تصویر مرتبط با خبر: UAT-11795 deploys novel Starland RAT and bespoke WLDR C2 implant in financially motivated campaign
خلاصه سریع
اصل خبر در چند خط
سیسکو تالوس کمپینی مخرب را افشا کرد که توسط گروه روسزبان UAT-11795 با انگیزه مالی اجرا میشود.
این گروه از ژوئن ۲۰۲۵ با استفاده از ابزارهای پیشرفتهای همچون Starland RAT و ایمپلنت WLDR C2، کاربران در آمریکا و اروپا را هدف قرار داده است.
WLDR یک ابزار مبتنی بر PowerShell با قابلیتهای رمزگذاری، صفبندی وظایف و اجرای بارهای مخرب اضافی است.
مهاجم همچنین از CastleStealer و Remcos RAT به عنوان بارهای مخرب جایگزین استفاده میکند.
هدف اصلی سرقت اعتبارنامهها و داراییهای ارز دیجیتال قربانیان است.
زیرساخت توزیعشده مهاجم شامل دامنههای مرحلهبندی و C2 پایدار است که با ترافیک قانونی ادغام میشوند.
طعمههای مورد استفاده شامل نصبکنندههای تروجانشده نرمافزارهای محبوب مانند WebEx، Zoom و ابزارهای مدیریت پایگاه داده است.
متن خبر
شرح خبر
سیسکو تالوس از فعالیت یک مهاجم پیچیده روسزبان با انگیزه مالی به نام UAT-11795 پرده برداشت که از ژوئن ۲۰۲۵ کمپینی مخرب را علیه کاربران در ایالات متحده و اروپا اجرا میکند.
این مهاجم در این کمپین از ابزار دسترسی از راه دور مبتنی بر پایتون به نام «Starland RAT» و ایمپلنت حافظهای کنترل و فرمان (C2) به نام «WLDR agent» استفاده میکند.
ایمپلنت WLDR، ابزاری پیشرفته مبتنی بر PowerShell، از ویژگیهایی همچون سیگنالدهی رمزگذاریشده، صفبندی وظایف و موتور اجرا در Runspace بهره میبرد.
هدف اصلی این مهاجم سرقت اعتبارنامههای قربانیان و داراییهای کیف پول ارزهای دیجیتال است.
عفونتها عمدتاً در ایالات متحده مشاهده شدهاند، اما تأثیرات بالقوهای نیز در آلمان، رومانی و ونزوئلا گزارش شده است.
مهاجم از طعمههای نصبکننده تروجانشده در دستهبندیهای نرمافزاری مختلف از جمله نرمافزارهای SSH، دسکتاپ از راه دور، پلتفرمهای کنفرانس ویدئویی و ابزارهای مدیریت پایگاه داده استفاده میکند.
سیسکو تالوس کمپینی مخرب را افشا کرد که توسط گروه روسزبان UAT-11795 با انگیزه مالی اجرا میشود.
این گروه از ژوئن ۲۰۲۵ با استفاده از ابزارهای پیشرفتهای همچون Starland RAT و ایمپلنت WLDR C2، کاربران در آمریکا و اروپا را هدف قرار داده است.
WLDR یک ابزار مبتنی بر PowerShell با قابلیتهای رمزگذاری، صفبندی وظایف و اجرای بارهای مخرب اضافی است.
مهاجم همچنین از CastleStealer و Remcos RAT به عنوان بارهای مخرب جایگزین استفاده میکند.
هدف اصلی سرقت اعتبارنامهها و داراییهای ارز دیجیتال قربانیان است.
زیرساخت توزیعشده مهاجم شامل دامنههای مرحلهبندی و C2 پایدار است که با ترافیک قانونی ادغام میشوند.
طعمههای مورد استفاده شامل نصبکنندههای تروجانشده نرمافزارهای محبوب مانند WebEx، Zoom و ابزارهای مدیریت پایگاه داده است.
این کمپین نشاندهنده تکامل تهدیدات سایبری با انگیزه مالی است که از ابزارهای پیشرفته و زیرساختهای توزیعشده برای فرار از تشخیص استفاده میکنند.
استفاده از دامنههای مصادرهشده و نامگذاری مشابه سایتهای قانونی، چالشی بزرگ برای سیستمهای امنیتی ایجاد میکند.
علاوه بر این، هدف قرار دادن همزمان چندین پروفایل قربانی از جمله توسعهدهندگان، مدیران IT و کاربران عادی، نشاندهنده استراتژی فرصتطلبانه و حجممحور مهاجم است که میتواند تأثیر گستردهای بر سازمانها و افراد داشته باشد.
سازمانها ممکن است با سرقت اعتبارنامهها و داراییهای ارز دیجیتال مواجه شوند که میتواند منجر به خسارات مالی قابل توجه و آسیب به شهرت شود.
همچنین، آلودگی سیستمها میتواند منجر به اختلال در عملیات تجاری و از دست رفتن دادههای حساس شود.
هزینههای بازیابی و تقویت امنیت پس از حمله نیز میتواند بار مالی سنگینی را بر سازمانها تحمیل کند.
اگرچه عفونتها عمدتاً در آمریکا و اروپا مشاهده شدهاند، اما سازمانها و افراد ایرانی که از نرمافزارهای هدف قرار گرفته استفاده میکنند، ممکن است در معرض خطر باشند.
همچنین، با توجه به استفاده از ارزهای دیجیتال در ایران، سرقت داراییهای دیجیتال میتواند تأثیر مالی قابل توجهی بر کاربران ایرانی داشته باشد.
این کمپین میتواند منجر به تغییرات در قوانین و مقررات مربوط به امنیت سایبری شود، به ویژه در زمینه حفاظت از دادهها و مقابله با تهدیدات سایبری.
سازمانها ممکن است مجبور شوند سرمایهگذاری بیشتری در فناوریهای امنیتی پیشرفته و آموزش کارکنان انجام دهند تا از خود در برابر چنین تهدیداتی محافظت کنند.
مهاجم روسزبان بودن این گروه میتواند نشاندهنده فعالیتهای سایبری با پشتوانه دولتی یا گروههای مجرم سایبری در روسیه باشد.
این امر میتواند تنشهای ژئوپلیتیکی را افزایش دهد و منجر به واکنشهای بینالمللی در زمینه امنیت سایبری شود.
تحقیقات امنیتی توسط سیسکو تالوس مهاجم روسزبان UAT-11795 با استفاده از ابزارهای پیشرفته سایبری، کاربران آمریکا و اروپا را هدف قرار داده است.
هدف اصلی سرقت اعتبارنامهها و داراییهای ارز دیجیتال است.
این صفحه خلاصه و تحلیل فارسی خبر را نمایش میدهد. نسخه کامل/اصلی از طریق لینک منبع در دسترس است.
تحلیل تحریریه
ابعاد مهم خبر
چرا مهم است؟
این کمپین نشاندهنده تکامل تهدیدات سایبری با انگیزه مالی است که از ابزارهای پیشرفته و زیرساختهای توزیعشده برای فرار از تشخیص استفاده میکنند.
استفاده از دامنههای مصادرهشده و نامگذاری مشابه سایتهای قانونی، چالشی بزرگ برای سیستمهای امنیتی ایجاد میکند.
علاوه بر این، هدف قرار دادن همزمان چندین پروفایل قربانی از جمله توسعهدهندگان، مدیران IT و کاربران عادی، نشاندهنده استراتژی فرصتطلبانه و حجممحور مهاجم است که میتواند تأثیر گستردهای بر سازمانها و افراد داشته باشد.
اثر کسبوکاری
سازمانها ممکن است با سرقت اعتبارنامهها و داراییهای ارز دیجیتال مواجه شوند که میتواند منجر به خسارات مالی قابل توجه و آسیب به شهرت شود.
همچنین، آلودگی سیستمها میتواند منجر به اختلال در عملیات تجاری و از دست رفتن دادههای حساس شود.
هزینههای بازیابی و تقویت امنیت پس از حمله نیز میتواند بار مالی سنگینی را بر سازمانها تحمیل کند.
اثر احتمالی برای ایران
اگرچه عفونتها عمدتاً در آمریکا و اروپا مشاهده شدهاند، اما سازمانها و افراد ایرانی که از نرمافزارهای هدف قرار گرفته استفاده میکنند، ممکن است در معرض خطر باشند.
همچنین، با توجه به استفاده از ارزهای دیجیتال در ایران، سرقت داراییهای دیجیتال میتواند تأثیر مالی قابل توجهی بر کاربران ایرانی داشته باشد.
ارتباط با LegalTech
این کمپین میتواند منجر به تغییرات در قوانین و مقررات مربوط به امنیت سایبری شود، به ویژه در زمینه حفاظت از دادهها و مقابله با تهدیدات سایبری.
سازمانها ممکن است مجبور شوند سرمایهگذاری بیشتری در فناوریهای امنیتی پیشرفته و آموزش کارکنان انجام دهند تا از خود در برابر چنین تهدیداتی محافظت کنند.