تتسلل APT41 إلى شبكات في إيطاليا وإسبانيا وتايوان وتركيا والمملكة المتحدة
أصبحت العديد من المنظمات العاملة في قطاعات الشحن والخدمات اللوجستية العالمية والإعلام والترفيه والتكنولوجيا والسيارات في إيطاليا وإسبانيا وتايوان وتايلاند وتركيا والمملكة المتحدة هدفًا لـ “حملة مستمرة” من قبل الشركات الغزيرة التي تتخذ من الصين مقراً لها. أبت41 مجموعة القرصنة.
“نجحت APT41 في التسلل والحفاظ على وصول طويل وغير مصرح به إلى شبكات العديد من الضحايا منذ عام 2023، مما مكنهم من استخراج البيانات الحساسة على مدى فترة طويلة”، حسبما ذكرت شركة Mandiant المملوكة لشركة Google. قال في تقرير جديد نشر الخميس.
ووصفت شركة استخبارات التهديدات المجموعة العدائية بأنها فريدة من نوعها بين الجهات الفاعلة في العلاقة مع الصين بسبب استخدامها “برامج ضارة غير عامة مخصصة عادةً لعمليات التجسس في أنشطة يبدو أنها تقع خارج نطاق المهام التي ترعاها الدولة”.
تتضمن سلاسل الهجوم استخدام هياكل الويب (ANTSWORD وBLUEBEAM)، والقطرات المخصصة (DUSTPAN وDUSTTRAP)، والأدوات المتاحة للعامة (SQLULDR2 وPINEGROVE) لتحقيق الاستمرارية، وتقديم حمولات إضافية، وتصفية البيانات محل الاهتمام.
تعمل أغلفة الويب كقناة لتنزيل قطارة DUSTPAN (المعروفة أيضًا باسم StealthVector) المسؤولة عن تحميل Cobalt Strike Beacon لاتصالات القيادة والتحكم (C2)، يليها نشر الحركة الجانبية لما بعد قطارة DUSTTRAP.
تم تكوين DUSTTRAP، من جانبه، لفك تشفير الحمولة الضارة وتنفيذها في الذاكرة، والتي بدورها تقوم بإنشاء اتصال مع خادم يتحكم فيه المهاجم أو حساب Google Workspace المخترق في محاولة لإخفاء أنشطته الضارة.
قالت Google إن حسابات Workspace المحددة تمت معالجتها لمنع الوصول غير المصرح به. لكنها لم تكشف عن عدد الحسابات التي تأثرت.
تتميز عمليات التطفل أيضًا باستخدام SQLULDR2 لتصدير البيانات من قواعد بيانات Oracle إلى ملف نصي محلي وPINEGROVE لنقل كميات كبيرة من البيانات الحساسة من الشبكات المخترقة عن طريق إساءة استخدام Microsoft OneDrive كناقل للتسلل.
تجدر الإشارة هنا إلى أن عائلات البرامج الضارة التي يتعقبها Mandiant مثل DUSTPAN وDUSTTRAP تتداخل مع تلك التي أطلق عليها Zscaler ThreatLabz الاسم الرمزي DodgeBox وMoonWalk، على التوالي.
وقال باحثو مانديانت: “إن DUSTTRAP عبارة عن إطار عمل متعدد المراحل يحتوي على مكونات متعددة”، مضيفين أنهم حددوا ما لا يقل عن 15 مكونًا إضافيًا قادرًا على تنفيذ أوامر shell، وتنفيذ عمليات نظام الملفات، وتعداد العمليات وإنهائها، والتقاط ضغطات المفاتيح ولقطات الشاشة، وجمع معلومات النظام، وتعديل سجل ويندوز.
كما تم تصميمه أيضًا لاستكشاف المضيفين البعيدين، وإجراء عمليات بحث في نظام اسم المجال (DNS)، وسرد جلسات سطح المكتب البعيد، وتحميل الملفات، وإجراء عمليات معالجة متنوعة إلى Microsoft Active Directory.
وقالت الشركة: “إن البرنامج الضار DUSTTRAP والمكونات المرتبطة به التي تمت ملاحظتها أثناء الاختراق كانت عبارة عن تعليمات برمجية موقعة مع شهادات توقيع التعليمات البرمجية المسروقة”. “يبدو أن إحدى شهادات توقيع الرمز مرتبطة بشركة كورية جنوبية تعمل في قطاع صناعة الألعاب.”
GhostEmperor يعود إلى المطاردة
ويأتي هذا الكشف في الوقت الذي كشفت فيه شركة الأمن السيبراني الإسرائيلية Sygnia عن تفاصيل حملة هجوم إلكتروني شنتها مجموعة تهديد متطورة من الصين تسمى GhostEmperor لتقديم نسخة مختلفة من Demodex rootkit.
الطريقة الدقيقة المستخدمة لاختراق الأهداف غير واضحة حاليًا، على الرغم من أنه تمت ملاحظة المجموعة سابقًا وهي تستغل العيوب المعروفة في التطبيقات التي تواجه الإنترنت. يسهل الوصول الأولي تنفيذ البرنامج النصي الدفعي لنظام التشغيل Windows، والذي يسقط ملف أرشيف الخزانة (CAB) لتشغيل وحدة زرع أساسية في النهاية.
تم تجهيز الغرسة لإدارة اتصالات C2 وتثبيت Rootkit Demodex kernel باستخدام مشروع مفتوح المصدر يسمى محرك الغش للتغلب على فرض توقيع برنامج تشغيل Windows (دي إس إي) آلية.
“يستخدم GhostEmperor برنامجًا ضارًا متعدد المراحل لتحقيق التنفيذ الخفي والمثابرة ويستخدم عدة طرق لعرقلة عملية التحليل،” الباحث الأمني دور نزار قال.
إرسال التعليق