قیمت چند مجوز تخفیف
پایگاه داده تهدید تهدید مداوم پیشرفته (APT) حمله فیشینگ TA416

حمله فیشینگ TA416

تا Mezo در تهدید مداوم پیشرفته (APT), بدافزار, فیشینگ
ترجمه به:

از اواسط سال ۲۰۲۵، یک عامل تهدید مرتبط با چین، پس از تقریباً دو سال کاهش فعالیت در منطقه، با تمرکز قوی بر نهادهای دولتی و دیپلماتیک اروپایی دوباره ظهور کرده است. این کمپین به TA416 نسبت داده شده است، یک خوشه تهدید که با DarkPeony، RedDelta، Red Lich، SmugX، UNC6384 و Vertigo Panda نیز مرتبط است.

این عملیات‌ها عمدتاً مأموریت‌های دیپلماتیک مرتبط با اتحادیه اروپا و ناتو را در چندین کشور هدف قرار داده‌اند. این کمپین‌ها شامل موج‌های هماهنگ‌شده‌ای شامل ردیابی باگ‌های وب و ارسال بدافزار هستند که نشان‌دهنده یک تلاش ساختاریافته و مداوم برای جمع‌آوری اطلاعات است.

گسترش دامنه فعالیت‌ها به دلیل تنش‌های ژئوپلیتیکی

گروه TA416 دامنه عملیاتی خود را فراتر از اروپا گسترش داده و پس از تشدید درگیری ایالات متحده، اسرائیل و ایران در فوریه 2026، کمپین‌هایی را علیه سازمان‌های دولتی و دیپلماتیک در خاورمیانه آغاز کرده است.

این گسترش نشان‌دهنده‌ی تلاشی استراتژیک برای جمع‌آوری اطلاعات حساس منطقه‌ای است و نشان می‌دهد که چگونه اولویت‌های هدف‌گیری این گروه با تحولات ژئوپلیتیکی در حال تحول، همسو است.

اکوسیستم‌های تهدید همپوشانی و تکنیک‌های مشترک

TA416 همپوشانی‌های فنی قابل توجهی با یک خوشه تهدید پیشرفته دیگر که معمولاً با نام Mustang Panda شناخته می‌شود و با نام‌های CerenaKeeper، Red Ishtar و UNK_SteadySplit نیز شناخته می‌شود، دارد. هر دو گروه در مجموع تحت طبقه‌بندی‌های گسترده‌تری مانند Earth Preta، Hive0154، HoneyMyte، Stately Taurus، Temp.HEX و Twill Typhoon ردیابی می‌شوند.

در حالی که TA416 در درجه اول با انواع بدافزارهای سفارشی PlugX مرتبط است، Mustang Panda اغلب از ابزارهایی مانند TONESHELL، PUBLOAD و COOLCLIENT استفاده می‌کند. با وجود این تفاوت‌ها، هر دو گروه به شدت به بارگذاری جانبی DLL به عنوان یک تکنیک اجرای اصلی متکی هستند و روش‌های عملیاتی مشترکی را نشان می‌دهند.

زنجیره‌های عفونت تطبیقی و تکنیک‌های انتقال

TA416 با تکامل مداوم زنجیره‌های آلودگی خود، انعطاف‌پذیری بالایی را نشان داده است. تکنیک‌های مشاهده‌شده در این کمپین‌ها شامل سوءاستفاده از صفحات تأیید Cloudflare Turnstile، سوءاستفاده از مکانیسم‌های تغییر مسیر OAuth و استفاده از فایل‌های پروژه مخرب C# است.

این گروه بدافزارها را از طریق ایمیل‌های فیشینگ ارسال شده از حساب‌های کاربری فری‌میل توزیع می‌کند. این پیام‌ها اغلب شامل پیوندهایی به بایگانی‌های مخرب میزبانی شده در پلتفرم‌هایی مانند Microsoft Azure Blob Storage، Google Drive، دامنه‌های تحت کنترل مهاجم یا محیط‌های SharePoint آسیب‌پذیر هستند.

یک تکنیک شناسایی کلیدی شامل استفاده از باگ‌های وب، عناصر ردیابی کوچک نامرئی تعبیه شده در ایمیل‌ها است. وقتی این باگ‌ها باز می‌شوند، درخواست‌های HTTP را فعال می‌کنند که ابرداده‌های گیرنده مانند آدرس IP، عامل کاربر و زمان دسترسی را افشا می‌کنند و به مهاجمان اجازه می‌دهند تا تعامل را تأیید کرده و هدف‌گیری را اصلاح کنند.

سوءاستفاده از OAuth و انتشار بدافزار مبتنی بر ابر

در اواخر سال ۲۰۲۵، کمپین‌های TA416 از نقاط پایانی مجوز OAuth مایکروسافت استفاده کردند. قربانیانی که روی لینک‌های فیشینگ کلیک می‌کردند، قبل از اینکه مخفیانه به زیرساخت‌های تحت کنترل مهاجم که میزبان بارهای مخرب بودند، هدایت شوند، از طریق جریان‌های احراز هویت معتبر هدایت می‌شدند.

تا اوایل سال ۲۰۲۶، این گروه با توزیع آرشیوها از طریق گوگل درایو و نفوذ به نمونه‌های SharePoint، رویکرد خود را بیشتر اصلاح کرد. این آرشیوها حاوی فایل‌های اجرایی قانونی مایکروسافت MSBuild در کنار فایل‌های مخرب پروژه C# بودند که یک مسیر اجرایی فریبنده اما مؤثر ایجاد می‌کردند.

بهره‌برداری از MSBuild و استقرار چند مرحله‌ای Payload

ابزار MSBuild نقش حیاتی در زنجیره آلودگی TA416 ایفا می‌کند. وقتی اجرا می‌شود، به‌طور خودکار فایل‌های پروژه را در دایرکتوری کاری پیدا و کامپایل می‌کند. در این حملات، فایل‌های مخرب CSPROJ به‌عنوان دانلودکننده‌هایی عمل می‌کنند که URLهای کدگذاری‌شده با Base64 را رمزگشایی کرده و اجزای اضافی payload را بازیابی می‌کنند.

این فرآیند شامل دانلود یک بسته‌ی بارگذاری جانبی DLL، ذخیره‌ی آن در یک دایرکتوری موقت و اجرای یک فایل باینری قانونی است که بدافزار PlugX را بارگذاری می‌کند. این رویکرد چند مرحله‌ای، پنهان‌کاری را افزایش داده و تشخیص را پیچیده می‌کند.

قابلیت‌ها و ماندگاری درِ پشتیِ PlugX

PlugX همچنان یکی از اجزای اصلی عملیات TA416 است و علیرغم تغییرات در مکانیسم‌های توزیع، به طور مداوم در کمپین‌ها مستقر می‌شود. این بدافزار ارتباط رمزگذاری شده‌ای با زیرساخت فرماندهی و کنترل برقرار می‌کند و قبل از اجرا، بررسی‌های ضد تحلیلی انجام می‌دهد تا از شناسایی شدن جلوگیری کند.

قابلیت آن امکان کنترل گسترده سیستم و استخراج داده‌ها را فراهم می‌کند. قابلیت‌های اصلی آن عبارتند از:

  • جمع‌آوری اطلاعات دقیق سیستم
  • حذف خود برای فرار از تحلیل‌های پزشکی قانونی
  • اصلاح فواصل ارتباطی با سرورهای فرمان
  • دانلود و اجرای پیلودهای اضافی
  • ایجاد دسترسی معکوس به پوسته برای کنترل از راه دور

تکامل مداوم و هدف‌گذاری استراتژیک

بازگشت TA416 به اهداف اروپایی پس از تمرکز بر جنوب شرقی آسیا و مغولستان، نشان‌دهنده تأکید مجدد بر جمع‌آوری اطلاعات مرتبط با اتحادیه اروپا و ناتو است. همزمان، گسترش به عملیات خاورمیانه، نشان‌دهنده پاسخگویی این گروه به درگیری‌های جهانی است.

تمایل عامل تهدید به تکرار تکنیک‌ها، از صفحات تأیید جعلی گرفته تا سوءاستفاده از OAuth و اجرای مبتنی بر MSBuild، نشان‌دهنده تعهد مداوم به فرار و اثربخشی عملیاتی است. اصلاح مداوم بدافزار PlugX آن، نقش آن را به عنوان یک تهدید جاسوسی سایبری پیچیده و تطبیق‌پذیر، بیشتر برجسته می‌کند.

پرطرفدار

کلاهبرداری آقای بیست در دیسکورد

فیشینگ, هرزنامه
ایمن ماندن در فضای آنلاین نیازمند آگاهی مداوم و سطح سالمی از شک و تردید است. مجرمان سایبری به طور فزاینده‌ای از روندهای محبوب و چهره‌های مورد اعتماد برای فریب کاربران سوءاستفاده می‌کنند و کلاهبرداری‌های مرتبط با اینفلوئنسرهای شناخته‌شده رایج‌تر می‌شوند. کلاهبرداری Mr Beast Discord نمونه بارزی از چگونگی سوءاستفاده مهاجمان از اعتماد و کنجکاوی برای به خطر انداختن حساب‌ها، سرقت داده‌ها و انتشار...

کلاهبرداری ایمیلی با عنوان «ابر شما غیرفعال است»

فیشینگ, هرزنامه
ایمیل‌های غیرمنتظره، به ویژه آنهایی که باعث ایجاد فوریت یا نگرانی می‌شوند، باید همیشه با احتیاط مورد بررسی قرار گیرند. مجرمان سایبری اغلب پیام‌های کلاهبرداری را به عنوان اعلان‌های قانونی پنهان می‌کنند تا گیرندگان را به انجام اقدامات مضر فریب دهند. تأکید بر این نکته مهم است که کلاهبرداری‌هایی مانند ایمیل‌های «ابر شما غیرفعال است» با هیچ شرکت، سازمان یا ارائه‌دهنده خدمات قانونی مرتبط نیستند....

پربیننده ترین

بارگذاری...