید عمومی تعبیهشده رمزگشایی کرده و نتیجه را با یک فایل اعتبارسنجی ذخیرهشده بهصورت محلی مقایسه میکند.
تحلیل SafeBreach از زیرساخت C2 همچنین وجود دایرکتوریای با نام «key» را آشکار کرده است که برای اعتبارسنجی C2 مورد استفاده قرار میگیرد. علاوه بر آن، پوشههای دیگری نیز برای ذخیرهی لاگهای ارتباطی و فایلهای استخراجشده (exfiltrated) شناسایی شدهاند.
بهگفتهی «بار»:
«بدافزار Foudre هر روز یک فایل امضای اختصاصی را که با کلید خصوصی RSA توسط عامل تهدید رمزگذاری شده است دانلود میکند و سپس با استفاده از اعتبارسنجی RSA و یک کلید عمومی تعبیهشده، بررسی میکند که آیا دامنه مورد نظر یک دامنهی مجاز است یا خیر. قالب درخواست بهصورت زیر است:
https://<domain name>/key/<domain name><yy><day of year>.sig»
همچنین در سرور C2 یک دایرکتوری با نام «download» وجود دارد که کاربری دقیق آن در حال حاضر مشخص نیست، اما گمان میرود برای دانلود و ارتقا به نسخههای جدیدتر بدافزار مورد استفاده قرار گیرد.
در مقابل، جدیدترین نسخهی Tonnerre شامل سازوکاری برای برقراری ارتباط با یک گروه تلگرامی (با نام «سرافراز») از طریق سرور C2 است. این گروه دارای دو عضو میباشد: یک ربات تلگرامی با شناسهی @ttestro1bot که احتمالاً برای صدور دستورات و جمعآوری دادهها استفاده میشود، و یک کاربر با نام کاربری @ehsan8999100.
اگرچه استفاده از پیامرسانها بهعنوان کانال C2 پدیدهی غیرمعمولی محسوب نمیشود، نکتهی قابل توجه این است که اطلاعات مربوط به این گروه تلگرامی در فایلی با نام «tga.adr» و در دایرکتوریای به نام «t» در سرور C2 ذخیره شده است. شایان ذکر است که دانلود فایل «tga.adr» تنها برای فهرست مشخصی از GUIDهای قربانیان امکانپذیر است.
همچنین شرکت امنیت سایبری SafeBreach موفق به شناسایی نسخههای قدیمیتر دیگری شده است که در کارزارهای Foudre طی سالهای ۲۰۱۷ تا ۲۰۲۰ مورد استفاده قرار گرفتهاند.
- نسخهای از بدافزار Foudre که با پوشش یک نرمافزار جعلی به نام Amaq News Finder استتار شده و وظیفهی دانلود و اجرای بدافزار اصلی را بر عهده دارد.
- نسخهی جدیدی از یک تروجان با نام MaxPinner که توسط فایل DLL مربوط به Foudre نسخه ۲۴ دانلود میشود و برای جاسوسی از محتوای تلگرام مورد استفاده قرار میگیرد.
- گونهای از بدافزار موسوم به Deep Freeze که از نظر عملکرد و شیوهی استتار مشابه Amaq News Finder بوده و برای آلودهسازی قربانیان به Foudre به کار گرفته شده است.
- یک بدافزار ناشناخته با نام Rugissement که اطلاعات فنی محدودی دربارهی آن در دسترس است.
شرکت SafeBreach اعلام کرد:
«با وجود آنکه در ظاهر به نظر میرسید فعالیت عاملان تهدید موسوم به Prince of Persia در سال ۲۰۲۲ متوقف شده است، واقعیت کاملاً خلاف این تصور است. کارزار پژوهشی مستمر ما دربارهی این گروه پرکار و در عین حال گریزان، جزئیات مهمی از فعالیتها، سرورهای فرماندهی و کنترل (C2) و گونههای بدافزاری شناساییشدهی آنها طی سه سال گذشته را آشکار کرده است.»
این افشاگری همزمان با تحلیلهای مستمر شرکت DomainTools دربارهی نشتهای مرتبط با Charming Kitten منتشر شده است؛ تحلیلهایی که تصویری از یک گروه هکری ارائه میدهند که بیش از آنکه شبیه یک گروه غیررسمی باشد، همچون یک نهاد دولتی عمل میکند و عملیاتهای جاسوسی سایبری را با دقت و نظم اداری اجرا مینماید. همچنین مشخص شده است که این عامل تهدید در پشت هویت موسوم به Moses Staff نیز قرار دارد.
DomainTools در اینباره اظهار داشت:
«گروه APT35—که همان ساختار مدیریتی مسئول اجرای عملیاتهای بلندمدت فیشینگِ سرقت اعتبارنامه در تهران است—همچنین زیرساختها و تدارکات لازم برای پیشبرد نمایشِ باجافزاریِ Moses Staff را نیز مدیریت کرده است.»
در ادامه آمده است:
«این هکتیویستهای بهظاهر مستقل و واحد سایبری دولتی نهتنها ابزارها و اهداف مشترکی دارند، بلکه حتی از یک سامانهی مشترک پرداختهای مالی استفاده میکنند. بازوی تبلیغاتی و بازوی جاسوسی، در واقع دو خروجی از یک گردشکار واحد هستند؛ پروژههایی متفاوت که همگی تحت یک نظام داخلیِ مشترکِ ثبت و پیگیری وظایف اداره میشوند.»
دیدگاه خود را بنویسید