در یکی از خطرناک‌ترین موج‌های حملات سایبری اخیر، گروه معروف Lotus Panda که با نام‌هایی چون Billbug، Thrip، Bronze Elgin و Spring Dragon نیز شناخته می‌شود، مجموعه‌ای از نهادهای حساس در جنوب شرق آسیا را هدف حملات جاسوسی قرار داده است.

🎯جزئیات حمله: نفوذ به وزارتخانه و اپراتورهای مخابراتی

طبق گزارش جدید تیم Symantec Threat Hunter، این حملات از آگوست ۲۰۲۴ تا فوریه ۲۰۲۵ ادامه داشته و سازمان‌هایی مانند یک وزارتخانه دولتی، مرکز کنترل ترافیک هوایی، یک اپراتور مخابراتی و یک شرکت ساختمانی در یک کشور آسیای جنوب شرقی مورد هدف قرار گرفته‌اند. همچنین، این گروه به یک آژانس خبری و یک شرکت حمل‌ونقل هوایی در کشورهای همسایه نیز نفوذ کرده است.

🧰ابزارهای جدید: از بدافزارهای سرقت رمز عبور تا ارتباطات مخفی با SSH

Lotus Panda از ابزارهای پیچیده‌ای استفاده کرده که شامل موارد زیر است:

• Sagerunex:  backdoor اختصاصی با قابلیت سرقت اطلاعات سیستم، رمزگذاری داده‌ها و ارسال به سرورهای کنترل‌شده توسط مهاجم
• ChromeKatz و CredentialKatz: ابزارهایی برای سرقت پسوردها و کوکی‌های ذخیره‌شده در مرورگر Google Chrome
•  :Reverse SSH tool  برای ایجاد ارتباطات معکوس و دور زدن دیوارهای آتش سازمانی
• : Zrok ابزار peer-to-peer برای دسترسی از راه دور به سرویس‌های داخلی
• :DateChanger.exe ابزاری برای تغییر تاریخ فایل‌ها و پنهان‌سازی رد حمله

مهاجمان با سواستفاده از فایل‌های قانونی مانند  tmdbglog.exe مربوط به Trend Micro و bds.exe مربوط به Bitdefender فایل‌های DLL مخرب را اجرا کرده‌اند که به‌عنوان Loader برای اجرای Payloadهای رمزگذاری‌شده عمل می‌کنند.

🕵️‍♂️سابقه: Lotus Panda تهدیدی مستمر از سال ۲۰۰۹

Lotus Panda برای نخستین‌بار در سال ۲۰۱۵ توسط Palo Alto Networks شناسایی شد که از یک آسیب‌پذیری آفیس (CVE-2012-0158) برای توزیع بک‌دور Elise استفاده می‌کرد. در ادامه نیز با بهره‌برداری از آسیب‌پذیری CVE-2014-6332 در Windows OLE، بدافزار Emissary را توزیع کردند.

در گزارش ماه گذشته Cisco Talos نیز این گروه به حملاتی در فیلیپین، ویتنام، هنگ‌کنگ و تایوان متصل شده است.

✅نکات کلیدی برای مدیران امنیت شبکه

1. بررسی دقیق فایل‌های اجرایی معتبر: Sideloading از طریق فایل‌های معتبر یکی از روش‌های رایج دور زدن آنتی‌ویروس‌هاست.
2. مانیتورینگ ارتباطات P2P و ابزارهای متن‌باز: استفاده از ابزارهایی مانند Zrok باید تحت نظارت دقیق باشد.
3. پایش و تحلیل تغییرات زمان فایل‌ها: ابزارهایی نظیر datechanger.exe می‌توانند تحلیل‌های forensic را مختل کنند.

حتما بخوانید:  چشم‌انداز جهانی امنیت سایبری 2025 + راهکارها برای امنیت سایبری ایران در 1404

⚠️هشدار برای نهادهای ایرانی: آماده باشید!

با توجه به تشابه ساختاری نهادهای هدف در جنوب شرق آسیا با سازمان‌های دولتی، نظامی و صنعتی ایران، احتمال وقوع حملات مشابه در کشور ما وجود دارد. بهره‌برداری از ابزارهای قانونی برای پنهان‌سازی بدافزار و استفاده از تکنیک‌های پیشرفته برای دسترسی به شبکه‌های داخلی، زنگ خطری جدی برای شرکت ها و نهادهای ایرانی محسوب می‌شود.

🔴 توصیه‌های امنیتی به سازمان‌های ایرانی:

 استفاده از EDR (Endpoint Detection and Response) با توانایی تحلیل رفتار

 پایش رفتار فرآیندهای اجرایی مشکوک(Executable Behavior Monitoring)

 بررسی دقیق لاگ‌ها و رخدادهای غیرمعمول در شبکه‌های داخلی

 آموزش کارکنان در زمینه تشخیص ایمیل‌های فیشینگ و پیوست‌های مشکوک

 بررسی امنیت نرم‌افزارهای مجاز مانند آنتی‌ویروس‌ها

نتیجه‌گیری

حملات پیچیده و چندلایه Lotus Panda نشان می‌دهد که تهدیدات سایبری دولت‌محور، همچنان با ابزارهای نوظهور و تکنیک‌های پنهان‌کارانه به فعالیت خود ادامه می‌دهند. افزایش آگاهی مدیران شبکه و استقرار راهکارهای تشخیص رفتار غیرعادی، نقش کلیدی در مقابله با چنین تهدیداتی دارد.

🔒 برای اطلاعات بیشتر در خصوص اخبار امنیت شبکه، مقابله با تهدیدات پیشرفته و به‌روزرسانی ابزارهای دفاعی، سلام دیجی را دنبال کنید.