iفین تک (ای فین تک - آی فین تک)

مقدمه‌ای بر حمله جدید سایبری با منشأ روسی

به گزارش iفین‌تک، یک گروه پیشرفته تهدید مستمر (APT) با منشأ روسی، با بهره‌برداری از یک آسیب‌پذیری به نام MSC EvilTwin، اقدام به تزریق بدافزارهای SilentPrism و DarkWisp در زیرساخت‌های دیجیتال سازمان‌های هدف کرده است. این حملات، که از اوایل سال ۲۰۲۵ آغاز شده‌اند، به‌عنوان بخشی از یک کمپین جاسوسی سایبری گسترده تحلیل شده‌اند که با هدف دسترسی بلندمدت و مخفی به داده‌های حساس طراحی شده‌اند.

بررسی فنی آسیب‌پذیری MSC EvilTwin

MSC EvilTwin یک آسیب‌پذیری در لایه احراز هویت شبکه‌های بی‌سیم سازمانی است که امکان جعل گواهینامه‌ها و پیاده‌سازی حملات "man-in-the-middle" را برای مهاجم فراهم می‌سازد. به کمک این نقص، مهاجم می‌تواند ارتباطات رمزگذاری‌شده را شنود کرده و بدافزار خود را بدون شناسایی در سیستم هدف نصب کند.

این نقص اولین بار توسط تیم امنیتی ThreatStorm کشف شد، اما تا پیش از بهره‌برداری گسترده توسط گروه‌های APT روسی، توجه چندانی به آن نشده بود.

معرفی بدافزارهای SilentPrism و DarkWisp

دو بدافزار SilentPrism و DarkWisp دارای ویژگی‌های پیچیده‌ای هستند که آن‌ها را از سایر ابزارهای مخرب متمایز می‌کند:

SilentPrism: این بدافزار با قابلیت پنهان‌سازی کامل در حافظه RAM، قادر است از طریق ماژول‌های رمزنگاری شده ارتباطات مخفیانه با سرور فرمان و کنترل (C2) برقرار کند. وظیفه اصلی آن جمع‌آوری داده‌های طبقه‌بندی‌شده و ارسال امن به سرور مهاجم است.

DarkWisp: این بدافزار به‌عنوان backdoor در سیستم باقی می‌ماند و در صورت شناسایی و پاک‌سازی SilentPrism، قادر به نصب مجدد آن یا اجرای دستورات جدید مهاجم است.

هر دو بدافزار از تکنیک‌های پیشرفته obfuscation برای فرار از ردیابی و تشخیص بهره می‌برند و توسط آنتی‌ویروس‌های سنتی به‌سختی شناسایی می‌شوند.

دامنه قربانیان و اهداف احتمالی

بر اساس گزارش تحلیل‌گران ThreatStorm و همچنین مشاهدات دیگر نهادهای امنیتی بین‌المللی، قربانیان این حملات عمدتاً شامل نهادهای دولتی، شرکت‌های فین‌تک، سازمان‌های انرژی و زیرساخت‌های حیاتی در کشورهای اروپای شرقی، آمریکای شمالی و آسیای میانه بوده‌اند.

هدف این حملات بیشتر در جهت جمع‌آوری اطلاعات راهبردی و ایجاد دسترسی پنهان در سیستم‌های حساس تحلیل شده است. به‌نظر می‌رسد این عملیات بخشی از راهبرد سایبری بلندمدت روسیه در مقابله با قدرت‌های غربی است.

واکنش جامعه امنیتی و وصله‌های امنیتی

پس از افشای این حمله، سازمان‌های امنیت سایبری نظیر CISA، ENISA و CERT-EU هشدارهایی درباره آسیب‌پذیری EvilTwin و فعالیت این دو بدافزار منتشر کردند. برخی از تولیدکنندگان سیستم‌عامل‌ها و راهکارهای امنیتی نیز به‌سرعت وصله‌هایی برای محافظت از سیستم‌ها منتشر کرده‌اند.

با این حال، بسیاری از کارشناسان معتقدند که مقابله با این تهدیدها نیازمند تغییرات ساختاری در نحوه طراحی پروتکل‌های احراز هویت و رمزنگاری در سطح شبکه‌های شرکتی است.

تحلیل آی فین‌تک: زنگ خطری برای زیرساخت‌های حیاتی

تحلیل آی فین‌تک نشان می‌دهد که حملاتی از این دست نشان‌دهنده ورود به مرحله‌ای جدید از جنگ سایبری سازمان‌یافته هستند. ترکیب نقص‌های سیستمی، بدافزارهای غیرقابل ردیابی و اهداف راهبردی، بیانگر تغییر جهت تهدیدات از انگیزه‌های مالی به مقاصد اطلاعاتی و ژئوپلیتیکی است.

برای سازمان‌های فین‌تک و مؤسسات مالی، که به‌شدت به زیرساخت‌های دیجیتال متکی هستند، افزایش سطح نظارت و استفاده از راهکارهای امنیتی چندلایه امری ضروری است. همچنین آموزش کارکنان در حوزه فیشینگ و مهندسی اجتماعی باید در دستور کار قرار گیرد تا از ورود اولیه مهاجمان جلوگیری شود.

به گزارش آی فین‌تک، حمله اخیر از طریق نقص MSC EvilTwin با بهره‌برداری از بدافزارهای SilentPrism و DarkWisp، نمونه‌ای آشکار از حملات پیچیده‌ی مدرن است که کشورها و شرکت‌های حساس باید برای مقابله با آن آمادگی داشته باشند. هشدارها و گزارش‌های امنیتی نباید صرفاً خوانده شوند، بلکه باید به اقدام عملی تبدیل شوند تا از بروز فاجعه‌های سایبری پیشگیری شود.