گزارش سوفوس: همکاری Vect و TeamPCP و تشدید تهدید حملات باج‌افزاری زنجیره تأمین

شرکت سوفوس (Sophos) در تازه‌ترین گزارش تیم تحقیقاتی Sophos Counter Threat Unit (CTU) از شکل‌گیری یک همکاری عملیاتی میان دو گروه سایبری Vect و TeamPCP خبر داده است. این گزارش نشان می‌دهد مهاجمان با ترکیب حملات زنجیره تأمین، سرقت گسترده اعتبارنامه‌ها و اجرای باج‌افزار، مدل تازه‌ای برای حمله به سازمان‌ها ایجاد کرده‌اند. به اعتقاد پژوهشگران سوفوس، این همکاری یکی از مهم‌ترین تحولات حوزه امنیت سایبری در سال ۲۰۲۶ به شمار می‌رود.

بررسی‌های سوفوس نشان می‌دهد TeamPCP تخصص خود را روی نفوذ به زنجیره تأمین نرم‌افزار و سرقت اطلاعات متمرکز کرده است. در مقابل، گروه Vect از دسترسی‌های به‌دست‌آمده برای اجرای عملیات باج‌افزاری در شبکه قربانیان استفاده می‌کند. این تقسیم وظایف باعث شده مهاجمان بتوانند حملات خود را با سرعت و مقیاس بیشتری اجرا کنند.

حملات زنجیره تأمین؛ نقطه شروع عملیات

طبق گزارش سوفوس، TeamPCP فعالیت گسترده خود را با نفوذ به زیرساخت توسعه ابزار متن‌باز Trivy آغاز کرد. مهاجمان پس از دسترسی به محیط توسعه، نسخه‌های آلوده این ابزار را در کانال‌های رسمی انتشار قرار دادند. این نسخه‌ها ظاهر و عملکرد عادی خود را حفظ کردند، اما هم‌زمان گذرواژه‌ها، کلیدهای دسترسی سرویس‌های ابری، توکن‌های احراز هویت و سایر اطلاعات حساس را برای سرورهای تحت کنترل مهاجمان ارسال کردند.

کارشناسان سوفوس می‌گویند همین روش باعث شد بسیاری از توسعه‌دهندگان و سازمان‌ها بدون اطلاع، بدافزار را از طریق یک به‌روزرسانی ظاهراً معتبر نصب کنند. این شیوه، یکی از خطرناک‌ترین انواع حملات زنجیره تأمین محسوب می‌شود، زیرا قربانیان به نرم‌افزارهای مورد اعتماد خود اطمینان دارند.

گسترش حملات به ابزارهای پرکاربرد

تحقیقات سوفوس نشان می‌دهد مهاجمان پس از موفقیت در حمله به Trivy، از اعتبارنامه‌های سرقت‌شده برای نفوذ به پروژه‌های دیگری مانند Checkmarx، کتابخانه هوش مصنوعی LiteLLM و بسته‌های Telnyx Python SDK استفاده کردند.

به گفته محققان سوفوس، مهاجمان نسخه‌های آلوده این ابزارها را در مخازن رسمی نرم‌افزار منتشر کردند. برخی از این نسخه‌ها حتی بدون اجرای مستقیم کتابخانه، کد مخرب خود را فعال می‌کردند. این قابلیت، احتمال آلودگی محیط‌های توسعه و سامانه‌های CI/CD را به شکل قابل‌توجهی افزایش داد.

بیش از هزار سازمان در معرض خطر

بر اساس ارزیابی سوفوس، این کمپین بیش از هزار محیط SaaS سازمانی را تحت تأثیر قرار داد. مهاجمان همچنین حدود ۳۰۰ گیگابایت داده را از شبکه قربانیان خارج کردند. این اطلاعات نزدیک به ۵۰۰ هزار مجموعه اعتبارنامه را شامل می‌شد.

کارشناسان سوفوس معتقدند ارزش اصلی این عملیات در سرقت داده‌ها نبود. مهاجمان از این اطلاعات برای دسترسی مجدد به شبکه سازمان‌ها و اجرای حملات بعدی استفاده کردند. به همین دلیل، بسیاری از قربانیان حتی پس از شناسایی بدافزار همچنان در معرض خطر باقی ماندند.

همکاری Vect و TeamPCP چگونه عمل می‌کند؟

تحلیل سوفوس نشان می‌دهد TeamPCP مسئول جمع‌آوری اطلاعات، سرقت اعتبارنامه‌ها و ایجاد دسترسی اولیه است. پس از پایان این مرحله، گروه Vect با استفاده از همان دسترسی‌ها باج‌افزار خود را در شبکه سازمان‌ها اجرا می‌کند.

محققان سوفوس دست‌کم یک حمله موفق را شناسایی کرده‌اند که در آن Vect از اعتبارنامه‌های سرقت‌شده TeamPCP استفاده کرده است. این موضوع نشان می‌دهد مهاجمان اکنون یک زنجیره کامل برای اجرای حملات در اختیار دارند؛ زنجیره‌ای که از نفوذ به زنجیره تأمین آغاز می‌شود و با رمزگذاری اطلاعات سازمان‌ها پایان می‌یابد.

نقص فنی در باج‌افزار Vect

در بخش دیگری از گزارش، سوفوس به نقص فنی موجود در باج‌افزار Vect اشاره می‌کند. برخی پژوهشگران امنیتی اعلام کرده‌اند این باج‌افزار در زمان پردازش فایل‌های بزرگ‌تر از ۱۲۸ کیلوبایت دچار خطا می‌شود و به جای رمزگذاری، فایل‌ها را برای همیشه از بین می‌برد.

کارشناسان سوفوس هشدار می‌دهند سازمان‌ها نباید تصور کنند پرداخت باج همیشه به بازیابی اطلاعات منجر می‌شود. این نقص می‌تواند باعث نابودی دائمی داده‌ها شود و حتی پس از پرداخت باج نیز امکان بازگردانی فایل‌ها وجود نداشته باشد.

توصیه‌های امنیتی سوفوس

سوفوس به سازمان‌ها توصیه می‌کند فهرست کاملی از نرم‌افزارهای متن‌باز، وابستگی‌های نرم‌افزاری و ابزارهای توسعه خود تهیه کنند. این اقدام به تیم‌های امنیتی کمک می‌کند در صورت انتشار خبر یک حمله زنجیره تأمین، سریع‌تر سامانه‌های آسیب‌پذیر را شناسایی کنند.

کارشناسان سوفوس همچنین از سازمان‌ها می‌خواهند اصالت همه به‌روزرسانی‌های نرم‌افزاری را پیش از نصب بررسی کنند. استفاده از امضای دیجیتال، اعتبارسنجی بسته‌های نرم‌افزاری، محدود کردن دسترسی حساب‌های دارای سطح دسترسی بالا، استفاده از احراز هویت چندمرحله‌ای و پایش مداوم رفتار سامانه‌ها نیز می‌تواند احتمال موفقیت این نوع حملات را کاهش دهد.

پژوهشگران سوفوس در پایان تأکید می‌کنند حملات زنجیره تأمین به یکی از مهم‌ترین ابزارهای مجرمان سایبری تبدیل شده است. به همین دلیل، سازمان‌ها باید علاوه بر محافظت از زیرساخت‌های داخلی، امنیت ابزارهای توسعه، مخازن کد، کتابخانه‌های متن‌باز و زنجیره تأمین نرم‌افزار را نیز در اولویت برنامه‌های امنیت سایبری خود قرار دهند.

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات