افشای کمپین مالی UAT-11795: استقرار Starland RAT و ایمپلنت WLDR C2 توسط مهاجم روس‌زبان

Cisco Security BlogUS / Global3 دقیقه مطالعه۱۴۰۵/۰۴/۲۶ ساعت ۱۵:۰۰

تصویر مرتبط با خبر: UAT-11795 deploys novel Starland RAT and bespoke WLDR C2 implant in financially motivated campaign
تصویر مرتبط با خبر: UAT-11795 deploys novel Starland RAT and bespoke WLDR C2 implant in financially motivated campaign
خلاصه سریع

اصل خبر در چند خط

سیسکو تالوس کمپینی مخرب را افشا کرد که توسط گروه روس‌زبان UAT-11795 با انگیزه مالی اجرا می‌شود. این گروه از ژوئن ۲۰۲۵ با استفاده از ابزارهای پیشرفته‌ای همچون Starland RAT و ایمپلنت WLDR C2، کاربران در آمریکا و اروپا را هدف قرار داده است. WLDR یک ابزار مبتنی بر PowerShell با قابلیت‌های رمزگذاری، صف‌بندی وظایف و اجرای بارهای مخرب اضافی است. مهاجم همچنین از CastleStealer و Remcos RAT به عنوان بارهای مخرب جایگزین استفاده می‌کند. هدف اصلی سرقت اعتبارنامه‌ها و دارایی‌های ارز دیجیتال قربانیان است. زیرساخت توزیع‌شده مهاجم شامل دامنه‌های مرحله‌بندی و C2 پایدار است که با ترافیک قانونی ادغام می‌شوند. طعمه‌های مورد استفاده شامل نصب‌کننده‌های تروجان‌شده نرم‌افزارهای محبوب مانند WebEx، Zoom و ابزارهای مدیریت پایگاه داده است.

متن خبر

شرح خبر

سیسکو تالوس از فعالیت یک مهاجم پیچیده روس‌زبان با انگیزه مالی به نام UAT-11795 پرده برداشت که از ژوئن ۲۰۲۵ کمپینی مخرب را علیه کاربران در ایالات متحده و اروپا اجرا می‌کند. این مهاجم در این کمپین از ابزار دسترسی از راه دور مبتنی بر پایتون به نام «Starland RAT» و ایمپلنت حافظه‌ای کنترل و فرمان (C2) به نام «WLDR agent» استفاده می‌کند. ایمپلنت WLDR، ابزاری پیشرفته مبتنی بر PowerShell، از ویژگی‌هایی همچون سیگنال‌دهی رمزگذاری‌شده، صف‌بندی وظایف و موتور اجرا در Runspace بهره می‌برد. هدف اصلی این مهاجم سرقت اعتبارنامه‌های قربانیان و دارایی‌های کیف پول ارزهای دیجیتال است. عفونت‌ها عمدتاً در ایالات متحده مشاهده شده‌اند، اما تأثیرات بالقوه‌ای نیز در آلمان، رومانی و ونزوئلا گزارش شده است. مهاجم از طعمه‌های نصب‌کننده تروجان‌شده در دسته‌بندی‌های نرم‌افزاری مختلف از جمله نرم‌افزارهای SSH، دسکتاپ از راه دور، پلتفرم‌های کنفرانس ویدئویی و ابزارهای مدیریت پایگاه داده استفاده می‌کند. سیسکو تالوس کمپینی مخرب را افشا کرد که توسط گروه روس‌زبان UAT-11795 با انگیزه مالی اجرا می‌شود. این گروه از ژوئن ۲۰۲۵ با استفاده از ابزارهای پیشرفته‌ای همچون Starland RAT و ایمپلنت WLDR C2، کاربران در آمریکا و اروپا را هدف قرار داده است. WLDR یک ابزار مبتنی بر PowerShell با قابلیت‌های رمزگذاری، صف‌بندی وظایف و اجرای بارهای مخرب اضافی است. مهاجم همچنین از CastleStealer و Remcos RAT به عنوان بارهای مخرب جایگزین استفاده می‌کند. هدف اصلی سرقت اعتبارنامه‌ها و دارایی‌های ارز دیجیتال قربانیان است. زیرساخت توزیع‌شده مهاجم شامل دامنه‌های مرحله‌بندی و C2 پایدار است که با ترافیک قانونی ادغام می‌شوند. طعمه‌های مورد استفاده شامل نصب‌کننده‌های تروجان‌شده نرم‌افزارهای محبوب مانند WebEx، Zoom و ابزارهای مدیریت پایگاه داده است. این کمپین نشان‌دهنده تکامل تهدیدات سایبری با انگیزه مالی است که از ابزارهای پیشرفته و زیرساخت‌های توزیع‌شده برای فرار از تشخیص استفاده می‌کنند. استفاده از دامنه‌های مصادره‌شده و نام‌گذاری مشابه سایت‌های قانونی، چالشی بزرگ برای سیستم‌های امنیتی ایجاد می‌کند. علاوه بر این، هدف قرار دادن همزمان چندین پروفایل قربانی از جمله توسعه‌دهندگان، مدیران IT و کاربران عادی، نشان‌دهنده استراتژی فرصت‌طلبانه و حجم‌محور مهاجم است که می‌تواند تأثیر گسترده‌ای بر سازمان‌ها و افراد داشته باشد. سازمان‌ها ممکن است با سرقت اعتبارنامه‌ها و دارایی‌های ارز دیجیتال مواجه شوند که می‌تواند منجر به خسارات مالی قابل توجه و آسیب به شهرت شود. همچنین، آلودگی سیستم‌ها می‌تواند منجر به اختلال در عملیات تجاری و از دست رفتن داده‌های حساس شود. هزینه‌های بازیابی و تقویت امنیت پس از حمله نیز می‌تواند بار مالی سنگینی را بر سازمان‌ها تحمیل کند. اگرچه عفونت‌ها عمدتاً در آمریکا و اروپا مشاهده شده‌اند، اما سازمان‌ها و افراد ایرانی که از نرم‌افزارهای هدف قرار گرفته استفاده می‌کنند، ممکن است در معرض خطر باشند. همچنین، با توجه به استفاده از ارزهای دیجیتال در ایران، سرقت دارایی‌های دیجیتال می‌تواند تأثیر مالی قابل توجهی بر کاربران ایرانی داشته باشد. این کمپین می‌تواند منجر به تغییرات در قوانین و مقررات مربوط به امنیت سایبری شود، به ویژه در زمینه حفاظت از داده‌ها و مقابله با تهدیدات سایبری. سازمان‌ها ممکن است مجبور شوند سرمایه‌گذاری بیشتری در فناوری‌های امنیتی پیشرفته و آموزش کارکنان انجام دهند تا از خود در برابر چنین تهدیداتی محافظت کنند. مهاجم روس‌زبان بودن این گروه می‌تواند نشان‌دهنده فعالیت‌های سایبری با پشتوانه دولتی یا گروه‌های مجرم سایبری در روسیه باشد. این امر می‌تواند تنش‌های ژئوپلیتیکی را افزایش دهد و منجر به واکنش‌های بین‌المللی در زمینه امنیت سایبری شود. تحقیقات امنیتی توسط سیسکو تالوس مهاجم روس‌زبان UAT-11795 با استفاده از ابزارهای پیشرفته سایبری، کاربران آمریکا و اروپا را هدف قرار داده است. هدف اصلی سرقت اعتبارنامه‌ها و دارایی‌های ارز دیجیتال است.

این صفحه خلاصه و تحلیل فارسی خبر را نمایش می‌دهد. نسخه کامل/اصلی از طریق لینک منبع در دسترس است.

تحلیل تحریریه

ابعاد مهم خبر

چرا مهم است؟

این کمپین نشان‌دهنده تکامل تهدیدات سایبری با انگیزه مالی است که از ابزارهای پیشرفته و زیرساخت‌های توزیع‌شده برای فرار از تشخیص استفاده می‌کنند. استفاده از دامنه‌های مصادره‌شده و نام‌گذاری مشابه سایت‌های قانونی، چالشی بزرگ برای سیستم‌های امنیتی ایجاد می‌کند. علاوه بر این، هدف قرار دادن همزمان چندین پروفایل قربانی از جمله توسعه‌دهندگان، مدیران IT و کاربران عادی، نشان‌دهنده استراتژی فرصت‌طلبانه و حجم‌محور مهاجم است که می‌تواند تأثیر گسترده‌ای بر سازمان‌ها و افراد داشته باشد.

اثر کسب‌وکاری

سازمان‌ها ممکن است با سرقت اعتبارنامه‌ها و دارایی‌های ارز دیجیتال مواجه شوند که می‌تواند منجر به خسارات مالی قابل توجه و آسیب به شهرت شود. همچنین، آلودگی سیستم‌ها می‌تواند منجر به اختلال در عملیات تجاری و از دست رفتن داده‌های حساس شود. هزینه‌های بازیابی و تقویت امنیت پس از حمله نیز می‌تواند بار مالی سنگینی را بر سازمان‌ها تحمیل کند.

اثر احتمالی برای ایران

اگرچه عفونت‌ها عمدتاً در آمریکا و اروپا مشاهده شده‌اند، اما سازمان‌ها و افراد ایرانی که از نرم‌افزارهای هدف قرار گرفته استفاده می‌کنند، ممکن است در معرض خطر باشند. همچنین، با توجه به استفاده از ارزهای دیجیتال در ایران، سرقت دارایی‌های دیجیتال می‌تواند تأثیر مالی قابل توجهی بر کاربران ایرانی داشته باشد.

ارتباط با LegalTech

این کمپین می‌تواند منجر به تغییرات در قوانین و مقررات مربوط به امنیت سایبری شود، به ویژه در زمینه حفاظت از داده‌ها و مقابله با تهدیدات سایبری. سازمان‌ها ممکن است مجبور شوند سرمایه‌گذاری بیشتری در فناوری‌های امنیتی پیشرفته و آموزش کارکنان انجام دهند تا از خود در برابر چنین تهدیداتی محافظت کنند.

زاویه رسانه/کشور منبع

تحقیقات امنیتی توسط سیسکو تالوس

برچسب‌ها