يقوم CL-STA-0969 بتثبيت البرامج الضارة السرية في شبكات الاتصالات خلال حملة التجسس لمدة 10 أشهر

تم استهداف منظمات الاتصالات في جنوب شرق آسيا من قبل ممثل تهديدات ترعاه الدولة يعرف باسم CL-STA-0969 لتسهيل التحكم عن بُعد على الشبكات المعرضة للخطر.

قالت وحدة شبكات بالو ألتو 42 إنها لاحظت حوادث متعددة في المنطقة ، بما في ذلك واحدة تهدف إلى البنية التحتية للاتصالات الحرجة بين فبراير ونوفمبر 2024.

تتميز الهجمات باستخدام عدة أدوات لتمكين الوصول عن بُعد ، وكذلك نشر CordScan ، والتي يمكنها جمع بيانات الموقع من الأجهزة المحمولة.

ومع ذلك ، قالت شركة الأمن السيبراني إنها لم تجد أي دليل على ترشيح البيانات من الشبكات والأنظمة التي حققتها. ولم تكن أي جهود من قبل المهاجمين لتتبع الأجهزة المستهدفة أو التواصل معها داخل شبكات الهاتف المحمول.

“حافظ ممثل التهديد الكامن وراء CL-STA-0969 على الأمن التشغيلي العالي (OPSEC) وتوظف العديد من تقنيات التهرب الدفاعية لتجنب الكشف”. قال.

تشترك CL-STA-0969 ، لكل وحدة 42 ، في تداخلات كبيرة مع مجموعة تتبعها CrowdStrike تحت اسم Liminal Panda ، وهي مجموعة تجسس من الصين من نوكس تُعزى إلى الهجمات الموجه ضد كيانات الاتصالات في جنوب آسيا وأفريقيا على الأقل مع هدف جمع الذكاء.

تجدر الإشارة إلى أن بعض جوانب TradeCraft في Liminal Panda كانت نسبت سابقًا إلى ممثل تهديد آخر يسمى Lightbasin (AKA UNC1945) ، الذي قام أيضًا بتصوير قطاع الاتصالات منذ عام 2016. يتداخل Lightbasin ، من جانبه ، من جانبها المتكامل.

“في حين أن هذه المجموعة تتداخل بشكل كبير مع الباندا المحدودة ، فقد لاحظنا أيضًا تداخلات في أدوات المهاجم مع مجموعات أخرى ومجموعات النشاط المبلغ عنها ، بما في ذلك حوض الضوء ، UNC3886 ، UNC2891 ، و UNC1945” ، أشار الباحثون إلى ذلك.

في حالة واحدة على الأقل ، يُعتقد أن CL-STA-0969 قد استخدمت هجمات القوة الغاشمة ضد آليات مصادقة SSH من أجل التسوية الأولية ، والاستفادة من الوصول إلى إسقاط غرسات مختلفة مثل-

• Authdoor، وحدة مصادقة قابلة للتوصيل الخبيثة (PAM) تعمل بشكل مشابه لركوب الصلحة (المنسوبة أصلاً إلى UNC1945) لإجراء سرقة الاعتماد وتوفير وصول مستمر إلى المضيف المعرض للخطر عبر كلمة مرور سحرية مشفرة
• Cordscan، أداة مسح الشبكة و Captet Capture (تنسب مسبقًا إلى Panda Liminal)
• GTPDOOR، برامج ضارة مصممة صراحة لنشرها في شبكات الاتصالات المجاورة لتبادل التجوال GPRS
• Echobackdoor، الباب الخلفي السلبي الذي يستمع إلى حزم طلب echo ICMP التي تحتوي على تعليمات الأوامر والسيطرة (C2) لاستخراج الأمر وإرسال نتائج التنفيذ مرة أخرى إلى الخادم عبر حزمة رد ICMP غير المشفرة
• محاكي عقدة دعم GPRS (SGSN) (SGSN) (SGSNEMU)، برنامج مضاهاة لنفق حركة مرور عبر شبكة الاتصالات وتجاوز قيود جدار الحماية (يعزى مسبقًا إلى الباندا المحدودة)
• كرونوسرات، ثنائي ELF معياري قادر على تنفيذ SHELDCODE ، وعمليات الملفات ، والتشويش ، وإعادة توجيه المنفذ ، وقذيفة عن بعد ، وقطات الشاشة ، وقدرات الوكيل
• nodepdns (يشار إليها داخليًا باسم MYDNS) ، وهو باب خلفي Golang الذي ينشئ مقبسًا خامًا ويستمع بشكل سلبي لحركة UDP على المنفذ 53 لتحليل الأوامر الواردة عبر رسائل DNS

وأشار الباحثون في الوحدة 42 إلى أن “CL-STA-0969 تم استفادة من البرامج النصية المختلفة للقذائف التي أنشأت نفق SSH عكسيًا إلى جانب وظائف أخرى”. “يقوم CL-STA-0969 بمسح سجلات السجلات ويحذف التنفيذيين عندما لم تعد هناك حاجة إليها ، للحفاظ على درجة عالية من OPSEC.”

إضافة إلى مجموعة واسعة بالفعل من الأدوات الضارة التي نشرها ممثل التهديد Microsocks الوكيل، بروكسي عكسي سريع (FRP) ، fscanو المستجيب، و Proxychains، بالإضافة إلى برامج لاستغلال العيوب في أنظمة Linux و UNIX (CVE-2016-5195 ، CVE-2021-4034 ، و CVE-2021-3156) لتحقيق تصاعد الامتياز.

إلى جانب استخدام مجموعة من الأدوات المفصلة والمتاحة للجمهور ، تم العثور على الجهات الفاعلة للتهديد لتبني عدد من الاستراتيجيات التي تسافر تحت الرادار. ويشمل هذا نفق DNS لحركة المرور ، وتوجيه حركة المرور من خلال مشغلي الهواتف المحمولة المعرضين للخطر ، ومحو سجلات المصادقة ، وتعطيل Linux المعزز بالأمان (Selinux) ، وإخفاء أسماء العمليات بأسماء مقنعة تتطابق مع البيئة المستهدفة.

“CL-STA-0969 يوضح فهمًا عميقًا لبروتوكولات الاتصالات والبنية التحتية” ، قالت الوحدة 42. “تكشف البرامج الضارة والأدوات والتقنيات عن جهد محسوب للحفاظ على وصول مستمر وخفي. لقد حقق ذلك من خلال حركة المرور من خلال العقد الأخرى للاتصالات ، وبيانات النفق باستخدام بروتوكولات أقل توحيدًا وتوظيف تقنيات مختلفة للدفاع.”

تتهم الصين الوكالات الأمريكية باستهداف المؤسسات العسكرية والبحثية

يأتي الإفصاح في الوقت الذي يتقاضى فيه فريق التنسيق/التنسيق في الشبكة الوطنية للاستجابة للطوارئ (CNCERT) (CNCERT) (CNCERT) المتهم وكالات الاستخبارات الأمريكية من تسليح الأسلحة لاستغلال Microsoft Exchange يومًا صفرًا لسرقة المعلومات المتعلقة بالدفاع واختطاف أكثر من 50 جهازًا ينتمي إلى “مؤسسة عسكرية صينية رئيسية” بين يوليو 2022 ويوليو 2023.

وقالت الوكالة أيضًا إن الجامعات ذات الصلة العسكرية عالية التقنية ومعاهد البحوث العلمية والمؤسسات في البلاد كانت مستهدفة كجزء من هذه الهجمات لتصوير بيانات قيمة من المضيفين المعرضين للخطر. من بين أولئك الذين يستهدفون مؤسسة عسكرية صينية في قطاعات الاتصالات عبر الإنترنت والاتصالات التي هاجمت من يوليو إلى نوفمبر من عام 2024 من خلال استغلال نقاط الضعف في أنظمة الملفات الإلكترونية ، حسبما زعم CNCERT.

جهد الإسناد تكتيكات المرايا من الغرب، التي ألقت باللوم مرارًا وتكرارًا على الصين في الهجمات الإلكترونية الكبرى ، وحساب أحدث استغلال ليوم الصفر لخادم Microsoft SharePoint.

سأل الشهر الماضي عن اختراق أنظمة الاتصالات الأمريكية وسرقة الملكية الفكرية على فوكس نيوز ، الرئيس الأمريكي دونالد ترامب قال، “أنت لا تعتقد أننا نفعل ذلك لهم؟ نحن نفعل الكثير من الأشياء. هذه هي الطريقة التي يعمل بها العالم. إنه عالم سيء”.