پایگاه دانش آلما / سیمانتک بررسی حملات گروه Stonefly و نقش سیمانتک در مقابله با تهدیدات سایبری

بررسی حملات گروه Stonefly و نقش سیمانتک در مقابله با تهدیدات سایبری

بررسی حملات گروه Stonefly و نقش سیمانتک در مقابله با تهدیدات سایبری

 معرفی سیمانتک و اهمیت آن در دنیای امنیت سایبری

 سیمانتک به عنوان یکی از پیشگامان عرصه امنیت سایبری و بخشی از شرکت Broadcom، سال‌ها است که در زمینه شناسایی و مقابله با حملات پیچیده و سازمان‌یافته فعالیت می‌کند. این شرکت با استفاده از تیم‌های تخصصی و فناوری‌های پیشرفته، توانسته جایگاه ویژه‌ای در حوزه امنیت اطلاعات به‌دست آورد. سیمانتک با بهره‌گیری از شبکه گسترده تحلیل تهدیدات، حملات سایبری در سطح جهانی را شناسایی و بررسی می‌کند و نتایج این تحقیقات را به‌صورت گزارش‌های دقیق در اختیار سازمان‌ها قرار می‌دهد. یکی از نمونه‌های بارز این فعالیت‌ها، بررسی حملات گروه معروف Stonefly است که در سال‌های اخیر به‌شدت مورد توجه قرار گرفته است.

 

گروه Stonefly و سابقه فعالیت‌های آن

 گروه Stonefly که با نام‌های دیگری مانند Andariel، APT45، Silent Chollima و Onyx Sleet نیز شناخته می‌شود، یکی از گروه‌های سایبری وابسته به کره شمالی است که فعالیت‌های آن از سال 2009 میلادی آغاز شد. این گروه ابتدا با حملات توزیع‌شده منع سرویس (DDoS) علیه وب‌سایت‌های دولتی و مالی در کره جنوبی و ایالات متحده شناخته شد. در سال‌های بعد، فعالیت‌های آن توسعه یافت و حملات جاسوسی و تخریب اطلاعات نیز به فهرست اقداماتش اضافه گردید. به مرور زمان، Stonefly توانست با استفاده از بدافزارهای پیچیده و روش‌های پیشرفته نفوذ، جایگاه ویژه‌ای در میان تهدیدات سایبری پیدا کند و از یک گروه مهاجم محدود به یک شبکه گسترده و خطرناک تبدیل شود.

 

تحولات اخیر و تغییر رویکرد گروه Stonefly

 در سال‌های اولیه، فعالیت‌های گروه Stonefly بیشتر معطوف به اهداف سیاسی و نظامی و در راستای منافع کره شمالی بود. اما از سال 2019 به بعد، نشانه‌هایی از تغییر رویکرد این گروه مشاهده شد و تمرکز آن به سمت حملات مالی و باج‌گیری سایبری تغییر کرد. این تغییر جهت ناشی از نیاز رژیم کره شمالی به ارز خارجی و منابع مالی جدید بود. سیمانتک گزارش داده است که Stonefly در حملات اخیر خود علیه شرکت‌های خصوصی در ایالات متحده تلاش کرده است باج‌افزار و ابزارهای اخاذی را پیاده‌سازی کند تا از این طریق به منافع مالی دست یابد. این تحول نشان می‌دهد که حتی گروه‌هایی که سابقاً صرفاً اهداف سیاسی داشتند، اکنون به دلیل فشارهای اقتصادی به سمت جرایم مالی نیز سوق پیدا کرده‌اند.

 

جزئیات پرونده Rim Jong Hyok و واکنش ایالات متحده

 در ژوئیه 2024 وزارت دادگستری ایالات متحده علیه یک شهروند کره شمالی به نام Rim Jong Hyok کیفرخواستی صادر کرد. او متهم به عضویت در گروه Stonefly و مشارکت در حملات باج‌افزاری علیه بیمارستان‌ها و مراکز درمانی آمریکا بین سال‌های 2021 تا 2023 شد. بر اساس این کیفرخواست، وی نقش کلیدی در اخاذی و شست‌وشوی وجوه حاصل از حملات سایبری داشته و درآمد حاصل از این حملات را برای تأمین مالی عملیات‌های بعدی در حوزه‌های دفاعی، فناوری و اهداف دولتی مورد استفاده قرار داده است. دولت آمریکا علاوه بر پیگرد قانونی، جایزه‌ای 10 میلیون دلاری برای ارائه اطلاعاتی که منجر به دستگیری یا شناسایی وی شود تعیین کرد. این اقدام نشان‌دهنده اهمیت و جدیت مقابله با تهدیدات گروه‌های سایبری در سطح بین‌المللی است.

 

ابزارها و تاکتیک‌های مورد استفاده گروه Stonefly

 یکی از ویژگی‌های مهم گروه Stonefly استفاده از ابزارهای متنوع و پیشرفته برای نفوذ و کنترل سیستم‌های قربانی است. سیمانتک در تحقیقات خود نشان داده است که این گروه از بدافزار اختصاصی خود با نام Backdoor.Preft استفاده می‌کند که قابلیت نصب چندمرحله‌ای دارد و می‌تواند دستورات مختلفی از جمله بارگذاری و دانلود فایل‌ها، اجرای کد و نصب افزونه‌های جدید را اجرا کند. این بدافزار به روش‌های مختلفی در سیستم قربانی پایدار می‌ماند، از جمله از طریق ایجاد کلیدهای رجیستری، سرویس‌ها و زمان‌بندی وظایف. علاوه بر Preft، ابزارهای دیگری مانند Nukebot نیز در حملات اخیر مشاهده شده‌اند. Nukebot نوعی بک‌دور است که امکان جمع‌آوری اطلاعات، اجرای فرمان و تهیه تصاویر از صفحه نمایش را دارد.

 

همچنین این گروه از ابزارهای عمومی مانند Mimikatz برای استخراج اطلاعات هویتی استفاده کرده و نسخه سفارشی‌شده آن را به‌گونه‌ای تغییر داده که خروجی‌ها را در مسیر مشخصی ذخیره می‌کند تا کشف آن دشوارتر شود. استفاده از کی‌لاگرها، ابزارهای نفوذ مانند Sliver، Chisel و همچنین ابزارهایی برای انتقال داده‌ها به فضای ابری مانند Megatools نیز از جمله تاکتیک‌های این گروه است. همه این موارد نشان می‌دهد که Stonefly مجموعه‌ای کامل از ابزارهای جاسوسی و اخاذی را در اختیار دارد و به‌طور مداوم این مجموعه را به‌روزرسانی می‌کند.

 

شیوه‌های نفوذ و اهداف حملات اخیر

 بر اساس گزارش‌های سیمانتک، حملات اخیر این گروه در اوت 2024 علیه سه سازمان خصوصی در ایالات متحده صورت گرفته است. هرچند این حملات به دلیل تدابیر امنیتی موفق به رمزگذاری سیستم‌ها و اجرای باج‌افزار نشدند، اما هدف اصلی آن‌ها اخاذی مالی بوده است. جالب است که این سازمان‌ها هیچ‌گونه ارزش اطلاعاتی خاصی نداشتند و این موضوع نشان می‌دهد که انگیزه اصلی صرفاً مالی بوده است. استفاده از گواهی‌های جعلی، سوءاستفاده از نرم‌افزارهای شناخته‌شده و بهره‌گیری از آسیب‌پذیری‌های امنیتی، از جمله روش‌های اصلی این گروه برای نفوذ به شبکه‌های قربانی است.

 Stonefly با بهره‌گیری از ابزارهایی مانند Snap2HTML ساختار پوشه‌های سیستم قربانی را تحلیل کرده و با استفاده از ابزار FastReverseProxy دسترسی از راه دور به سرورها را امکان‌پذیر می‌کند. این مجموعه روش‌ها نشان می‌دهد که گروه مورد نظر به‌شدت سازمان‌یافته است و برنامه‌ریزی دقیقی برای هر حمله دارد.

 

واکنش‌ها و اقدامات دفاعی سیمانتک

 سیمانتک به عنوان یکی از اصلی‌ترین شرکت‌های فعال در حوزه امنیت سایبری، نقش مهمی در شناسایی و افشای فعالیت‌های این گروه ایفا کرده است. تیم Threat Hunter سیمانتک با تحلیل عمیق داده‌ها، الگوهای رفتاری و شاخص‌های نفوذ، توانسته شواهد دقیقی از حضور Stonefly در حملات اخیر ارائه دهد. یکی از مهم‌ترین اقدامات سیمانتک در این زمینه، انتشار هشدارها و بولتن‌های امنیتی است که به سازمان‌ها کمک می‌کند تا راهکارهای دفاعی خود را تقویت کنند.

 

این شرکت به‌طور مداوم به‌روزرسانی‌هایی را در محصولات امنیتی خود ارائه می‌دهد که قادر است بدافزارهای مورد استفاده Stonefly را شناسایی و مسدود کند. استفاده از فناوری‌های پیشرفته مانند یادگیری ماشین برای شناسایی تهدیدات ناشناخته و تحلیل رفتار شبکه، از جمله ابزارهای قدرتمند سیمانتک در این زمینه است.

 

اهمیت آگاهی‌بخشی و آموزش در مقابله با تهدیدات

 یکی از مهم‌ترین روش‌های مقابله با حملات گروه‌هایی مانند Stonefly، افزایش آگاهی کاربران و سازمان‌ها نسبت به تهدیدات موجود است. سیمانتک تأکید می‌کند که سازمان‌ها باید علاوه بر استفاده از راهکارهای فنی، برنامه‌های آموزشی برای کارکنان خود در نظر بگیرند تا خطر فیشینگ، سوءاستفاده از حساب‌های کاربری و حملات مهندسی اجتماعی کاهش یابد. اجرای تست‌های دوره‌ای امنیتی، شبیه‌سازی حملات و پایش مداوم شبکه‌ها از جمله اقداماتی است که می‌تواند تأثیر قابل‌توجهی در کاهش ریسک حملات سایبری داشته باشد.

 

چشم‌انداز آینده حملات Stonefly

با وجود افشای اطلاعات و کیفرخواست علیه اعضای گروه Stonefly، شواهد نشان می‌دهد که این گروه همچنان به فعالیت‌های خود ادامه می‌دهد. تغییر تاکتیک‌ها و استفاده از ابزارهای جدید نشان‌دهنده پویایی و انعطاف‌پذیری بالای آن‌ها است. انتظار می‌رود در آینده این گروه به استفاده از روش‌های پیچیده‌تر مانند حملات زنجیره تأمین و سوءاستفاده از فناوری‌های نوین روی آورد. از این رو، نقش شرکت‌هایی مانند سیمانتک در رصد مداوم تهدیدات و ارائه راهکارهای نوین امنیتی بیش از پیش حیاتی خواهد بود.

 

آلما شبکه به عنوان نماینده سیمانتک

حملات اخیر گروه Stonefly بار دیگر نشان داد که تهدیدات سایبری نه‌تنها متوقف نشده‌اند، بلکه روزبه‌روز پیچیده‌تر می‌شوند. سیمانتک با تحلیل دقیق این حملات و ارائه راهکارهای دفاعی، نقشی بی‌بدیل در تأمین امنیت سازمان‌ها ایفا می‌کند. سازمان‌ها باید از این تجربه‌ها درس گرفته و با اتخاذ راهکارهای جامع امنیتی، ریسک‌های خود را کاهش دهند. در ایران نیز شرکت آلما شبکه به عنوان نماینده رسمی سیمانتک، می‌تواند راهکارهای پیشرفته این شرکت را برای سازمان‌ها و کسب‌وکارها فراهم کند و نقش مهمی در ارتقای امنیت سایبری ایفا نماید. با توجه به روند رو به رشد تهدیدات، همکاری با شرکت‌هایی که تجربه و تخصص بالایی در حوزه امنیت دارند، ضرورتی اجتناب‌ناپذیر است.

بازخوردها
    مطالب مرتبط