قراصنة صينيون يستهدفون مسؤولين حكوميين في أوروبا وأمريكا الجنوبية والشرق الأوسط

قراصنة صينيون يستهدفون مسؤولين حكوميين في أوروبا وأمريكا الجنوبية والشرق الأوسط. استهدفت حملة خبيثة شنتها مجموعة Lazarus Group المرتبطة بكوريا الشمالية مزودي الطاقة في جميع أنحاء العالم، بما في ذلك الموجودون في الولايات المتحدة وكندا واليابان، بين فبراير ويوليو 2022.

وقالت شركة سيسكو تالوس في تقرير تمت مشاركته مع موقع The Hacker News : “تهدف الحملة إلى التسلل إلى المنظمات في جميع أنحاء العالم من أجل إنشاء وصول طويل الأمد ومن ثم إخراج البيانات التي تهم الدولة القومية للخصم” .

دخلت بالفعل بعض عناصر هجمات التجسس المجال العام، بفضل تقارير سابقة من شركة Symantec و AhnLab المملوكتين لشركة Broadcom في وقت سابق من أبريل ومايو. عزت سيمانتك العملية إلى مجموعة يشار إليها باسم Stonefly. وهي مجموعة فرعية من طراز Lazarus المعروفة باسم Andariel، و Guardian of Peace، و OperationTroy ، و Silent Chollima.

بينما أدت هذه الهجمات سابقًا إلى استخدام أجهزة Preft (المعروفة أيضًا باسم Dtrack) و NukeSped (المعروفة أيضًا باسم Manuscrypt) المزروعة، فإن موجة الهجوم الأخيرة تتميز باستخدام قطعتين أخريين من البرامج الضارة: VSingle، وهو روبوت HTTP ينفذ تعليمات برمجية عشوائية من شبكة بعيدة، وجولانج باب خلفي يسمى YamaBot .

كما تم استخدام حصان طروادة جديد للوصول عن بعد يسمى MagicRAT في الحملة.

والذي يأتي مزودا بقدرات للتهرب من الكشف وإطلاق حمولات إضافية على الأنظمة المصابة.

قال الباحثون جونغ سو ان واشير مالهوترا وفيتور فينتورا: “على الرغم من تطبيق نفس التكتيكات في كلا الهجومين. إلا أن عمليات زرع البرامج الضارة التي تم نشرها كانت مختلفة عن بعضها البعض. مما يشير إلى تنوع كبير من الغرسات المتاحة تحت تصرف لازاروس”. .

يتم تسهيل الوصول الأولي إلى شبكات المؤسسات عن طريق استغلال نقاط الضعف في منتجات VMware. (على سبيل المثال ، Log4Shell) مع الهدف النهائي المتمثل في إنشاء وصول مستمر لأداء الأنشطة التي تدعم أهداف حكومة كوريا الشمالية.

يقال إن استخدام VSingle في سلسلة هجوم واحدة. قد مكن الفاعل من تنفيذ مجموعة متنوعة من الأنشطة. مثل الاستطلاع والتسلل والباب الخلفي اليدوي، مما يمنح المشغلين فهمًا قويًا لبيئة الضحية.

تتضمن التكتيكات الأخرى التي تبنتها المجموعة. إلى جانب استخدام البرامج الضارة المخصصة حصاد بيانات الاعتماد عبر أدوات. مثل Mimikatz و Procdump ، وتعطيل مكونات مكافحة الفيروسات. واستكشاف خدمات Active Directory، وحتى اتخاذ خطوات لتنظيف آثارها بعد تنشيط الأبواب الخلفية في نقطة النهاية.

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

اختار العملة