پایگاه دانش سیمانتک سیمانتک و افشای موج جدید حملات سایبری چین با سوءاستفاده از آسیب‌پذیری ToolShell

سیمانتک و افشای موج جدید حملات سایبری چین با سوءاستفاده از آسیب‌پذیری ToolShell

سیمانتک و افشای موج جدید حملات سایبری چین با سوءاستفاده از آسیب‌پذیری ToolShell

نقش سیمانتک در تحلیل تهدیدات سایبری جهانی

 در سال‌های اخیر، سیمانتک به‌عنوان یکی از معتبرترین برندهای امنیت سایبری در جهان، نقش بسیار مهمی در شناسایی، تحلیل و مقابله با تهدیدات پیشرفته ایفا کرده است. گزارش‌های تهدیدمحور که به‌طور مستقیم یا غیرمستقیم با ابزارها و تکنیک‌های مورد سوءاستفاده مهاجمان مرتبط هستند، نشان می‌دهد که نام سیمانتک نه‌تنها به‌عنوان یک راهکار دفاعی بلکه حتی به‌عنوان یک پوشش فریب‌دهنده برای بدافزارها مورد توجه مهاجمان دولتی قرار گرفته است. حملات اخیر مبتنی بر آسیب‌پذیری ToolShell نمونه‌ای بارز از این واقعیت هستند که برندهای امنیتی مانند Symantec تا چه اندازه در معادلات جنگ سایبری نقش محوری دارند.

 

ToolShell و آغاز موج جدید حملات علیه زیرساخت‌های حیاتی

 آسیب‌پذیری ToolShell با شناسه CVE-2025-53770 یکی از خطرناک‌ترین رخنه‌های امنیتی سال ۲۰۲۵ محسوب می‌شود که سرورهای SharePoint داخلی را به‌طور مستقیم هدف قرار داد. این آسیب‌پذیری به مهاجمان اجازه می‌داد بدون نیاز به احراز هویت، به اجرای کد از راه دور دسترسی پیدا کنند. از دیدگاه سیمانتک، چنین آسیب‌پذیری‌هایی به‌دلیل گستردگی استفاده از SharePoint در سازمان‌های دولتی و مخابراتی، تهدیدی استراتژیک علیه زیرساخت‌های حیاتی به‌شمار می‌روند و به‌سرعت در زنجیره حملات پیچیده مورد بهره‌برداری قرار می‌گیرند.

 

سوءاستفاده مهاجمان چینی از ToolShell در خاورمیانه

 طبق شواهد منتشرشده، تنها دو روز پس از انتشار وصله امنیتی ToolShell، مهاجمان وابسته به چین موفق شدند شبکه یک شرکت مخابراتی بزرگ در خاورمیانه را آلوده کنند. این سرعت در بهره‌برداری نشان‌دهنده سطح بالای آمادگی و اتوماسیون در عملیات تهاجمی است. تحلیلگران امنیتی، از جمله متخصصان هم‌سطح با سیمانتک، این رفتار را نشانه‌ای از وجود تیم‌های اختصاصی اکسپلویت‌نویسی در گروه‌های APT چینی می‌دانند که بلافاصله پس از انتشار اطلاعات فنی، حملات عملیاتی را آغاز می‌کنند.

 

ارتباط نام سیمانتک با تکنیک‌های فریب بدافزاری

 یکی از نکات بسیار مهم این حملات، استفاده مهاجمان از فایل اجرایی با نام «mantec.exe» بوده است. این نام‌گذاری به‌وضوح تقلیدی از برند شناخته‌شده Symantec محسوب می‌شود. هدف از این اقدام، کاهش حساسیت تیم‌های امنیتی و ابزارهای مانیتورینگ بوده است، زیرا نام سیمانتک در بسیاری از سازمان‌ها با اعتماد و امنیت گره خورده است. این مسئله نشان می‌دهد که اعتبار برند سیمانتک تا چه اندازه در ذهن متخصصان امنیتی تثبیت شده که حتی مهاجمان نیز سعی می‌کنند از آن به‌عنوان پوشش استفاده کنند.

 

تحلیل تکنیک DLL Sideloading از منظر سیمانتک

 در حملات اخیر، فایل mantec.exe که در واقع نسخه‌ای قانونی از ابزار BugSplat بوده است، برای بارگذاری DLL مخرب مورد استفاده قرار گرفت. این تکنیک که به DLL Sideloading معروف است، سال‌هاست توسط سیمانتک به‌عنوان یکی از روش‌های محبوب مهاجمان پیشرفته شناسایی و مستندسازی شده است. دلیل محبوبیت این تکنیک، سوءاستفاده از مکانیزم جستجوی DLL در ویندوز و ترکیب فایل‌های قانونی با کدهای مخرب است که شناسایی را برای آنتی‌ویروس‌های سنتی دشوارتر می‌کند.

 

نقش Zingdoor در حملات و تحلیل رفتار آن

 بدافزار Zingdoor که در این حملات مورد استفاده قرار گرفت، یک بک‌دور مبتنی بر HTTP و نوشته‌شده با زبان Go است. این بدافزار نخستین‌بار در سال ۲۰۲۳ شناسایی شد و رفتار آن با الگوهای تهدیدی که پیش‌تر توسط تیم‌های تحقیقاتی مانند سیمانتک تحلیل شده‌اند، هم‌خوانی دارد. Zingdoor قابلیت جمع‌آوری اطلاعات سیستمی، اجرای دستورات و انتقال فایل‌ها را داراست و برای حفظ دسترسی پایدار در شبکه‌های قربانی استفاده می‌شود.

 

ShadowPad؛ تهدیدی همیشگی برای سازمان‌ها

 ShadowPad یکی از پیچیده‌ترین RATهای شناخته‌شده است که به‌طور گسترده با گروه‌های APT چینی مرتبط است. سیمانتک سال‌هاست که ShadowPad را به‌عنوان یک تهدید سطح بالا طبقه‌بندی کرده و ماژولار بودن آن را بزرگ‌ترین نقطه قوت این بدافزار می‌داند. در حملات اخیر، ShadowPad از طریق بارگذاری جانبی DLL و با استفاده از باینری قانونی BitDefender فعال شده است؛ روشی که نشان‌دهنده تمرکز مهاجمان بر زنجیره اعتماد نرم‌افزاری است.

 

استفاده ابزاری از نام برندهای امنیتی

 از دیدگاه راهبردی، تقلید از نام‌هایی مانند Symantec یا BitDefender تنها یک ترفند فنی نیست، بلکه یک عملیات روانی محسوب می‌شود. مهاجمان به‌خوبی می‌دانند که تیم‌های SOC در مواجهه با فایل‌هایی با نام برندهای معتبر، واکنش کمتری نشان می‌دهند. این موضوع اهمیت استفاده از راهکارهای پیشرفته EDR و XDR، مانند آنچه سیمانتک ارائه می‌دهد، را دوچندان می‌کند؛ زیرا این ابزارها صرفاً به نام فایل اکتفا نمی‌کنند و رفتار اجرایی را تحلیل می‌کنند.

 

KrustyLoader و تکامل بدافزارهای مرحله‌ای

 KrustyLoader که در ژوئیه ۲۰۲۵ در این حملات مشاهده شد، یک لودر اولیه نوشته‌شده با زبان Rust است. سیمانتک در گزارش‌های اخیر خود تأکید کرده است که استفاده از Rust در بدافزارها به‌دلیل سختی تحلیل و مهندسی معکوس رو به افزایش است. KrustyLoader با انجام بررسی‌های ضدسندباکس و ضدتحلیل، شرایط را برای تحویل محموله‌های ثانویه مانند Sliver فراهم می‌کند.

 

Sliver و سوءاستفاده از ابزارهای قانونی

 Sliver در اصل یک فریم‌ورک تست نفوذ قانونی است، اما مهاجمان دولتی و نیمه‌دولتی از آن برای فرماندهی و کنترل استفاده می‌کنند. سیمانتک بارها هشدار داده است که مرز میان ابزارهای قانونی و بدافزارها در حال کمرنگ شدن است. این مسئله باعث می‌شود سازمان‌ها نتوانند تنها با تکیه بر لیست سیاه ابزارها از خود دفاع کنند و نیازمند تحلیل رفتاری عمیق‌تر باشند.

 

ابزارهای Living-off-the-Land و چالش تشخیص

 مهاجمان در این حملات از ابزارهای بومی ویندوز مانند Certutil، Procdump و Minidump استفاده کرده‌اند. این رویکرد که به Living-off-the-Land معروف است، مدت‌هاست توسط سیمانتک به‌عنوان یکی از چالش‌های اصلی امنیت سازمانی معرفی شده است. دلیل این چالش آن است که این ابزارها به‌طور ذاتی مخرب نیستند و در بسیاری از محیط‌ها استفاده مشروع دارند.

 

PetitPotam و تهدید سرقت اعتبارنامه‌ها

 اجرای اکسپلویت PetitPotam نشان می‌دهد که هدف نهایی مهاجمان، دسترسی به اعتبارنامه‌های سطح دامنه بوده است. سیمانتک این تکنیک را یکی از خطرناک‌ترین روش‌های حرکت جانبی می‌داند، زیرا می‌تواند به تصاحب کامل اکتیودایرکتوری منجر شود. ترکیب PetitPotam با ابزارهای Dump حافظه LSASS نشان‌دهنده یک سناریوی کلاسیک ولی بسیار مؤثر نفوذ پیشرفته است.

 

گستردگی جغرافیایی حملات و پیامدهای آن

 حملات ToolShell تنها به خاورمیانه محدود نمانده و آفریقا، آمریکای جنوبی، اروپا و حتی ایالات متحده را نیز دربر گرفته است. از منظر سیمانتک، این گستردگی نشان‌دهنده عملیات اسکن انبوه و سپس انتخاب اهداف ارزشمند است. چنین الگویی معمولاً در عملیات‌های جاسوسی سایبری مشاهده می‌شود که هدف آن‌ها جمع‌آوری اطلاعات بلندمدت است.

 

جایگاه سیمانتک در دفاع در برابر APTها

 سیمانتک با تکیه بر هوش تهدید جهانی، تحلیل رفتار و یادگیری ماشین، توانایی شناسایی الگوهای پیچیده حملات APT را دارد. در سناریوهایی مانند ToolShell، راهکارهای سنتی آنتی‌ویروس کارایی محدودی دارند، اما پلتفرم‌های پیشرفته Symantec EDR می‌توانند فعالیت‌های مشکوک مانند DLL Sideloading یا سوءاستفاده از ابزارهای سیستمی را شناسایی کنند.

 

اهمیت به‌روزرسانی و مدیریت وصله‌ها

 یکی از درس‌های کلیدی این حملات، اهمیت مدیریت وصله‌ها است. با اینکه مایکروسافت وصله ToolShell را منتشر کرده بود، بسیاری از سازمان‌ها در بازه کوتاه پس از انتشار هدف حمله قرار گرفتند. سیمانتک همواره توصیه می‌کند که فرآیند Patch Management باید به‌صورت خودکار، اولویت‌بندی‌شده و مبتنی بر ریسک انجام شود.

 

آینده تهدیدات و نقش برندهای امنیتی

 با توجه به اینکه مهاجمان حتی از نام Symantec برای فریب استفاده می‌کنند، می‌توان نتیجه گرفت که برندهای امنیتی به بخشی از میدان نبرد سایبری تبدیل شده‌اند. سیمانتک نه‌تنها یک ابزار دفاعی بلکه یک مرجع تحلیلی برای شناسایی روندهای تهدید آینده است. سرمایه‌گذاری در راهکارهای جامع این شرکت می‌تواند نقش تعیین‌کننده‌ای در کاهش ریسک حملات پیچیده داشته باشد.

 

چرا سیمانتک حیاتی است

 حملات مبتنی بر ToolShell نشان داد که تهدیدات سایبری مدرن ترکیبی از آسیب‌پذیری‌های روز صفر، بدافزارهای ماژولار و عملیات فریب پیچیده هستند. در چنین شرایطی، استفاده از راهکارهای پیشرفته‌ای مانند محصولات سیمانتک دیگر یک انتخاب نیست، بلکه یک ضرورت راهبردی است. توانایی شناسایی، پاسخ و پیشگیری فعال، همان عاملی است که می‌تواند سازمان‌ها را در برابر موج جدید حملات دولتی حفظ کند.

بازخوردها
    ارسال نظر
    (بعد از تائید مدیر منتشر خواهد شد)
    • - نشانی ایمیل شما منتشر نخواهد شد.
    • - لطفا دیدگاهتان تا حد امکان مربوط به مطلب باشد.
    • - لطفا فارسی بنویسید.
    • - میخواهید عکس خودتان کنار نظرتان باشد؟ به gravatar.com بروید و عکستان را اضافه کنید.
    • - نظرات شما بعد از تایید مدیریت منتشر خواهد شد
    مطالب مرتبط