گزارش سوفوس: همکاری Vect و TeamPCP و تشدید تهدید حملات باجافزاری زنجیره تأمین
شرکت سوفوس (Sophos) در تازهترین گزارش تیم تحقیقاتی Sophos Counter Threat Unit (CTU) از شکلگیری یک همکاری عملیاتی میان دو گروه سایبری Vect و TeamPCP خبر داده است. این گزارش نشان میدهد مهاجمان با ترکیب حملات زنجیره تأمین، سرقت گسترده اعتبارنامهها و اجرای باجافزار، مدل تازهای برای حمله به سازمانها ایجاد کردهاند. به اعتقاد پژوهشگران سوفوس، این همکاری یکی از مهمترین تحولات حوزه امنیت سایبری در سال ۲۰۲۶ به شمار میرود.
بررسیهای سوفوس نشان میدهد TeamPCP تخصص خود را روی نفوذ به زنجیره تأمین نرمافزار و سرقت اطلاعات متمرکز کرده است. در مقابل، گروه Vect از دسترسیهای بهدستآمده برای اجرای عملیات باجافزاری در شبکه قربانیان استفاده میکند. این تقسیم وظایف باعث شده مهاجمان بتوانند حملات خود را با سرعت و مقیاس بیشتری اجرا کنند.
حملات زنجیره تأمین؛ نقطه شروع عملیات
طبق گزارش سوفوس، TeamPCP فعالیت گسترده خود را با نفوذ به زیرساخت توسعه ابزار متنباز Trivy آغاز کرد. مهاجمان پس از دسترسی به محیط توسعه، نسخههای آلوده این ابزار را در کانالهای رسمی انتشار قرار دادند. این نسخهها ظاهر و عملکرد عادی خود را حفظ کردند، اما همزمان گذرواژهها، کلیدهای دسترسی سرویسهای ابری، توکنهای احراز هویت و سایر اطلاعات حساس را برای سرورهای تحت کنترل مهاجمان ارسال کردند.
کارشناسان سوفوس میگویند همین روش باعث شد بسیاری از توسعهدهندگان و سازمانها بدون اطلاع، بدافزار را از طریق یک بهروزرسانی ظاهراً معتبر نصب کنند. این شیوه، یکی از خطرناکترین انواع حملات زنجیره تأمین محسوب میشود، زیرا قربانیان به نرمافزارهای مورد اعتماد خود اطمینان دارند.
گسترش حملات به ابزارهای پرکاربرد
تحقیقات سوفوس نشان میدهد مهاجمان پس از موفقیت در حمله به Trivy، از اعتبارنامههای سرقتشده برای نفوذ به پروژههای دیگری مانند Checkmarx، کتابخانه هوش مصنوعی LiteLLM و بستههای Telnyx Python SDK استفاده کردند.
به گفته محققان سوفوس، مهاجمان نسخههای آلوده این ابزارها را در مخازن رسمی نرمافزار منتشر کردند. برخی از این نسخهها حتی بدون اجرای مستقیم کتابخانه، کد مخرب خود را فعال میکردند. این قابلیت، احتمال آلودگی محیطهای توسعه و سامانههای CI/CD را به شکل قابلتوجهی افزایش داد.
بیش از هزار سازمان در معرض خطر
بر اساس ارزیابی سوفوس، این کمپین بیش از هزار محیط SaaS سازمانی را تحت تأثیر قرار داد. مهاجمان همچنین حدود ۳۰۰ گیگابایت داده را از شبکه قربانیان خارج کردند. این اطلاعات نزدیک به ۵۰۰ هزار مجموعه اعتبارنامه را شامل میشد.
کارشناسان سوفوس معتقدند ارزش اصلی این عملیات در سرقت دادهها نبود. مهاجمان از این اطلاعات برای دسترسی مجدد به شبکه سازمانها و اجرای حملات بعدی استفاده کردند. به همین دلیل، بسیاری از قربانیان حتی پس از شناسایی بدافزار همچنان در معرض خطر باقی ماندند.
همکاری Vect و TeamPCP چگونه عمل میکند؟
تحلیل سوفوس نشان میدهد TeamPCP مسئول جمعآوری اطلاعات، سرقت اعتبارنامهها و ایجاد دسترسی اولیه است. پس از پایان این مرحله، گروه Vect با استفاده از همان دسترسیها باجافزار خود را در شبکه سازمانها اجرا میکند.
محققان سوفوس دستکم یک حمله موفق را شناسایی کردهاند که در آن Vect از اعتبارنامههای سرقتشده TeamPCP استفاده کرده است. این موضوع نشان میدهد مهاجمان اکنون یک زنجیره کامل برای اجرای حملات در اختیار دارند؛ زنجیرهای که از نفوذ به زنجیره تأمین آغاز میشود و با رمزگذاری اطلاعات سازمانها پایان مییابد.
نقص فنی در باجافزار Vect
در بخش دیگری از گزارش، سوفوس به نقص فنی موجود در باجافزار Vect اشاره میکند. برخی پژوهشگران امنیتی اعلام کردهاند این باجافزار در زمان پردازش فایلهای بزرگتر از ۱۲۸ کیلوبایت دچار خطا میشود و به جای رمزگذاری، فایلها را برای همیشه از بین میبرد.
کارشناسان سوفوس هشدار میدهند سازمانها نباید تصور کنند پرداخت باج همیشه به بازیابی اطلاعات منجر میشود. این نقص میتواند باعث نابودی دائمی دادهها شود و حتی پس از پرداخت باج نیز امکان بازگردانی فایلها وجود نداشته باشد.
توصیههای امنیتی سوفوس
سوفوس به سازمانها توصیه میکند فهرست کاملی از نرمافزارهای متنباز، وابستگیهای نرمافزاری و ابزارهای توسعه خود تهیه کنند. این اقدام به تیمهای امنیتی کمک میکند در صورت انتشار خبر یک حمله زنجیره تأمین، سریعتر سامانههای آسیبپذیر را شناسایی کنند.
کارشناسان سوفوس همچنین از سازمانها میخواهند اصالت همه بهروزرسانیهای نرمافزاری را پیش از نصب بررسی کنند. استفاده از امضای دیجیتال، اعتبارسنجی بستههای نرمافزاری، محدود کردن دسترسی حسابهای دارای سطح دسترسی بالا، استفاده از احراز هویت چندمرحلهای و پایش مداوم رفتار سامانهها نیز میتواند احتمال موفقیت این نوع حملات را کاهش دهد.
پژوهشگران سوفوس در پایان تأکید میکنند حملات زنجیره تأمین به یکی از مهمترین ابزارهای مجرمان سایبری تبدیل شده است. به همین دلیل، سازمانها باید علاوه بر محافظت از زیرساختهای داخلی، امنیت ابزارهای توسعه، مخازن کد، کتابخانههای متنباز و زنجیره تأمین نرمافزار را نیز در اولویت برنامههای امنیت سایبری خود قرار دهند.