یک کارزار سایبری گسترده که ارائهدهندگان خدمات اینترنتی (ISP) در چین و سواحل غربی آمریکا را هدف قرار داده، موفق به نفوذ و آلودهسازی هزاران سیستم شده است. این حملات با استفاده از حملات بروتفورس (Brute-Force) برای دسترسی به سرورهای آسیبپذیر، بدافزارهای سرقت اطلاعات و استخراج رمزارز را روی دستگاههای قربانیان اجرا میکنند.
رد پای مهاجمان: نفوذ، سرقت، ماندگاری
به گزارش تیم تحقیقات تهدیدات Splunk، این حملات بهگونهای طراحی شدهاند که کمترین ردی از خود بهجا بگذارند و از ابزارهای اسکریپتی مانند Python و PowerShell برای حرکت در شبکهها و اجرای دستورات استفاده میکنند. مهاجمان همچنین از APIهای تلگرام برای مدیریت عملیات و ارسال دادههای سرقتشده بهره میبرند.
حملات از کجا آغاز شدند؟
ردیابی این حملات نشان داده است که مهاجمان از آدرسهای IP مستقر در اروپای شرقی برای انجام حملات بروتفورس استفاده کردهاند. در این حملات، بیش از ۴۰۰۰ IP متعلق به زیرساخت ISPها در چین و ایالات متحده هدف قرار گرفتهاند.
مکانیزم حمله: از بروتفورس تا استقرار بدافزارها
مهاجمان پس از نفوذ اولیه، مجموعهای از اجراییهای مخرب را از طریق PowerShell روی سیستمهای قربانی اجرا میکنند که اهداف زیر را دنبال میکند:
✅ اسکن شبکه: برای شناسایی دستگاههای متصل و یافتن نقاط ضعف بیشتر
✅ سرقت اطلاعات: استخراج اطلاعات کاربری، دادههای حساس و سرقت کلیپبورد برای یافتن آدرسهای کیف پولهای رمزارزی
✅ استخراج رمزارز: اجرای ابزار XMRig برای سوءاستفاده از منابع پردازشی سیستم قربانی
خاموش کردن آنتیویروس قبل از حمله!
پیش از اجرای بدافزارها، مهاجمان بهصورت مخفیانه اقدام به غیرفعالسازی قابلیتهای امنیتی و متوقف کردن سرویسهای شناسایی ماینرها میکنند تا عملکرد خود را مخفی نگه دارند.
مقاله مرتبط: خطر امنیتی در شبکههای ارز دیجیتال! هشدارهایی درباره آسیبپذیریهای خطرناک در دوجکوین، لایتنینگ و پروتون
ردپای بدافزارها: از دانلود ابزار حمله تا اسکن وسیع اینترنت
مهاجمان از ابزارهای متعددی برای افزایش گستره حملات خود بهره میبرند، از جمله:
📌 Auto.exe : ابزاری که یک لیست پسورد (pass.txt) و لیست IP (ip.txt) را از سرور C2 دریافت کرده و برای اجرای حملات بروتفورس استفاده میکند.
📌 Masscan.exe : ابزاری پیشرفته برای اسکن انبوه IPها، کشف پورتهای باز و بررسی آسیبپذیریهای موجود.
چرا ISPها هدف قرار گرفتند؟
به نظر میرسد که مهاجمان بهطور هدفمند ارائهدهندگان خدمات اینترنت را مورد حمله قرار دادهاند، زیرا نفوذ به سرورهای ISP میتواند به آنها اجازه دهد تا به شبکههای گستردهای از کاربران و سازمانها دسترسی پیدا کنند.
جمعبندی
حملات اخیر نشان میدهند که مهاجمان از روشهای پیشرفتهای مانند حملات بروتفورس، اسکن انبوه، سرقت اطلاعات و غیرفعالسازی امنیت سیستمها برای حفظ ماندگاری در محیطهای آلوده بهره میبرند. با توجه به اینکه بیش از ۴۰۰۰ IP در این حمله مورد سوءاستفاده قرار گرفتهاند، احتمال افزایش چنین تهدیداتی در آینده بسیار زیاد است.
🔴 کاربران و سازمانها چه اقداماتی باید انجام دهند؟
✅ استفاده از پسوردهای قوی و فعالسازی احراز هویت چندمرحلهای
✅ بستن پورتهای غیرضروری و مانیتورینگ فعالیتهای غیرعادی شبکه
✅ بهروزرسانی مداوم نرمافزارهای امنیتی و آنتیویروسها
💡 نظر شما در مورد این حملات گسترده چیست؟ آیا سازمان شما هم تدابیر لازم برای مقابله با این تهدیدات را اتخاذ کرده است؟ نظرات خود را با ما به اشتراک بگذارید.
