بدافزار پیشرفته TA397 بخش دفاعی ترکیه را هدف قرار می دهد

محققان امنیتی اخیراً یک حمله فیشینگ پیچیده را کشف کرده اند که یک سازمان بخش دفاعی ،یه را هدف قرار می دهد و تاکتیک های پیچیده عامل تهدید TA397 را برجسته می کند که به نام «تلخ» نیز شناخته می شود.

این کمپین که توسط Proofpoint نظارت می شود، ایمیل های فیشینگ حاوی بایگ، های RAR را برای ارائه ب،زار از طریق مک،سم های پیشرفته از جمله جریان های داده جایگزین NTFS (ADS) و وظایف برنامه ریزی شده به کار برد.

ایمیل فیشینگ از خط موضوع «پروژه های سرمایه گذاری عمومی 2025 _ MADAGASCAR» استفاده می کرد، که مشخصه کمپین های هدفمند TA397 است، که اغلب بر سازمان های بخش عمومی و پروژه های زیرساختی تمرکز دارند. در داخل فایل RAR ضمیمه شده، قرب،ان یک فایل میانبر (LNK) را پیدا ،د که به صورت یک فایل PDF پنهان شده بود، یک فایل PDF قانونی مخفی و فایل های NTFS ADS.

این اجزا برای اجرای دستورات م،ب PowerS، و تثبیت پایداری سیستم آلوده با هم کار می ،د.

هنگام باز ، بایگ، RAR، فایل LNK دستورات مخفی PowerS، را که در تبلیغات با ،وان "اشتراک گذاری" ذخیره شده بود، اجرا می کرد. این دستورات سند PDF قانونی قرب، را در حین ایجاد یک کار برنامه ریزی شده به نام "DsSvcCleanup" نمایش می دهند.

این کار هر 17 دقیقه داده های دستگاه را به دامنه مرحله بندی که توسط TA397، jacknwoods(.)com کنترل می شود، منتقل می کرد. مهاجمان به صورت دستی به این موارد ارسالی پاسخ دادند و دو نوع بار - WmRAT و MiyaRAT - را از طریق نصب کننده های دانلود شده MSI مستقر ،د.

درباره تهدیدات RAT بیشتر بخو،د: هکرهای چینی از درب پشتی "Noodle RAT" استفاده می کنند.

ب،زار پیشرفته در محل کار

WmRAT که در C++ نوشته شده است، از عملکردهایی مانند فیلتر ، فایل، اجرای دستورات دلخواه و گرفتن اسکرین شات پشتیب، می کند. MiyaRAT، یکی دیگر از ب،زارهای C++، قابلیت های مشابهی دارد، اما شامل عملکردهای دقیق تر، مانند دستورات پوسته مع، و شمارش فهرست پیشرفته است.

هر دو RAT با دامنه های فرماندهی و کنترل (C2) جداگانه کنترل شده توسط مهاجم ارتباط برقرار می کنند و به نظر می رسد که MiyaRAT برای اه، با ارزش بالا در نظر گرفته شده است.

شبکه و اسناد

زیرساخت مورد استفاده در این کمپین شامل مرحله بندی و دامنه های C2، با ال،ای ضبط مرتبط با فعالیت قبلی TA397 بود. محققان این کمپین را به تلاش های جاسوسی که احتمالاً از ،ت آسیای ج،ی حمایت می کنند، بر اساس هدف گیری تاریخی نهادهای دفاعی و بخش عمومی در اروپا، خاورمیانه، آفریقا و مناطق آسیا-اقیانوسیه نسبت می دهند.

Proofpoint اشاره کرد که TA397 در ساعات کاری UTC+5:30 به کار خود ادامه می دهد و شک و تردیدها را در مورد اتصال آن به ج، آسیا تقویت می کند.