قراصنة APT41 يستخدمون ShadowPad وCobalt Strike في هجوم إلكتروني على المعهد التايواني
تم اختراق معهد أبحاث تابع للحكومة التايوانية متخصص في الحوسبة والتقنيات المرتبطة بها من قبل جهات تهديد تابعة للدولة القومية لها علاقات مع الصين، وفقًا للنتائج الجديدة التي توصلت إليها شركة Cisco Talos.
تم استهداف المنظمة التي لم يذكر اسمها في وقت مبكر من منتصف يوليو 2023 لتقديم مجموعة متنوعة من الأبواب الخلفية وأدوات ما بعد الاختراق مثل ShadowPad وCobalt Strike. وقد نسبت بثقة متوسطة إلى مجموعة قرصنة غزيرة الإنتاج تم تتبعها باسم APT41.
“استغلت البرامج الضارة ShadowPad المستخدمة في الحملة الحالية إصدارًا قديمًا ضعيفًا من برنامج Microsoft Office IME الثنائي كمحمل لتحميل أداة تحميل المرحلة الثانية المخصصة لإطلاق الحمولة،” هذا ما قاله باحثو الأمن جوي تشين وآشلي شين وفيتور فينتورا. قال.
“لقد قام ممثل التهديد باختراق ثلاثة مضيفين في البيئة المستهدفة وتمكن من سرقة بعض المستندات من الشبكة.”
قالت Cisco Talos إنها اكتشفت النشاط في أغسطس 2023 بعد اكتشاف ما وصفته بـ “أوامر PowerShell غير الطبيعية” التي تتصل بعنوان IP لتنزيل وتنفيذ نصوص PowerShell داخل البيئة المخترقة.
لا يُعرف بالضبط ناقل الوصول الأولي المستخدم في الهجوم، على الرغم من أنه يتضمن استخدام غلاف ويب للحفاظ على الوصول المستمر وإسقاط حمولات إضافية مثل ShadowPad وCobalt Strike، مع تسليم الأخير عن طريق محمل Cobalt Strike المستند إلى Go المسمى CS-تجنب القتل.
وقال الباحثون: “تم تطوير البرنامج الخبيث Cobalt Strike باستخدام أداة تحميل مضادة للمركبات المضادة للمركبات (AV) لتجاوز الكشف عن المركبات المضادة للمركبات وتجنب الحجر الصحي للمنتج الأمني”.
بالتناوب، تمت ملاحظة جهة التهديد وهي تقوم بتشغيل أوامر PowerShell لتشغيل البرامج النصية المسؤولة عن تشغيل ShadowPad في الذاكرة وجلب البرامج الضارة Cobalt Strike من خادم القيادة والتحكم (C2) المخترق. يُسمى أيضًا مُحمل ShadowPad المستند إلى DLL سكاتر بي، يتم تنفيذه عبر التحميل الجانبي لـ DLL.
وتضمنت بعض الخطوات الأخرى التي تم تنفيذها كجزء من الاختراق استخدام Mimikatz لاستخراج كلمات المرور وتنفيذ عدة أوامر لجمع معلومات عن حسابات المستخدمين وبنية الدليل وتكوينات الشبكة.
“أنشأت APT41 أداة تحميل مخصصة لإثبات المفهوم CVE-2018-0824 وقال تالوس، في إشارة إلى الحمولة النهائية، “مباشرة في الذاكرة، وذلك باستخدام ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد لتحقيق تصعيد الامتيازات المحلية،” UnmarshalPwn، يتم إطلاقها بعد المرور بثلاث مراحل مختلفة.
وأشار جهاز الأمن السيبراني أيضًا إلى محاولات الخصم لتجنب الكشف عن طريق وقف نشاطه عند اكتشاف مستخدمين آخرين على النظام. وقال الباحثون: “بمجرد نشر الأبواب الخلفية، سيحذف الممثل الخبيث غلاف الويب وحساب الضيف الذي سمح بالوصول الأولي”.
ويأتي الكشف كما ألمانيا مكشوف في وقت سابق من هذا الأسبوع، كانت الجهات الحكومية الصينية وراء هجوم سيبراني عام 2021 على وكالة رسم الخرائط الوطنية في البلاد، المكتب الفيدرالي لرسم الخرائط والجيوديسيا (BKG)، لأغراض التجسس.
وردا على هذه الاتهامات، ردت سفارة الصين في برلين قال الاتهام لا أساس له من الصحة ودعا ألمانيا إلى “التوقف عن ممارسة استخدام قضايا الأمن السيبراني لتشويه سمعة الصين سياسيا وإعلاميا”.
إرسال التعليق