حملات Salt Typhoon

حملات جدید Salt Typhoon با بهره‌گیری از آسیب‌پذیری‌های روز صفر و تکنیک DLL Sideloading

گروه سایبری Salt Typhoon یکی از پیشرفته‌ترین تهدیدهای سایبری فعال در جهان است. این گروه زیرساخت‌های حیاتی را هدف قرار می‌دهد و با روش‌های پیچیده، نفوذ خود را در سازمان‌ها گسترش می‌دهد. تحلیل‌ها نشان می‌دهد Salt Typhoon با بازیگران دولتی جمهوری خلق چین ارتباط دارد.

از سال ۲۰۱۹ تاکنون، این گروه در حملات خود از تکنیک‌های ماندگار و ابزارهای سفارشی استفاده کرده است. اهداف اصلی آن‌ها شرکت‌های مخابراتی، شبکه‌های انرژی و نهادهای دولتی بوده‌اند. کمپین‌های Salt Typhoon بیش از ۸۰ کشور را درگیر کرده است.

اهداف و تاکتیک‌های گروه

Salt Typhoon با بهره‌گیری از آسیب‌پذیری‌های شدید در محصولات Ivanti، Fortinet و Cisco فعالیت می‌کند. هدف اصلی آن‌ها جمع‌آوری اطلاعات حساس و اجرای عملیات‌های سایبری با اهداف سیاسی است. اگرچه بخش زیادی از حملات در آمریکا گزارش شده، اما این گروه در اروپا، خاورمیانه و آفریقا نیز فعال است و به نهادهای دولتی و شرکت‌های فناوری نفوذ کرده است.

جزئیات حمله اخیر در اروپا

شرکت امنیتی Darktrace در تابستان ۲۰۲۵ فعالیت‌های جدیدی را شناسایی کرد که با الگوهای Salt Typhoon تطابق دارد. در این عملیات، مهاجمان از تکنیک DLL Sideloading برای اجرای بدافزار خود در قالب نرم‌افزارهای معتبر استفاده کردند. این روش باعث شد حمله برای مدت طولانی شناسایی نشود.

حمله از یک آسیب‌پذیری در Citrix NetScaler Gateway آغاز شد. مهاجمان سپس به سرورهای Citrix Virtual Delivery Agent (VDA) در شبکه داخلی منتقل شدند. تحقیقات نشان داد اتصال اولیه از یک دستگاه متصل به سرویس SoftEther VPN انجام شده است. این موضوع نشان می‌دهد مهاجمان از ابتدا زیرساخت خود را برای پنهان‌کاری طراحی کرده بودند.

استفاده از بدافزار SNAPPYBEE و اجرای DLL Sideloading

در مراحل بعدی، کارشناسان Darktrace بدافزار SNAPPYBEE را در چند سرور شناسایی کردند. این بدافزار با نام Deed RAT نیز شناخته می‌شود. مهاجمان فایل DLL آلوده را در کنار فایل‌های اجرایی معتبر آنتی‌ویروس‌هایی مانند Norton Antivirus، Bkav Antivirus و IObit Malware Fighter قرار داده بودند. این تکنیک باعث شد بدافزار تحت پوشش نرم‌افزار قانونی اجرا شود.

Salt Typhoon پیش‌تر نیز از همین روش در حملات دیگر استفاده کرده است. این تکنیک به آن‌ها کمک می‌کند از کنترل‌های امنیتی عبور کرده و کدهای خود را بدون جلب توجه اجرا کنند. بررسی‌ها نشان داد که بدافزار از سرورهای Command & Control در LightNode VPS از طریق پروتکل‌های HTTP و TCP ارتباط برقرار می‌کرد.

واکنش و شناسایی حمله

در جریان این حمله، ترافیک HTTP شامل درخواست‌های POST با هدرهایی مشابه Internet Explorer و مسیرهایی مانند “/17ABE7F017ABE7F0” بود. یکی از دامنه‌های فرمان و کنترل شناسایی‌شده aar.gandhibludtric[.]com بود که به Salt Typhoon مرتبط است.

سامانه هوشمند Darktrace این فعالیت را در مراحل اولیه شناسایی کرد و مانع از گسترش آن شد. موتور تحلیل Cyber AI Analyst توانست الگوی حمله را بازسازی کرده و رویدادها را به صورت خودکار به هم مرتبط کند. این واکنش سریع باعث شد مهاجمان نتوانند به داده‌های حساس بیشتری دسترسی پیدا کنند.

نتیجه‌گیری و اهمیت دفاع پیش‌دستانه

Darktrace با اطمینان متوسط فعالیت شناسایی‌شده را به Salt Typhoon نسبت داد. این حمله نشان می‌دهد تهدیدات سایبری دولتی به سرعت در حال تکامل هستند و دفاع سنتی دیگر کافی نیست. سازمان‌ها باید به سمت سامانه‌های تحلیل رفتاری و هوش تهدید حرکت کنند تا بتوانند حملات ناشناخته را پیش از وقوع شناسایی کنند.

Salt Typhoon نمونه‌ای روشن از چگونگی ترکیب جاسوسی سایبری و اهداف سیاسی است. تنها با رویکردی فعال، به‌روزرسانی مداوم و نظارت پیوسته می‌توان در برابر چنین گروه‌هایی مقاومت کرد.