گروه سایبری LongNosedGoblin | تحلیل فنی APT چین‌محور و راهکارهای مقابله

گروه سایبری LongNosedGoblin | تحلیل فنی APT چین‌محور و راهکارهای مقابله

در سال 2025، محققان شرکت ESET فعالیت یک بدافزار ناشناخته را در شبکه یک نهاد دولتی در آسیای جنوب شرقی شناسایی کردند. این کشف منجر به شناسایی مجموعه‌ای از ابزارهای مخرب جدید شد که هیچ شباهت معناداری با تهدیدگران شناخته‌شده قبلی نداشتند.

بر اساس تحلیل‌های فنی، این ابزارها به یک گروه APT چین‌محور نسبت داده شدند که محققان نام LongNosedGoblin را برای آن انتخاب کردند.

گروه LongNosedGoblin با تمرکز بر جاسوسی سایبری علیه نهادهای دولتی در آسیای جنوب شرقی و ژاپن فعالیت می‌کند و از تکنیک‌های پیشرفته برای نفوذ، ماندگاری و حرکت جانبی در شبکه‌های هدف استفاده می‌نماید. در این مقاله، ابزارها، کمپین‌ها و روش‌های نفوذ این گروه را بررسی کرده و راهکارهای عملی مقابله با آن را معرفی می‌کنیم.

معرفی و ویژگی‌های گروه LongNosedGoblin

مشخصات کلی گروه

  • شروع فعالیت از سپتامبر 2023
  • تمرکز بر سازمان‌ها و نهادهای دولتی
  • بهره‌گیری از تکنیک‌های Living-off-the-Land
  • استفاده از ابزارهای سفارشی مبتنی بر .NET

تکنیک‌ها و زیرساخت‌ها

  • سوءاستفاده از Group Policy در شبکه‌های ویندوزی برای توزیع بدافزار و حرکت جانبی
  • استفاده از سرویس‌های ابری مانند Microsoft OneDrive و Google Drive برای C&C
  • بهره‌گیری از تکنیک‌های Bypass AMSI
  • اجرای بدافزارها به‌صورت In-Memory

کشف بدافزارهای LongNosedGoblin

در فوریه 2024، محققان ESET یک بدافزار ناشناخته را روی سیستم یک نهاد دولتی کشف کردند که در نهایت به شناسایی یک Backdoor سفارشی با نام NosyDoor منجر شد.

تحلیل‌ها نشان داد:

  • حمله به‌صورت چندسیستمی انجام شده است
  • بدافزار از طریق Group Policy در شبکه توزیع شده
  • مهاجم به دسترسی‌های مدیریتی دست یافته است

ابزارهای شناسایی‌شده

  • NosyHistorian
  • NosyDoor
  • NosyStealer
  • NosyDownloader
  • NosyLogger
  • ابزارهای ضبط صدا و ویدئو با استفاده از FFmpeg

تحلیل فنی ابزارهای اصلی LongNosedGoblin

NosyHistorian | شناسایی اهداف حساس

  • توسعه‌یافته با C#/.NET
  • جمع‌آوری تاریخچه مرورگرهای Chrome، Edge و Firefox
  • ذخیره داده‌ها در فایل‌هایی با نام مشابه فایل‌های INI
  • ارسال داده‌ها به SMB Share داخلی
  • استفاده برای شناسایی کاربران و سیستم‌های حساس جهت استقرار NosyDoor

NosyDoor | بکدور اصلی گروه

ویژگی‌های کلیدی

  • Backdoor اصلی با C&C مبتنی بر OneDrive
  • اجرای چندمرحله‌ای و مخفیانه

مراحل اجرایی NosyDoor

  1. Dropper
    • ایجاد فایل‌هایی با نام مشابه فایل‌های سیستمی
    • ساخت Scheduled Task
  2. AppDomainManager Injection
    • اجرای کد مخرب از طریق برنامه قانونی .NET
  3. Payload نهایی
    • جمع‌آوری Metadata سیستم
    • اجرای دستورات:
      • Shell Command
      • Exfiltration
      • Upload / Download فایل

NosyStealer | سرقت اطلاعات مرورگر

  • هدف قرار دادن مرورگرهای Edge و Chrome
  • معماری چهارمرحله‌ای:
    • DLL Loader
    • Injector
    • Reflective Loader
    • Payload نهایی
  • ارسال داده‌ها به‌صورت رمزنگاری‌شده به Google Drive

NosyDownloader | توزیع و اجرای بدافزار

  • اجرای دستورات با PowerShell In-Memory
  • قابلیت Bypass AMSI
  • دانلود و اجرای Payloadهایی مانند:
    • ReverseSocks5
    • NosyLogger

NosyLogger | کی‌لاگر سفارشی

  • توسعه‌یافته با C#/.NET
  • ثبت فعالیت‌های:
    • کیبورد
    • کلیپ‌بورد
  • رمزنگاری داده‌ها و ذخیره به‌صورت محلی
  • عدم ارسال مستقیم داده به شبکه (افزایش پنهان‌کاری)

تحلیل امنیتی و نتیجه‌گیری

حملات پیشرفته‌ای مانند فعالیت‌های LongNosedGoblin نشان می‌دهند که اتکا به آنتی‌ویروس سنتی به‌تنهایی کافی نیست. این گروه با سوءاستفاده از:

  • دسترسی‌های مدیریتی
  • Group Policy
  • ابزارهای قانونی سیستم
  • سرویس‌های ابری

لایه‌های کلاسیک امنیت را دور می‌زند.

در چنین سناریوهایی، ترکیب راهکارهای PAM، ESET و Safetica نقش حیاتی در پیشگیری، شناسایی و مهار حملات APT دارد.

جلوگیری از سوءاستفاده از دسترسی‌ها با PAM

یکی از نقاط ضعف اصلی مورد سوءاستفاده LongNosedGoblin، دسترسی‌های سطح بالا در شبکه‌های ویندوزی است.

مزایای پیاده‌سازی PAM

  • اجرای اصل Least Privilege
  • مانیتورینگ کامل حساب‌های دارای دسترسی بالا
  • ثبت و بررسی تمام فعالیت‌های ادمین‌ها
  • جلوگیری از اجرای دستورات خارج از سناریوهای مجاز

این اقدامات می‌تواند از توزیع بدافزار از طریق GPO و حرکت جانبی مهاجم جلوگیری کند.

🔗 لینک مرتبط:
امنیت شبکه و مدیریت دسترسی‌ها

شناسایی و مهار بدافزارهای سفارشی با ESET

بدافزارهای LongNosedGoblin عمدتاً:

  • سفارشی
  • چندمرحله‌ای
  • مبتنی بر .NET

هستند و از تکنیک‌هایی مانند In-Memory Execution و Bypass AMSI استفاده می‌کنند.

قابلیت‌های کلیدی ESET

  • Behavior-based Detection
  • Advanced Memory Scanner
  • Exploit Blocker
  • AMSI Integration
  • تحلیل ارتباطات مشکوک با سرویس‌های ابری

🔗 لینک مرتبط:
آنتی‌ویروس سازمانی ESET

جلوگیری از نشت اطلاعات با Safetica (DLP)

هدف نهایی LongNosedGoblin، جاسوسی سایبری و سرقت اطلاعات حساس است.

مزایای Safetica

  • شناسایی و مسدودسازی انتقال غیرمجاز داده به:
    • Google Drive
    • OneDrive
  • تحلیل رفتار کاربران و فرآیندها
  • جلوگیری از خروج اطلاعات حتی پس از نفوذ موفق

Safetica به‌عنوان آخرین لایه دفاعی، مانع موفقیت مأموریت جاسوسی مهاجم می‌شود.

نقش مدیران شبکه برنا در مقابله با APTها

حملات APT مدرن نشان می‌دهند که امنیت مؤثر، حاصل چندلایه‌سازی هوشمندانه است:

  • PAM برای کنترل دسترسی‌ها
  • ESET برای حفاظت پیشرفته Endpoint
  • Safetica برای جلوگیری از نشت داده

مدیران شبکه برنا با تجربه عملی در طراحی و پیاده‌سازی این راهکارها، به سازمان‌ها کمک می‌کند تا:

  • دید کامل از پیشگیری تا پاسخ به حادثه داشته باشند
  • امنیت را بر اساس تهدیدات واقعی پیاده‌سازی کنند
  • معماری دفاعی پایدار در برابر APTها ایجاد نمایند

🔗 لینک‌های مرتبط:

اشتراک گذاری این پست
ایمیل
تلگرام
واتساپ
لینکدین

دیدگاهتان را بنویسید

آدرس ایمیل شما منتشر نخواهد شد. فیلد های ضروری مشخص شده اند *

ارسال نظر

سایر مقالات

مقالات مرتبط