يستخدم ممثل التهديد الجديد أدوات مفتوحة المصدر لشن هجمات واسعة النطاق
وقد لوحظت جهات تهديد غير معروفة تستخدم أدوات مفتوحة المصدر كجزء من حملة تجسس إلكترونية مشتبه بها تستهدف مؤسسات حكومية عالمية وقطاع خاص.
تقوم مجموعة Insikt التابعة لشركة Recorded Future بتتبع النشاط تحت الاسم المستعار المؤقت TAG-100، مع الإشارة إلى أن الخصم من المحتمل أن يكون قد ألحق الضرر بمنظمات في ما لا يقل عن عشر دول في جميع أنحاء أفريقيا وآسيا وأمريكا الشمالية وأمريكا الجنوبية وأوقيانوسيا، بما في ذلك منظمتان حكوميتان دوليتان لم يتم ذكر اسمهما في منطقة آسيا والمحيط الهادئ. .
تم أيضًا تسليط الضوء منذ فبراير 2024 على الكيانات الدبلوماسية والحكومية وسلسلة توريد أشباه الموصلات والكيانات غير الربحية والدينية الموجودة في كمبوديا وجيبوتي وجمهورية الدومينيكان وفيجي وإندونيسيا وهولندا وتايوان والمملكة المتحدة والولايات المتحدة وفيتنام.
“تستخدم TAG-100 إمكانات الوصول عن بعد مفتوحة المصدر وتستغل العديد من الأجهزة التي تواجه الإنترنت للوصول الأولي،” شركة الأمن السيبراني قال. “استخدمت المجموعة أبوابًا خلفية مفتوحة المصدر بانتيجانا وSpark RAT بعد الاستغلال.”
تتضمن سلاسل الهجوم استغلال الثغرات الأمنية المعروفة التي تؤثر على العديد من المنتجات التي تواجه الإنترنت، بما في ذلك Citrix NetScaler وF5 BIG-IP وZimbra وMicrosoft Exchange Server وSonicWall وCisco Adaptive Security Appliances (ASA) وPalo Alto Networks GlobalProtect وFortinet FortiGate.
وقد لوحظت المجموعة أيضًا وهي تقوم بنشاط استطلاعي واسع النطاق يستهدف الأجهزة التي تواجه الإنترنت التابعة لمنظمات في خمسة عشر دولة على الأقل، بما في ذلك كوبا وفرنسا وإيطاليا واليابان وماليزيا. وشمل ذلك أيضًا العديد من السفارات الكوبية الموجودة في بوليفيا وفرنسا والولايات المتحدة
“اعتبارًا من 16 أبريل 2024، أجرت TAG-100 نشاط استطلاع واستغلال محتمل يستهدف أجهزة Palo Alto Networks GlobalProtect التابعة للمؤسسات، والتي يقع معظمها في الولايات المتحدة، ضمن قطاعات التعليم والمالية والقانون والحكومة المحلية والمرافق العامة”. قال.
ويقال إن هذا الجهد قد تزامن مع الإصدار العام لثغرة إثبات المفهوم (PoC) لـ CVE-2024-3400 (درجة CVSS: 10.0)، وهي ثغرة أمنية خطيرة في تنفيذ التعليمات البرمجية عن بعد تؤثر على جدران الحماية GlobalProtect التابعة لشركة Palo Alto Networks.
ويتبع الوصول الأولي الناجح نشر Pantegana وSpark RAT وCobalt Strike Beacon على الأجهزة المضيفة المعرضة للخطر.
توضح النتائج كيف يمكن دمج عمليات استغلال إثبات المفهوم (PoC) مع البرامج مفتوحة المصدر لتنسيق الهجمات، مما يقلل بشكل فعال من حاجز الدخول أمام الجهات الفاعلة الأقل تطوراً في مجال التهديد. علاوة على ذلك، فإن مثل هذه الحرفة تمكن الخصوم من تعقيد جهود تحديد المصدر والتهرب من الكشف.
“يعد الاستهداف واسع النطاق للأجهزة التي تواجه الإنترنت جذابًا بشكل خاص لأنه يوفر موطئ قدم داخل الشبكة المستهدفة عبر منتجات غالبًا ما تكون ذات رؤية محدودة وقدرات تسجيل ودعم للحلول الأمنية التقليدية، مما يقلل من مخاطر الاكتشاف بعد الاستغلال”. قال المستقبل.
إرسال التعليق