قراصنة صينيون يستهدفون منظمة غير حكومية تايوانية والولايات المتحدة باستخدام برنامج MgBot الخبيث
تم استهداف منظمات في تايوان ومنظمة أمريكية غير حكومية مقرها في الصين من قبل مجموعة قرصنة ترعاها الدولة تابعة لبكين تسمى الخنجر باستخدام مجموعة مطورة من أدوات البرامج الضارة.
وتعد الحملة علامة على أن المجموعة “تشارك أيضًا في التجسس الداخلي”، كما قال فريق Symantec’s Threat Hunter، وهو جزء من Broadcom، قال في تقرير جديد نشر اليوم. “في الهجوم على هذه المنظمة، استغل المهاجمون ثغرة أمنية في خادم Apache HTTP لتوصيل البرامج الضارة MgBot.”
تمت ملاحظة Daggerfly، المعروف أيضًا باسم Bronze Highland وEvasive Panda، سابقًا باستخدام إطار عمل البرامج الضارة المعياري MgBot فيما يتعلق بمهمة جمع المعلومات الاستخبارية التي تستهدف مقدمي خدمات الاتصالات في إفريقيا. ومن المعروف أنه يعمل منذ عام 2012.
وأشارت الشركة إلى أنه “يبدو أن Daggerfly قادر على الاستجابة للتعرض من خلال تحديث مجموعة أدواته بسرعة لمواصلة أنشطة التجسس بأقل قدر من التعطيل”.
تتميز أحدث مجموعة من الهجمات باستخدام عائلة برامج ضارة جديدة تعتمد على MgBot بالإضافة إلى نسخة محسنة من برنامج ضار معروف لنظام التشغيل Apple macOS يسمى MACMA، والذي تم الكشف عنه لأول مرة من قبل مجموعة تحليل التهديدات (TAG) من Google في نوفمبر 2021 على النحو الموزع. عبر هجمات Watering Hole التي تستهدف مستخدمي الإنترنت في هونغ كونغ من خلال استغلال الثغرات الأمنية في متصفح Safari.
يمثل هذا التطوير المرة الأولى التي يتم فيها ربط سلالة البرامج الضارة، القادرة على جمع المعلومات الحساسة وتنفيذ أوامر عشوائية، بشكل صريح بمجموعة قرصنة معينة.
“الفاعلون الذين يقفون وراء macOS.MACMA على الأقل كانوا يعيدون استخدام التعليمات البرمجية من مطوري ELF/Android وربما كانوا يستهدفون أيضًا هواتف Android ببرامج ضارة أيضًا،” SentinelOne ذُكر في تحليل لاحق في ذلك الوقت.
تنبع اتصالات MACMA بـ Daggerly أيضًا من تداخل التعليمات البرمجية المصدر بين البرنامج الضار وMgbot، وحقيقة أنه يتصل بخادم القيادة والتحكم (C2) (103.243.212)[.]98) والذي تم استخدامه أيضًا بواسطة قطارة MgBot.
برنامج ضار آخر جديد في ترسانتها هو Nightdoor (المعروف أيضًا باسم NetMM وSuzafk)، وهو برنامج مزروع يستخدم Google Drive API لـ C2 وتم استخدامه في هجمات Watering Hole التي تستهدف المستخدمين التبتيين منذ سبتمبر 2023 على الأقل. تم توثيق تفاصيل النشاط لأول مرة بواسطة ESET في وقت سابق من شهر مارس.
وقالت سيمانتيك: “يمكن للمجموعة إنشاء إصدارات من أدواتها تستهدف معظم منصات أنظمة التشغيل الرئيسية”، مضيفة أنها “شاهدت دليلاً على القدرة على اختراق ملفات APK لنظام Android، وأدوات اعتراض الرسائل القصيرة، وأدوات اعتراض طلبات DNS، وحتى عائلات البرامج الضارة التي تستهدف نظام التشغيل Solaris OS”. “.
ويأتي هذا التطور في الوقت الذي ادعى فيه المركز الوطني الصيني للاستجابة لطوارئ فيروسات الكمبيوتر (CVERC) أن فولت تايفون – الذي نسبته دول العيون الخمس إلى مجموعة تجسس صينية – هو اختراع لوكالات المخابرات الأمريكية، ووصفه بأنه معلومات مضللة. حملة.
“على الرغم من أن أهدافها الرئيسية هي الكونجرس الأمريكي والشعب الأمريكي، إلا أنها تحاول أيضًا[s] لتشويه سمعة الصين وزرع الفتنة [sic] بين الصين والدول الأخرى، واحتواء التنمية الصينية، وسرقة الشركات الصينية”. وأكد في تقرير حديث.
إرسال التعليق