الأمن السيبراني LODEINFO, الشركات, اليابانية, ببرامج, صينيون, ضارة, قراصنة, وNOOPDOOR, يستهدفون eshrag يوليو 31, 2024

قراصنة صينيون يستهدفون الشركات اليابانية ببرامج ضارة LODEINFO وNOOPDOOR

31 يوليو 2024رافي لاكشمانانالهجوم السيبراني / استخبارات التهديد

تعد المنظمات اليابانية هدفًا لممثل تهديد الدولة القومية الصيني الذي يستفيد من عائلات البرامج الضارة مثل LODEINFO وNOOPDOOR للحصول على معلومات حساسة من المضيفين المخترقين بينما يظلون خلسة تحت الرادار في بعض الحالات لفترة زمنية تتراوح من عامين إلى ثلاثة أعوام.

وتقوم شركة الأمن السيبراني الإسرائيلية Cybereason بتتبع الحملة تحت هذا الاسم رمح الوقواق، ونسبها إلى مجموعة التطفل المعروفة التي يطلق عليها اسم APT10، والتي تُعرف أيضًا باسم Bronze Riverside، وChessMaster، وCicada، وCloudhopper، وMenuPass، وMirrorFace، وPurple Typhoon (البوتاسيوم سابقًا)، وStone Panda.

“لم يستخدم الممثلون وراء NOOPDOOR LODEINFO أثناء الحملة فحسب، بل استخدموا أيضًا الباب الخلفي الجديد لاستخلاص البيانات من شبكات المؤسسات المخترقة”. قال.

وتأتي النتائج بعد أسابيع من JPCERT/CC حذر من الهجمات السيبرانية التي شنها ممثل التهديد الذي يستهدف الكيانات اليابانية باستخدام سلالتي البرامج الضارة.

في وقت سابق من شهر يناير، كشفت شركة ITOCHU Cyber & Intelligence أنها كشفت عن نسخة محدثة من الباب الخلفي LODEINFO تتضمن تقنيات مكافحة التحليل، مما يسلط الضوء على استخدام رسائل البريد الإلكتروني التصيدية لنشر البرامج الضارة.

قامت شركة Trend Micro، التي صاغت في الأصل مصطلح MenuPass لوصف جهة التهديد تتميز APT10 هي مجموعة شاملة تتألف من مجموعتين تسميان Earth Tengshe وEarth Kasha. ومن المعروف أن طاقم القرصنة يعمل منذ عام 2006 على الأقل.

في حين أن Earth Tengshe مرتبط بحملات توزيع SigLoader وSodaMaster، فإن Earth Kasha يُنسب إلى الاستخدام الحصري لـ LODEINFO وNOOPDOOR. وقد لوحظ أن كلا المجموعتين الفرعيتين تستهدفان التطبيقات العامة بهدف تسريب البيانات والمعلومات في الشبكة.

ويقال أيضًا أن Earth Tengshe كذلك متعلق ب إلى مجموعة أخرى تحمل الاسم الرمزي Bronze Starlight (المعروف أيضًا باسم Emperor Dragonfly أو Storm-0401)، والتي لها تاريخ في تشغيل عائلات برامج الفدية قصيرة العمر مثل LockFile وAtom Silo وRook وNight Sky وPandora وCheerscrypt.

من ناحية أخرى، تبين أن Earth Kasha قامت بتبديل طرق الوصول الأولية الخاصة بها من خلال استغلال التطبيقات العامة منذ أبريل 2023، مستفيدة من العيوب غير المصححة في Array AG (CVE-2023-28461)، فورتينت (CVE-2023-27997)، والبروفيسور (CVE-2023-45727) مثيلات لتوزيع LODEINFO وNOOPDOOR (المعروف أيضًا باسم HiddenFace).

يأتي LODEINFO مزودًا بالعديد من الأوامر لتنفيذ كود القشرة العشوائي، وتسجيل ضغطات المفاتيح، والتقاط لقطات الشاشة، وإنهاء العمليات، وتصفية الملفات مرة أخرى إلى خادم يتحكم فيه الممثل. NOOPDOOR، الذي يشترك في أوجه التشابه في التعليمات البرمجية مع باب خلفي آخر لـ APT10 يُعرف باسم ANEL Loader، يتميز بوظيفة تحميل الملفات وتنزيلها وتنفيذ كود القشرة وتشغيل المزيد من البرامج.

وقالت Cybereason: “يبدو أن LODEINFO يُستخدم كباب خلفي أساسي، بينما يعمل NOOPDOOR كباب خلفي ثانوي، مما يحافظ على استمراريته داخل شبكة الشركة المخترقة لأكثر من عامين”. “تحافظ الجهات الفاعلة في مجال التهديد على المثابرة داخل البيئة من خلال إساءة استخدام المهام المجدولة.”

وجدت هذه المادة مثيرة للاهتمام؟ اتبعنا تويتر و ينكدين لقراءة المزيد من المحتوى الحصري الذي ننشره.

Source link