زیرگروه عوامل تهدید روسیه تحت عنوان APT44 (معروف به ‘Seashell Blizzard’ و ‘Sandworm‘) که سازمانهای دولتی را هدف قرار میدهد، به عملیات دسترسی اولیه در کمپین چند ساله ‘BadPilot’ نسبت داده شده که در سراسر جهان گسترش یافته است.
تیم شناسایی تهدید مایکروسافت اعلام کرد که عوامل تهدید APT44 بر دستیابی به دسترسی اولیه روی سیستمهای هدف، ایجاد پایداری و حفظ حضور به منظور اجازه دادن به دیگر زیر گروههای APT44 با تخصص پس از نفوذ برای کنترل متمرکز بودهاند. گستره جغرافیایی اهداف زیرگروه دسترسی اولیه شامل کل آمریکای شمالی، چندین کشور در اروپا و همچنین کشورهای دیگر از جمله آنگولا، آرژانتین، استرالیا، چین، مصر، هند، قزاقستان، میانمار، نیجریه، پاکستان، ترکیه و ازبکستان است.
نفوذگران از آسیبپذیریهای زیر برای نفوذ به سیستمها استفاده کردهاند و پس از اکسپلویت از آسیبپذیریها، به منظور کسب دسترسی با استفاده از وبشلهای سفارشی مانند ‘LocalOlive‘ اقدام به ایجاد پایداری کردهاند:
- آسیبپذیری CVE-2021-34473 با امتیاز 9.8 در Microsoft Exchange
- آسیبپذیری CVE-2022-41352 با امتیاز 9.8 در Zimbra Collaboration Suite
- آسیبپذیری CVE-2023-32315 با امتیاز 8.6 در OpenFire
- آسیبپذیری CVE-2023-42793 با امتیاز 9.8 در JetBrains TeamCity
- آسیبپذیری CVE-2023-23397 با امتیاز 9.8 در مایکروسافت Outlook
- آسیبپذیری CVE-2024-1709 با امتیاز 10.0 در ConnectWise ScreenConnect
- آسیبپذیری CVE-2023-48788 با امتیاز 9.8 در Fortinet FortiClient EMS
https://www.bleepingcomputer.com/news/security/badpilot-network-hacking-campaign-fuels-russian-sandworm-attacks/
https://thehackernews.com/2025/02/microsoft-uncovers-sandworm-subgroups.html
