محققان امنیت سایبری روز جمعه از زیرساخت های جدید command-and-control (C2) متعلق به عامل تهدیدکننده روسی با نام APT29، معروف به Cozy Bear، که به طور فعال در حال ارائه سرویس به بدافزار WellMess به عنوان بخشی از یک کمپین حمله مداوم، رونمایی و افشاگری کردند.

شرکت RiskIQ که زیرمجموعه شرکت امنیت سایبری متعلق به مایکروسافت است، در گزارشی که با خبرگزاری ها به اشتراک گذاشته، بیان کرده است که بیش از 30 سرور C2 که توسط اطلاعات خارجی روسیه اداره می شده، کشف شده است.

به نظر می رسد APT29 (نامی است که به عوامل دولتی که برای سرویس اطلاعات خارجی روسیه (SVR) کار می کنند اطلاق میشود)، مغز متفکر حمله بزرگ زنجیره تامین SolarWinds که در اواخر سال گذشته آشکار شد، میباشد و دولتهای انگلیس و ایالات متحده به شکل رسمی از اوایل آوریل امسال، روسیه را مسئول این اتفاقات دانسته اند.

این فعالیت توسط جامعه امنیت سایبری تحت اسم رمزهای مختلف، از جملهUNC2452 (FireEye) ،Nobelium (Microsoft) ،SolarStorm (Unit 42) ، StellarParticle (Crowdstrike) ،Dark Halo (Volexity) و Iron Ritual (Secureworks)، با استناد به تفاوت هایشان در تاکتیک ها، تکنیک ها و رویه هایی (TTPs) که توسط عامل مخرب با پروفایل مهاجم و با عنوان APT29 به کار‌ میرود، شناخته میشوند.

به نقل از هکر نیوز، بدافزاز WellMess (معروف به WellMail) که برای اولین بار توسط JPCERT/CC ژاپن در سال 2018 در کمپین های جاسوسی که توسط عامل تهدید برای سرقت مالکیت معنوی از چندین سازمان درگیر در فرایند تحقیق و توسعه واکسن COVID-19 در انگلستان، ایالات متحده و کانادا، شناسایی شد.

مرکز ملی امنیت سایبری بریتانیا (NCSC) در توصیه نامه امنیتی که در جولای سال 2020 منتشر شد، خاطرنشان کرده است: “این گروه از ابزارها و تکنیک های مختلفی برای هدف گیری عمدتاً اهداف دولتی، دیپلماتیک، اتاق های فکر، سیستم های سلامت و انرژی برای دستیابی به اطلاعات استفاده می کند.”.

موسسه RiskIQ گفت که تحقیقات خود را در مورد زیرساخت های حمله APT29 پس از افشای عمومی در مورد سرور WellMess C2 جدید در 11 ژوئن آغاز کرد، که منجر به کشف دسته ای با حدود کمتر از 30 سرور فعال C2 شد. اگرچه مشخص نیست که چگونه از این سرورها استفاده می شود و اهداف آنها چه کسانی هستند، اما اعتقاد بر این است که یکی از سرورها در 9 اکتبر 2020 فعال بوده است.

این اولین بار نیست که RiskIQ ردپای command-and-control مربوط به هکرهای SolarWinds را شناسایی می کند. در ماه آوریل، مجموعه دیگری از 18 سرور که با درصد اطمینان بالایی احتمالاً با اهدافشان از طریق دیتاهای Cobalt Strike ثانویه که توسط بدافزار TEARDROP و RAINDROP در حملات مستقر شده بود ارتباط برقرار می کردند، کشف شدند.

کوین لایولی، مدیر اطلاعات تهدید RiskIQ گفت: “تیم اطلس RiskIQ با اطمینان بالایی ارزیابی کرده است که این آدرس ها و گواهینامه های IP توسط APT29 در حال استفاده فعال هستند. ما نتوانستیم بدافزاری را که با این زیرساخت ارتباط برقرار میکند، پیدا کنیم، اما گمان می کنیم که شبیه نمونه های شناسایی شده قبلی باشد.”.