طبق گزارش Palo Alto Networks’ Unit 42، تجزیه و تحلیل نمونهها و اتصالات به زیرساختهای مخرب بیانگر در معرض خطر قرار گرفتن چندین شبکه نهادهای دولتی « ایران» توسط playful taurus با نسخه جدید بدافزار BackdoorDiplomacy یا Turian میباشد. نسخه جدید این بدافزار دربردارنده مبهمسازی اضافی و یک پروتکل شبکه اصلاح شده است.
گروه تهدید دائمی پیشرفته (APT) چینی موسوم به playful taurus که با نامهای APT15، BackdoorDiplomacy، Vixen Panda، KeChang و NICKEL نیز شناخته میشود و حداقل از سال ۲۰۱۰ فعال بوده و به طور معمول کمپینهای جاسوسی سایبری ایجاد مینماید، نهادهای دولتی و سیاسی را در سراسر جهان به ویژه آمریکا، آفریقا و خاورمیانه هدف قرار داده است. به دنبال تکامل قابلیتهای playful taurus، اخیراً انواع جدیدی از بدافزار Turian و زیرساخت فرماندهی و کنترل (Command & Control) جدید آن شناسایی شده است. از آنجا که این گروه در حال توسعه فعال تاکتیکها و ابزار خود میباشد لازم است تمهیدات پیشگیرانه برای مقابله با آن اندیشیده شود.
به گزارش آزمایشگاه تحلیل بدافزار پادویش مجموعه فایلهای مخرب و سایر شناسههای آلودگی (IoC) تهدید BackdoorDiplomacy یا Turian توسط بخش رصد و مانیتورینگ پادویش جمعآوری و به بخش تحلیل بدافزار ارجاع شده و از تاریخ ۱ و ۲ بهمن ماه توسط آنتی ویروس پادویش با عناوین مذکور در جدولهای زیر شناسایی میشود. همچنین بنابر مشاهدات و دادههای موجود در سامانههای ابری پادویش، تاکنون نمونهای از این بدافزار در سیستم کاربران داخلی مشاهده نشده است.
| شناسههای آلودگی (SHA256) | عنوان شناسایی پادویش | تاریخ شناسایی پادویش |
| 063065bca918d8d3a1dedcb6a42757c4dc1a05291fefc8f88068b3e03162e129 | Backdoor.Win32.Webshell.aspx | 2023-01-22 |
| 8549c5bafbfad6c7127f9954d0e954f9550d9730ec2e06d6918c050bf3cb19c3 | Backdoor.Win32.Turian.a | 2023-01-22 |
| 67c911510e257b341be77bc2a88cedc99ace2af852f7825d9710016619875e80 | Backdoor.Win32.Turian.a | 2023-01-22 |
| 5bb99755924ccb6882fc0bdedb07a482313daeaaa449272dc291566cd1208ed5 | Backdoor.Win32.Bingoml.a | 2023-01-22 |
| ad22f4731ab228a8b63510a3ab6c1de5760182a7fe9ff98a8e9919b0cf100c58 | Trojan.Win32.Bingoml.a | 2023-01-22 |
| a73a1fb104039943948401f270170a15008e202edf570a1f87168b5837b35a15 | Trojan.Win32.IRCBot.a | 2022-03-03 |
| 6828b5ec8111e69a0174ec14a2563df151559c3e9247ef55aeaaf8c11ef88bfa | Trojan.Win32.Bingoml.a | 2023-01-21 |
| 5c4d1efab73414106f2f545dd8c5a2012acff463091de6cbc307904438a3a60e | Trojan.Win32.Delf.a | 2019-08-19 |
| آدرسهای مخرب | عنوان شناسایی پادویش | تاریخ شناسایی پادویش |
| Host: 158.247.222[.]6 | HackTool.Win32.BackdoorDiplomacy.n9 | 2023-01-24 |
| Host: 152.32.181[.]16 | HackTool.Win32.BackdoorDiplomacy.n8 | 2023-01-24 |
| delldrivers[.]in | HackTool.Win32.BackdoorDiplomacy.n3 | 2023-01-24 |
| adboeonline[.]net | HackTool.Win32.BackdoorDiplomacy.n7 | 2023-01-24 |
| indiarailways[.]net | HackTool.Win32.BackdoorDiplomacy.n5 | 2023-01-24 |
| mfaantivirus[.]xyz | HackTool.Win32.BackdoorDiplomacy.n6 | 2023-01-24 |
