گزارش‌های منتشرشده از سوی تیم تحقیقاتی Trustwave SpiderLabs از افزایش چشمگیر فعالیت‌های مخرب، شامل اسکن انبوه، حملات Brute-Force و بهره‌برداری از آسیب‌پذیری‌ها، از طریق آدرس‌های IP مرتبط با سرویس میزبانی روسی Proton66 خبر می‌دهند. این فعالیت‌ها از تاریخ ۸ ژانویه ۲۰۲۵ آغاز شده و سازمان‌های متعددی در سراسر جهان را هدف قرار داده‌اند.

نقش کلیدی دو Net Block مشکوک

بررسی‌های فنی نشان می‌دهد که دو بازه IP با شماره‌های 45.135.232.0/24 و 45.140.17.0/24 به‌طور خاص در این حملات فعال بوده‌اند. نکته قابل‌توجه آن است که بسیاری از IPهای مورداستفاده، پیش‌تر سابقه‌ای در زمینه فعالیت‌های مخرب نداشتند یا برای مدت طولانی غیرفعال بوده‌اند.

ساختار و ماهیت Proton66

Proton66 یک سرویس Bulletproof Hosting محسوب می‌شود که به مهاجمان فضای سایبری اجازه می‌دهد بدون نگرانی از حذف محتوا یا پیگرد قانونی، فعالیت‌های خود را ادامه دهند. بررسی‌ها نشان می‌دهد این سرویس با سیستم خودمختار دیگری به نام PROSPERO در ارتباط بوده و پیش‌تر نیز توسط شرکت امنیتی Intrinsec با برندهای Securehost و BEARHOST در فروم‌های زیرزمینی روسی معرفی شده است.

بهره‌برداری از آسیب‌پذیری‌های روز و حملات هدفمند

در جریان تحلیل‌های انجام‌شده، فعالیت‌هایی از IP 193.143.1[.]65 مشاهده شده که تلاش داشته‌اند از آسیب‌پذیری‌های بحرانی و نسبتاً جدیدی بهره‌برداری کنند، از جمله:

• CVE-2025-0108: آسیب‌پذیری Bypass احراز هویت در PAN-OS (Palo Alto Networks)

• CVE-2024-41713: آسیب‌پذیری در ماژول NPM در Mitel MiCollab

• CVE-2024-10914: آسیب‌پذیری Command Injection در D-Link NAS

• CVE-2024-55591 و CVE-2025-24472: دو آسیب‌پذیری احراز هویت در Fortinet FortiOS

بر اساس یافته‌ها، گروهی با نام Mora_001 که به‌عنوان Initial Access Broker شناخته می‌شود، در بهره‌برداری از این باگ‌ها و انتشار باج‌افزاری با عنوان SuperBlack نقش داشته است.

حتما بخوانید: هشدار جدی برای توسعه‌دهندگان: بسته‌های npm جعلی با SSH Backdoor و Reverse Shell به سیستم‌های لینوکسی نفوذ می‌کنند.

زیرساختی برای توزیع بدافزارهای متنوع

ساختارهای تحت کنترل Proton66 به‌عنوان میزبان چندین کمپین بدافزاری شناخته شده‌اند. بدافزارهایی نظیر:

• XWorm

• StrelaStealer

• WeaXor (نسخه‌ای توسعه‌یافته از Mallox)

از جمله نمونه‌هایی هستند که از طریق این زیرساخت توزیع شده‌اند.

یکی از کمپین‌ها از طریق وب‌سایت‌های وردپرسی آسیب‌پذیر، کاربران اندرویدی را به صفحات فیشینگ مشابه Google Play هدایت کرده و تلاش داشته تا کاربران اسپانیایی، فرانسوی و یونانی‌زبان را ترغیب به نصب فایل‌های APK مخرب کند.

همچنین، فایل‌های ZIP آلوده شامل اسکریپت‌هایی برای نصب XWorm از IPهای متعلق به Proton66 کشف شده‌اند که قربانیان کره‌ای‌زبان را هدف قرار می‌دادند.

در یکی دیگر از نمونه‌ها، کمپین فیشینگ طراحی‌شده برای کاربران آلمانی با هدف توزیع StrelaStealer شناسایی شد که با IP 193.143.1[.]205 در ارتباط بوده است.

اقدامات پیشگیرانه توصیه‌شده

به سازمان‌ها توصیه می‌شود جهت کاهش سطح تهدید، کلیه محدوده‌های CIDR مرتبط با Proton66 و همچنین شرکت Chang Way Technologies (مستقر در هنگ‌کنگ) را در سطح شبکه مسدود کنند. این اقدام می‌تواند به‌طور مؤثر مسیر ارتباطی بسیاری از کمپین‌های مخرب آتی را قطع کند.