به گزارش کارگروه حملات سایبری سایبربان؛ محققین امنیت سایبری زیرساخت کنترل و فرمان جدیدی را شناسایی کرده اند که ظاهرا متعلق به گروه هکری APT29 یا Cozy Bear روسیه می باشد.
محققین مدعی هستند این زیرساخت با استفاده از بدافزار WellMess، کمپین سایبری فعالی را به پیش می برد.
شرکت RiskIQ در گزارشی ادعا کرد که تا به الان بیش از 30 سرور کنترل و فرمان مورد استفاده ی سرویس اطلاعات خارجی روسیه شناسایی شده است.
گروه APT29 سال گذشته به حمله به شرکت بزرگ سولارویندز متهم شد.
شرکت های امنیت سایبری مانند فایرآی، مایکروسافت، کرَود استرایک، وُلِکسیتی و Secureworks به طور مداوم فعالیت APT29 را زیر نظر دارند و بر این باورند که این گروه از تاکتیک ها و روش های متفاوتی نسبت به آن چه که تصور می شد بهره مند است.
بدافزار WellMess که اولین بار توسط JPCERT ژاپن شناسایی شد، پیش از این در کمپین های جاسوسی صورت گرفته به نهادهای مرتبط با کووید-19 کانادا، آمریکا و بریتانیا، مورد استفاده گروه نام برده قرار داشته است.
مرکز ملی امنیت سایبری بریتانیا معتقد است که APT29 با استفاده از ابزارها و پروسه های متنوعی نهادهای دولتی، دیپلماتیک، مراقبت بهداشتی و اندیشکده ها را با هدف جمع آوری اطلاعات، مورد هدف قرار می دهد.
RiskIQ پس از پرده برداری عمومی از سرور جدید کنترل و فرمان WellMess، بیش از 30 سرور کنترل و فرمان فعال را شناسایی کرد. تصور می شود یکی از این سرورها از 9 اکتبر 2020 تا به الان فعال بوده است.
این اولین بار نیست که RiskIQ سرورهای کنترل و فرمان دخیل در رویداد سولارویندز را شناسایی می کند. این شرکت تابع مایکروسافت، پیش از این 18 سرور دخیل در حمله به سولارویندز را شناسایی کرده بود.
این شرکت مدعی است که تا به الان نتوانسته ایم هیچ گونه ارتباطی را میان این زیرساخت جدید و رویداد سولارویندز شناسایی کنیم.
