قراصنة مرتبطون بالصين يخترقون مزود خدمة الإنترنت لنشر تحديثات البرامج الضارة
ممثل التهديد المرتبط بالصين المعروف باسم الباندا المراوغة اخترق مزوّد خدمة إنترنت (ISP) لم يذكر اسمه لدفع تحديثات البرامج الضارة إلى الشركات المستهدفة في منتصف عام 2023، مما يسلط الضوء على مستوى جديد من التطور المرتبط بالمجموعة.
Evasive Panda، والمعروفة أيضًا بأسماء Bronze Highland وDaggerfly وStormBamboo، هي مجموعة تجسس إلكترونية نشطة منذ عام 2012 على الأقل، وتستفيد من الأبواب الخلفية مثل MgBot (المعروفة أيضًا باسم POCOSTICK) وNightdoor (المعروفة أيضًا باسم NetMM وSuzafk) لجمع المعلومات الحساسة. .
وفي الآونة الأخيرة، نُسب التهديد رسميًا إلى استخدام سلالة من البرامج الضارة لنظام التشغيل MacOS تسمى MACMA، والتي تم ملاحظتها في البرية منذ عام 2021.
“StormBamboo هو جهة فاعلة تهديدية ذات مهارات عالية وعدوانية تعمل على اختراق أطراف ثالثة (في هذه الحالة، مزود خدمة الإنترنت) لاختراق الأهداف المقصودة،” Volexity قال في تقرير نشر الأسبوع الماضي.
“يشير تنوع البرامج الضارة المستخدمة في الحملات المختلفة من قبل جهة التهديد هذه إلى بذل جهد كبير، مع حمولات مدعومة بشكل نشط ليس فقط لنظامي التشغيل macOS وWindows، ولكن أيضًا لأجهزة الشبكة.”
وقد وثقت التقارير العامة من ESET وSymantec على مدى العامين الماضيين استخدام Evasive Panda لـ MgBot وسجلها الحافل في تنظيم هجمات على الحفر وسلاسل التوريد التي تستهدف المستخدمين التبتيين.
وتبين أيضًا أنه استهدف منظمة دولية غير حكومية (NGO) في البر الرئيسي للصين باستخدام MgBot الذي يتم تسليمه عبر قنوات التحديث للتطبيقات المشروعة مثل Tencent QQ.
في حين تم التكهن بأن التحديثات التي تعرضت لأحصنة طروادة كانت إما نتيجة لتسوية سلسلة التوريد لخوادم تحديث Tencent QQ أو حالة هجوم عدو في الوسط (AitM)، يؤكد تحليل Volexity أن الأخير ينبع من تسمم DNS الهجوم على مستوى مزود خدمة الإنترنت.
على وجه التحديد، يقال إن جهة التهديد تعمل على تغيير استجابات استعلام DNS لنطاقات محددة مرتبطة بآليات التحديث التلقائي للبرامج، ملاحقة البرامج التي تستخدم آليات التحديث غير الآمنة، مثل HTTP، أو لم تفرض فحوصات سلامة كافية للمثبتات.
“تم اكتشاف أن StormBamboo قد سمم طلبات DNS لنشر البرامج الضارة عبر آلية التحديث التلقائي HTTP والاستجابات السامة لأسماء المضيفين الشرعية التي تم استخدامها كخوادم المرحلة الثانية للقيادة والتحكم (C2)،” الباحثون Ankur Saini وPaul Rascagneres، قال ستيفن أدير وتوماس لانكستر.
تعتبر سلاسل الهجوم واضحة إلى حد ما حيث يتم إساءة استخدام آليات التحديث غير الآمنة لتقديم إما MgBot أو MACMA اعتمادًا على نظام التشغيل المستخدم. قالت Volexity إنها أخطرت مزود خدمة الإنترنت المعني بمعالجة هجوم تسميم DNS.
استلزمت إحدى الحالات أيضًا نشر ملحق Google Chrome على جهاز macOS الخاص بالضحية عن طريق تعديل ملف التفضيلات الآمنة. تزعم الوظيفة الإضافية للمتصفح أنها أداة تقوم بتحميل صفحة في وضع التوافق مع Internet Explorer، ولكن هدفها الرئيسي هو تحويل ملفات تعريف الارتباط للمتصفح إلى حساب Google Drive الذي يتحكم فيه الخصم.
وقال الباحثون: “يمكن للمهاجم اعتراض طلبات DNS وتسميمها بعناوين IP ضارة، ثم استخدام هذه التقنية لإساءة استخدام آليات التحديث التلقائي التي تستخدم HTTP بدلاً من HTTPS”.
إرسال التعليق