توسع شركة Earth Baku المدعومة من الصين الهجمات السيبرانية لتشمل أوروبا والشرق الأوسط وأفريقيا

14 أغسطس 2024رافي لاكشماناناستخبارات التهديدات / الهجمات السيبرانية

قام ممثل التهديد المدعوم من الصين والمعروف باسم Earth Baku بتنويع نطاق استهدافه خارج منطقة المحيط الهادئ الهندي ليشمل أوروبا والشرق الأوسط وأفريقيا بدءًا من أواخر عام 2022.

وتشمل الدول المستهدفة حديثًا كجزء من النشاط إيطاليا وألمانيا والإمارات العربية المتحدة وقطر، مع اكتشاف هجمات مشبوهة أيضًا في جورجيا ورومانيا. تعد الحكومات ووسائل الإعلام والاتصالات والاتصالات والتكنولوجيا والرعاية الصحية والتعليم من بين القطاعات التي تم تحديدها كجزء من مجموعة التطفل.

“قامت المجموعة بتحديث أدواتها وتكتيكاتها وإجراءاتها (TTPs) في الحملات الأخيرة، مستفيدة من التطبيقات العامة مثل خوادم IIS كنقاط دخول للهجمات، وبعد ذلك تنشر مجموعات أدوات ضارة متطورة على بيئة الضحية”. الباحثون في تريند مايكرو تيد لي وثيو تشين قال في تحليل نشر الأسبوع الماضي.

وتعتمد النتائج على التقارير الأخيرة الصادرة عن شركتي Zscaler وMandiant المملوكة لشركة Google، والتي تناولت أيضًا تفاصيل استخدام جهة التهديد لعائلات البرامج الضارة مثل DodgeBox (المعروفة أيضًا باسم DUSTPAN) وMoonWalk (المعروفة أيضًا باسم DUSTTRAP). وقد منحتهم Trend Micro الألقاب StealthReacher وSneakCross.

يُعرف Earth Baku، وهو جهة تهديد مرتبطة بـ APT41، باستخدامه لـ StealthVector منذ أكتوبر 2020. وتتضمن سلاسل الهجوم استغلال التطبيقات العامة لإسقاط الفيروس. جودزيلا web shell، والذي يُستخدم بعد ذلك لتسليم حمولات المتابعة.

تم تصنيف StealthReacher على أنه نسخة محسنة من برنامج التحميل الخلفي StealthVector المسؤول عن إطلاق SneakCross، وهو زرع معياري وخليفة محتمل لـ ScrambleCross الذي يستفيد من خدمات Google لاتصالات القيادة والتحكم (C2).

وتتميز الهجمات أيضًا باستخدام أدوات ما بعد الاستغلال الأخرى مثل com.iox, راكشاساوخدمة الشبكة الافتراضية الخاصة (VPN) المعروفة باسم مقياس الذيل. يتم استخراج البيانات الحساسة إلى خدمة التخزين السحابي MEGA عن طريق أداة مساعدة لسطر الأوامر مدبلجة ميجاكمد.

وقال الباحثون: “لقد استخدمت المجموعة أدوات تحميل جديدة مثل StealthVector وStealthReacher، لإطلاق مكونات الباب الخلفي خلسة، وأضافت SneakCross كأحدث باب خلفي معياري لها”.

“استخدمت Earth Baku أيضًا العديد من الأدوات أثناء مرحلة ما بعد الاستغلال، بما في ذلك أداة iox المخصصة، وRakshasa، وTailScale للمثابرة، وMEGAcmd لاستخلاص البيانات بكفاءة.”