استفاده گروه طوفان نمک از نقص امنیتی سیتریکس

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، عملیات این گروه که توسط شرکت امنیتی دارک تریس (Darktrace) مشاهده شده، شامل استفاده از روش‌های پیشرفته‌ای مانند DLL sideloading و آسیب‌پذیری‌های روز صفر (Zero-Day) بوده است؛ تکنیک‌هایی که این گروه برای نفوذ به سامانه‌ها بدون شناسایی توسط ابزارهای معمول امنیتی به‌کار می‌برد.

گروه طوفان نمک (Salt Typhoon) که با نام‌های ارث استریز (Earth Estries)، گوست امپرور (GhostEmperor) و یو ان سی 2286 (UNC2286) نیز شناخته می‌شود، از سال ۲۰۱۹ فعال است.

این گروه با مجموعه‌ای از کمپین‌های سایبری پراثر در بخش‌های حیاتی از جمله مخابرات، انرژی و سامانه‌های دولتی در بیش از ۸۰ کشور جهان مرتبط است.

در حالی که ایالات متحده یکی از اهداف اصلی این گروه بوده، اما فعالیت‌های اخیر نشان می‌دهد دامنه حملات آن‌ها اکنون به اروپا، خاورمیانه و آفریقا نیز گسترش یافته است.

عملیات این گروه معمولاً با سوءاستفاده از آسیب‌پذیری‌های موجود در فناوری‌های شرکت‌هایی مانند سیتریکس (Citrix)، فورتینت (Fortinet) و سیسکو (Cisco) انجام می‌شود.

طوفان نمک توانایی حضور طولانی‌مدت در شبکه قربانیان را دارد و با استفاده از بدافزارهای اختصاصی و تکنیک‌های پیشرفته پنهان‌سازی، داده‌های حساس را جمع‌آوری کرده و در برخی موارد حتی خدمات حیاتی را مختل می‌کند.

در گزارشی جدید که امروز منتشر شد، شرکت دارک تریس اعلام کرد در یکی از شرکت‌های مخابراتی اروپایی فعالیت‌های نفوذی‌ای شناسایی کرده است که با تاکتیک‌ها و روش‌های شناخته‌شده طوفان نمک مطابقت دارد.

این حادثه از جولای ۲۰۲۵ آغاز شد؛ زمانی که مهاجمان از دستگاه سیتریکس نت اسکیلر گیتوی (Citrix NetScaler Gateway) بهره‌برداری کردند.

سپس آن‌ها به‌صورت جانبی (lateral movement) به میزبان‌های سیتریکس ویرچوال دلیوری ایجنت (Citrix Virtual Delivery Agent) در شبکه داخلی سازمان نفوذ کردند.

برای پنهان کردن منشأ خود، مهاجمان از زیرساختی مرتبط با خدمات سافت اتر وی پی ان (SoftEther VPN) استفاده نمودند.

عاملان تهدید با استفاده از روش DLL sideloading یک در پشتی (backdoor) به نام اسنپیبی (SNAPPYBEE) که با نام دید رت (Deed RAT) نیز شناخته می‌شود را نصب کردند.

آن‌ها فایل‌های مخرب را در کنار فایل‌های اجرایی قانونی متعلق به نرم‌افزارهای آنتی‌ویروس نظیر نورتون (Norton)، بیکاو (Bkav) و آیوبیت (IObit) قرار دادند.

این روش به مهاجمان اجازه داد تا کدهای مخرب خود را تحت پوشش نرم‌افزارهای مورد اعتماد اجرا کنند و احتمال شناسایی را کاهش دهند.

این درِ پشتی از طریق پروتکل‌های HTTP و همچنین پروتکل‌های ناشناخته مبتنی بر TCP با سرورهای فرمان و کنترل (C2) ارتباط برقرار می‌کرد.

ترافیک HTTP شامل هدرهای User-Agent مرورگر اینترنت اکسپلورر و الگوهای URI مانند “/17ABE7F017ABE7F0/”  بود.

یکی از دامنه‌های فرمان و کنترل با نام aar.gandhibludtric[.]com پیش‌تر نیز به زیرساخت طوفان نمک مرتبط بوده است.

بر اساس شباهت‌های تاکتیکی، زیرساختی و بدافزاری، پژوهشگران نتیجه گرفته‌اند که این فعالیت با عملیات پیشین طوفان نمک مطابقت دارد.

این پرونده نشان‌دهنده‌ی تأکید مداوم این گروه بر پنهان‌کاری و ماندگاری از طریق سوءاستفاده از نرم‌افزارهای قانونی و استفاده از روش‌های ارتباطی چندلایه استو

شرکت دارک تریس هشدار داد:

با افزایش تلاش مهاجمان برای ادغام در عملیات عادی شبکه‌ها، شناسایی ناهنجاری‌های رفتاری برای تشخیص انحراف‌های ظریف و ارتباط میان سیگنال‌های پراکنده ضروری است. این نفوذ اهمیت دفاع پیش‌دستانه را نشان می‌دهد؛ جایی که تشخیص مبتنی بر ناهنجاری‌ها (anomaly-based detection)، نه صرفاً شناسایی امضامحور (signature-based)، نقش حیاتی در آشکارسازی فعالیت‌های اولیه حملات ایفا می‌کند.