کمپین‌ها

حمله Wilted Tulip
۱۳ آبان ۱۳۹۶

Operation Wilted Tulip

گروه ایرانی CopyKitten، فعالیت خود را در سال ۲۰۱۱ آغاز کرده و آن را در سال ۲۰۱۶ افزایش داد. این گروه در ابتدا چندان قدرتمند و پیشرفته به نظر نمیرسید اما هر روز توانمندتر شده و از روشهای پیچیدهتری استفاده میکند. عمدهی فعالیتهای این گروه در خاورمیانه متمرکز است.

در نوامبر ۲۰۱۵، آزمایشگاه Minerva و ClearSky گزارشی در رابطه با فعالیت این گروه منتشر کردند. در مارس ۲۰۱۷، ClearSky گزارش دوم را نیز منتشر کرد و در آن حوادث بیشتری را اعلام کرد. در ژوئیه ۲۰۱۷، هم گزارشی از طرف گروه امنیتی ClearSky با مشارکت Trend Micro مبنی بر حملهای سایبری از طرف گروهی ایرانی منتشر شد. این گزارش حاوی تمامی جزئیات فنی حمله بود. در این گزارش روشها و روندهای به کار گرفته شده شرح داده شده بود.

حمله Wilted Tulip

ابزار و بدافزارهای استفاده شده در حمله Wilted Tulip

این گروه از بدافزارهایی که خودشان طراحی کرده بودند و همچنین ابزارهای عمومی استفاده کردند. دربهای پشتی TDTESS، Vminst، NetSrv، Cobalt Strike loader، ZPP و یک کنسول فشردهسازی فایل، از ابزارهای سفارشی‌سازی شده، بودند. همچنین این گروه از Matryoshka v1، یک RAT اختصاصی، Matryoshka v2 استفاده کردند.

این گروه اغلب از نسخهی آزمایشی Cobalt Strike3 در حملات خود بهره می‌برد. از دیگر ابزارهای عمومی که این گروه استفاده کرده است میتوان Metasploit که نسخهی رایگان و متن-باز یک فریمورک برای توسعه و اجرای کدهای بهرهبرداری بر روی یک سیستم از راه دور است، نام برد.

Mimikatz، یک ابزار بعد از بهرهبرداری است که وظیفهاش Credential dumping میباشد. در واقع به روندی که در آن اطلاعات ورود به حساب کاربری که شامل نام کاربری و گذرواژه است از سیستم عامل و نرمافزار به دست میآید. این اطلاعات میتواند در گامهای بعدی و برای دسترسی به اطلاعات مهم مورد استفاده قرار گیرد.

همچنین Empire که یک PoweShell و یک عامل بعد از بهرهبرداری پایتون است برای تشخیص و سوء استفاده از سرورهای وب مورد استفاده قرار گرفته است.

روش‌های ورود به سازمان در حمله Wilted Tulip

برای ورود به سازمانهای مورد نظر هم از روشهای Watering holes و spear phishing استفاده کردند.  برای این منظور هم در یک سری سایت مرتبط با هدف کدهایی تزریق شد. شرح این روش را در سایت آرمان داده پویان میتوانید بخوانید.

روش دیگر هم بهرهبرداری وببنیان (Web based exploitation) بود. شرح این روش را در سایت آرمان داده پویان بخوانید. Havij، Acunetix و sqlmap برای تشخیص و بهرهبرداری از سرورهایی که به سمت اینترنت هستند استفاده شد.

 همچنین اسناد آلوده روش دیگری بود که برای ورود استفاده شد. اطلاعات مربوط به اسناد آلوده را میتوانید در سایت آرمان داده پویان مطالعه کنید.

در مجموع گروه CopyKitten از ابزار و بدافزارهای متعددی برای آلوده کردن قربانیان استفاده کردند. این ابزار و روشها هم سفارشی بودند و هم عمومی مانند Cobalt Strike.

آرمان داده پویان تامین کننده برترین تجهیزات و راه کار های امنیتی


تازه ترین ها