playful taurus مهمان ناخوانده چینی!

cyberespionage

طبق گزارش Palo Alto Networks’ Unit 42، تجزیه و تحلیل نمونه‌ها و اتصالات به زیرساخت‌های مخرب بیانگر در معرض خطر قرار گرفتن چندین شبکه نهادهای دولتی « ایران» توسط playful taurus با نسخه جدید بدافزار BackdoorDiplomacy یا Turian می‌باشد. نسخه جدید این بدافزار دربردارنده مبهم‌سازی اضافی و یک پروتکل شبکه اصلاح شده است.

گروه تهدید دائمی پیشرفته (APT) چینی موسوم به playful taurus که با نام‌های APT15، BackdoorDiplomacy، Vixen Panda، KeChang و NICKEL نیز شناخته می‌شود و حداقل از سال ۲۰۱۰ فعال بوده و به طور معمول کمپین‌های جاسوسی سایبری ایجاد می‌نماید، نهادهای دولتی و سیاسی را در سراسر جهان به ویژه آمریکا، آفریقا و خاورمیانه هدف قرار داده است. به دنبال تکامل قابلیت‌های playful taurus، اخیراً انواع جدیدی از بدافزار Turian و زیرساخت فرمان‌دهی و کنترل (Command & Control) جدید آن شناسایی شده است. از آنجا که این گروه در حال توسعه فعال تاکتیک‌ها و ابزار خود می‌باشد لازم است تمهیدات پیشگیرانه برای مقابله با آن اندیشیده شود.

 به گزارش آزمایشگاه تحلیل بدافزار پادویش مجموعه فایل‌های مخرب و سایر شناسه‌های آلودگی (IoC) تهدید BackdoorDiplomacy یا Turian توسط بخش رصد و مانیتورینگ پادویش جمع‌آوری و به بخش تحلیل بدافزار ارجاع شده و از تاریخ ۱ و ۲ بهمن ماه توسط آنتی ویروس پادویش با عناوین مذکور در جدول‌های زیر شناسایی می‌شود. همچنین بنابر مشاهدات و داده‌های موجود در سامانه‌های ابری پادویش، تاکنون نمونه‌ای از این بدافزار در سیستم کاربران داخلی مشاهده نشده است.

شناسه‌های آلودگی  (SHA256) عنوان شناسایی پادویش تاریخ شناسایی پادویش
063065bca918d8d3a1dedcb6a42757c4dc1a05291fefc8f88068b3e03162e129 Backdoor.Win32.Webshell.aspx 2023-01-22
8549c5bafbfad6c7127f9954d0e954f9550d9730ec2e06d6918c050bf3cb19c3 Backdoor.Win32.Turian.a 2023-01-22
67c911510e257b341be77bc2a88cedc99ace2af852f7825d9710016619875e80 Backdoor.Win32.Turian.a 2023-01-22
5bb99755924ccb6882fc0bdedb07a482313daeaaa449272dc291566cd1208ed5 Backdoor.Win32.Bingoml.a 2023-01-22
ad22f4731ab228a8b63510a3ab6c1de5760182a7fe9ff98a8e9919b0cf100c58 Trojan.Win32.Bingoml.a 2023-01-22
a73a1fb104039943948401f270170a15008e202edf570a1f87168b5837b35a15 Trojan.Win32.IRCBot.a 2022-03-03
6828b5ec8111e69a0174ec14a2563df151559c3e9247ef55aeaaf8c11ef88bfa Trojan.Win32.Bingoml.a 2023-01-21
5c4d1efab73414106f2f545dd8c5a2012acff463091de6cbc307904438a3a60e Trojan.Win32.Delf.a 2019-08-19
آدرس‌های مخرب  عنوان شناسایی پادویش تاریخ شناسایی پادویش
Host: 158.247.222[.]6 HackTool.Win32.BackdoorDiplomacy.n9 2023-01-24
Host: 152.32.181[.]16 HackTool.Win32.BackdoorDiplomacy.n8 2023-01-24
delldrivers[.]in HackTool.Win32.BackdoorDiplomacy.n3 2023-01-24
adboeonline[.]net HackTool.Win32.BackdoorDiplomacy.n7 2023-01-24
indiarailways[.]net HackTool.Win32.BackdoorDiplomacy.n5 2023-01-24
mfaantivirus[.]xyz HackTool.Win32.BackdoorDiplomacy.n6 2023-01-24