ضرب قراصنة الدولة القومية الصينية APT41 قطاع القمار لتحقيق مكاسب مالية

يُعزى ممثل الدولة القومية الصينية غزير الإنتاج المعروف باسم APT41 (المعروف أيضًا باسم Brass Typhoon أو Earth Baku أو Wicked Panda أو Winnti) إلى هجوم سيبراني متطور يستهدف صناعة المقامرة والألعاب.

“على مدى ستة أشهر على الأقل، جمع المهاجمون خلسة معلومات قيمة من الشركة المستهدفة، بما في ذلك، على سبيل المثال لا الحصر، تكوينات الشبكة وكلمات مرور المستخدم والأسرار من عملية LSASS،” قال إيدو ناور، المؤسس المشارك والرئيس التنفيذي لشركة “LSASS”. وقالت شركة الأمن السيبراني الإسرائيلية Security Joes، في بيان لها: مشترك مع أخبار الهاكر.

“خلال عملية الاقتحام، قام المهاجمون باستمرار بتحديث مجموعة أدواتهم بناءً على استجابة فريق الأمن. ومن خلال مراقبة تصرفات المدافعين، قاموا بتغيير استراتيجياتهم وأدواتهم لتجاوز الكشف والحفاظ على الوصول المستمر إلى الشبكة المخترقة.”

يُظهر الهجوم متعدد المراحل، الذي استهدف أحد عملائه واستمر ما يقرب من تسعة أشهر هذا العام، تداخلات مع مجموعة تسلل تتبعها شركة الأمن السيبراني سوفوس تحت لقب عملية Crimson Palace.

وقال ناعور إن الشركة استجابت للحادث قبل أربعة أشهر، مضيفًا أن “هذه الهجمات تعتمد على صناع القرار الذين ترعاهم الدولة. وهذه المرة نشك بثقة عالية في أن APT41 كانت تسعى لتحقيق مكاسب مالية”.

تم تصميم الحملة مع أخذ التخفي في الاعتبار، والاستفادة من مجموعة من التكتيكات لتحقيق أهدافها باستخدام مجموعة أدوات مخصصة لا تتجاوز برامج الأمان المثبتة في البيئة فحسب، بل تحصد أيضًا المعلومات المهمة وتنشئ قنوات سرية للوصول المستمر عن بُعد.

وصف Security Joes APT41 بأنها “تتمتع بمهارة عالية ومنهجية”، مشيرًا إلى قدرتها على شن هجمات تجسس بالإضافة إلى تسميم سلسلة التوريد، مما يؤدي إلى سرقة الملكية الفكرية والتطفلات ذات الدوافع المالية مثل برامج الفدية وتعدين العملات المشفرة.

إن ناقل الوصول الأولي الدقيق المستخدم في الهجوم غير معروف حاليًا، لكن الأدلة تتجه نحو كونها رسائل بريد إلكتروني للتصيد الاحتيالي، نظرًا لعدم وجود نقاط ضعف نشطة في تطبيقات الويب التي تواجه الإنترنت أو وجود تسوية في سلسلة التوريد.

وقالت الشركة في تقريرها: “بمجرد دخول البنية التحتية المستهدفة، نفذ المهاجمون هجوم DCSync، بهدف حصاد كلمات مرور الخدمة وحسابات المسؤول لتوسيع نطاق وصولهم”. “وباستخدام أوراق الاعتماد هذه، أثبتوا الثبات وحافظوا على سيطرتهم على الشبكة، مع التركيز بشكل خاص على الحسابات الإدارية وحسابات المطورين.”

ويقال إن المهاجمين أجروا بشكل منهجي أنشطة استطلاع وأنشطة ما بعد الاستغلال، وغالبًا ما قاموا بتعديل مجموعة أدواتهم استجابة للخطوات المتخذة لمواجهة التهديد وتصعيد امتيازاتهم بهدف نهائي هو تنزيل حمولات إضافية وتنفيذها.

بعض من التقنيات المستخدمة لتحقيق أهدافهم تشمل Phantom DLL Hijacking واستخدام الأداة المساعدة الشرعية wmic.exe، ناهيك عن إساءة استخدام وصولهم إلى حسابات الخدمة التي تتمتع بامتيازات المسؤول لبدء التنفيذ.

المرحلة التالية هي ملف DLL ضار يُسمى TSVIPSrv.dll يتم استرداده عبر بروتوكول SMB، وبعد ذلك تقوم الحمولة بإنشاء اتصال مع خادم الأوامر والتحكم (C2) المشفر.

“إذا فشل C2 المضمن، تحاول عملية الزرع تحديث معلومات C2 الخاصة به عن طريق حذف مستخدمي GitHub باستخدام عنوان URL التالي: github[.]com/search?o=desc&q=pointers&s=joined&type=Users&.”

“تقوم البرمجيات الخبيثة بتحليل HTML الذي تم إرجاعه من استعلام GitHub، والبحث عن تسلسلات من الكلمات الكبيرة المفصولة بمسافات فقط. وتقوم بجمع ثماني من تلك الكلمات، ثم تستخرج فقط الأحرف الكبيرة بين A وP. وتولد هذه العملية سلسلة مكونة من 8 أحرف، الذي يشفر عنوان IP الخاص بخادم C2 الجديد الذي سيتم استخدامه في الهجوم.”

يمهد الاتصال الأولي مع خادم C2 الطريق لتصنيف النظام المصاب وجلب المزيد من البرامج الضارة ليتم تنفيذها عبر اتصال مأخذ التوصيل.

قال Security Joes إن الجهات الفاعلة في مجال التهديد ظلت صامتة لعدة أسابيع بعد اكتشاف أنشطتها، لكنها عادت في النهاية بنهج متجدد لتنفيذ كود JavaScript المبهم بشدة والموجود ضمن نسخة معدلة من ملف XSL (“texttable.xsl”) باستخدام LOLBIN wmic.exe.

وأوضح الباحثون: “بمجرد إطلاق الأمر WMIC.exe MEMORYCHIP GET، فإنه يقوم بتحميل ملف texttable.xsl بشكل غير مباشر لتنسيق الإخراج، مما يفرض تنفيذ كود JavaScript الضار الذي أدخله المهاجم”.

تعمل JavaScript، من جانبها، بمثابة أداة تنزيل تستخدم النطاق time.qnapntp[.]com كخادم C2 لاسترداد حمولة متابعة تقوم بأخذ بصمات الجهاز وترسل المعلومات مرة أخرى إلى الخادم، مع مراعاة معايير تصفية معينة من المحتمل أن تعمل على استهداف تلك الأجهزة التي تهم جهة التهديد فقط.

وقال الباحثون: “ما يبرز حقًا في الكود هو الاستهداف المتعمد للأجهزة التي تحتوي على عناوين IP تحتوي على السلسلة الفرعية “10.20.22”. “

“يسلط هذا الضوء على الأجهزة المحددة ذات القيمة بالنسبة للمهاجم، وتحديدًا تلك الموجودة في الشبكات الفرعية 10.20.22[0-9].[0-255]. ومن خلال ربط هذه المعلومات بسجلات الشبكة وعناوين IP الخاصة بالأجهزة التي تم العثور على الملف فيها، خلصنا إلى أن المهاجم كان يستخدم آلية التصفية هذه لضمان تأثر الأجهزة الموجودة داخل شبكة VPN الفرعية فقط.”