قراصنة صينيون يستهدفوان خوادم VMware Horizon ,تهديد مستمر متقدم صيني تم تتبعه حيث لوحظ أن Deep Panda يستغل ثغرة Log4Shell في خوادم VMware Horizon لنشر باب خلفي وجذر خرساني جديد على الأجهزة المصابة بهدف سرقة البيانات الحساسة.
قال روتم سديه أور وإليران فورونوفيتش ، باحثان في FortiGuard Labs في Fortinet’s FortiGuard Labs ، في تقرير صدر هذا الأسبوع: “كانت طبيعة الاستهداف انتهازية من حيث حدوث عدوى متعددة في العديد من البلدان والقطاعات المختلفة في نفس التواريخ”. “الضحايا ينتمون إلى الصناعات المالية والأكاديمية ومستحضرات التجميل والسفر”.
يقال إن Deep Panda. المعروف أيضًا بألقاب Shell Crew و KungFu Kittens و Bronze Firestone. نشط منذ عام 2010 على الأقل. مع الهجمات الأخيرة “التي تستهدف الشركات القانونية لسرقة البيانات ومقدمي التكنولوجيا لبناء البنية التحتية للقيادة والتحكم وفقًا لـ Secureworks.
شركة الأمن السيبراني CrowdStrike
التي خصصت اسم الباندا لمجموعة التهديدات على طول الطريق في يوليو 2014. وصفتها بأنها “واحدة من أكثر مجموعات التطفل السيبراني للدولة القومية الصينية تقدمًا.”
تظهر أحدث مجموعة من الهجمات التي وثقتها Fortinet أن إجراء العدوى تضمن استغلال خطأ تنفيذ التعليمات البرمجية عن بُعد Log4j (المعروف أيضًا باسم Log4Shell) في خوادم VMware Horizon الضعيفة لإنتاج سلسلة من المراحل الوسيطة. مما يؤدي في النهاية إلى نشر باب خلفي يطلق عليه Milestone (“1.dll”).
استنادًا إلى التعليمات البرمجية المصدر المسربة لـ Gh0st RAT سيئة السمعة ولكن مع وجود اختلافات ملحوظة في آلية اتصال القيادة والتحكم (C2) المستخدمة. تم تصميم Milestone أيضًا لإرسال معلومات حول الجلسات الحالية على النظام إلى الخادم البعيد.
تم الكشف أيضًا أثناء الهجمات عن مجموعة rootkit للنواة تسمى “Fire Chili” تم توقيعها رقميًا بشهادات مسروقة من شركات تطوير الألعاب. مما يمكّنها من التهرب من الكشف عن طريق برامج الأمان وإخفاء عمليات الملفات الضارة والعمليات وإضافات مفتاح التسجيل واتصالات الشبكة.
يتم تحقيق ذلك عن طريق استدعاءات نظام ioctl (التحكم في الإدخال / الإخراج) لإخفاء مفتاح تسجيل برنامج التشغيل rootkit. وملفات Milestone backdoor. وملف المحمل والعملية المستخدمة لإطلاق الغرسة.
تنبع إسناد Fortinet إلى Deep Panda من التداخل بين Milestone و Infoadmin RAT. وهو حصان طروادة للوصول عن بعد استخدمته مجموعة القرصنة المتطورة في أوائل عام 2010. مع أدلة إضافية تشير إلى أوجه التشابه التكتيكية مع مجموعة Winnti.
يتم دعم ذلك من خلال استخدام التوقيعات الرقمية المخترقة التي تنتمي إلى شركات الألعاب. وهي هدف مفضل لشركة Winnti. بالإضافة إلى مجال C2 (gnisoft [.] com). والذي تم ربطه سابقًا بالممثل الصيني الذي ترعاه الدولة اعتبارًا من مايو 2020.
يتحدث الباحثون عن:
وقال الباحثون: “سبب ارتباط هذه الأدوات بمجموعتين مختلفتين غير واضح في الوقت الحالي”. “من المحتمل أن يكون مطورو المجموعات قد شاركوا الموارد. مثل الشهادات المسروقة والبنية التحتية C2. مع بعضهم البعض. قد يفسر هذا سبب توقيع العينات بعد عدة ساعات فقط من تجميعها.”
يضيف الكشف إلى قائمة طويلة من مجموعات القرصنة التي قامت بتسليح ثغرة Log4Shell لضرب منصة المحاكاة الافتراضية الخاصة بـ VMware.
في كانون الأول (ديسمبر) 2021. وصفت CrowdStrike حملة فاشلة قام بها العدو الملقب بـ Aquatic Panda والتي استفادت من الخلل لأداء العديد من عمليات ما بعد الاستغلال. بما في ذلك الاستطلاع وجمع أوراق الاعتماد على الأنظمة المستهدفة.
منذ ذلك الحين. انضمت مجموعات متعددة إلى المعركة. بما في ذلك مجموعة TunnelVision الإيرانية. والتي لوحظت تستغل بنشاط عيب مكتبة تسجيل Log4j لخرق خوادم VMware Horizon غير المصححة ببرمجيات الفدية.
في الآونة الأخيرة. سلطت شركة الأمن السيبراني Sophos الضوء على عدد كبير من الهجمات ضد خوادم Horizon المعرضة للخطر والتي كانت مستمرة منذ يناير والتي تم شنها من قبل جهات التهديد لتعدين العملات المشفرة بشكل غير مشروع. أو تثبيت قذائف عكسية قائمة على PowerShell. أو لنشر وكلاء Atera لتسليم حمولات إضافية عن بعد .
قال باحثو سوفوس: “تعد محاولات اختراق خوادم Horizon من بين عمليات الاستغلال الأكثر استهدافًا لنقاط ضعف Log4Shell نظرًا لطبيعتها”. مضيفين أن “المنصات مثل Horizon تعد أهدافًا جذابة بشكل خاص لجميع أنواع الجهات الفاعلة الخبيثة لأنها منتشرة ويمكنها (إذا كان لا يزال معرضة للخطر) يسهل العثور عليها واستغلالها باستخدام أدوات تم اختبارها جيدًا “.
اذا وجدت هذه المقالة مثيرة للاهتمام؟ تابعً على Facebook لقراءة المزيد من المحتوى الحصري الذي ننشره.