أصبحت قطاعات الحكومة والطيران والتعليم والاتصالات الواقعة في جنوب وجنوب شرق آسيا تحت رادار مجموعة قرصنة جديدة كجزء من حملة شديدة الاستهداف بدأت في منتصف عام 2022 واستمرت حتى الربع الأول من عام 2023. حملة إلكترونية استمرت لمدة
تقوم شركة Symantec ، التي تنتجها شركة Broadcom Software ، بتتبع النشاط تحت اسمها Lancefly تحت عنوان الحشرات ، حيث تستخدم الهجمات بابًا خلفيًا “قويًا” يسمى Merdoor.
تشير الأدلة التي تم جمعها حتى الآن إلى أن الزرع المخصص يتم استخدامه منذ عام 2018. ويتم تقييم الهدف النهائي للحملة. استنادًا إلى الأدوات ونمط الضحية ، على أنه جمع المعلومات الاستخبارية.
وقالت سيمانتيك في تحليل تمت مشاركته مع The Hacker News: “يتم استخدام الباب الخلفي بشكل انتقائي للغاية. حيث يظهر فقط على عدد قليل من الشبكات وعدد صغير من الأجهزة على مر السنين. ويبدو أن استخدامه مستهدف بشكل كبير”.
“المهاجمون في هذه الحملة لديهم أيضًا حق الوصول إلى إصدار محدث من ZXShell rootkit.”
على الرغم من أن ناقل التسلل الأولي الدقيق المستخدم غير واضح حاليًا. إلا أنه يشتبه في أنه ينطوي على استخدام إغراءات التصيد أو فرض SSH الغاشم أو استغلال الخوادم المكشوفة عبر الإنترنت.
مالذي تعمله سلاسل الهجوم
تؤدي سلاسل الهجوم في النهاية إلى نشر ZXShell و Merdoor. وهو برنامج ضار كامل الميزات يمكنه الاتصال بخادم يتحكم فيه الممثل للحصول على مزيد من الأوامر وضربات مفاتيح التسجيل.
ZXShell ، الذي تم توثيقه لأول مرة بواسطة Cisco في أكتوبر 2014. عبارة عن مجموعة أدوات rootkit تأتي مع العديد من الميزات لجمع البيانات الحساسة من المضيفين المصابين. تم ربط استخدام ZXShell بالعديد من الممثلين الصينيين مثل APT17 (Aurora Panda) و APT27 (المعروف أيضًا باسم Budworm أو Emissary Panda) في الماضي.
وقالت سيمانتك: “إن الكود المصدري لهذا الجذور الخفية متاح للجمهور. لذا يمكن استخدامه من قبل مجموعات مختلفة متعددة”. “يبدو أن الإصدار الجديد من الجذور الخفية التي يستخدمها Lancefly أصغر حجمًا. بينما يحتوي أيضًا على وظائف إضافية ويستهدف برامج مكافحة فيروسات إضافية لتعطيلها.”
رابط صيني آخر يأتي من حقيقة أن جذر ZXShell تم توقيعه بشهادة “Wemade Entertainment Co. Ltd”. التي أبلغت عنها Mandiant سابقًا في أغسطس 2029 بأنها مرتبطة بـ APT41 (المعروفة أيضًا باسم Winnti).
تم تحديد تدخلات Lancefly على أنها تستخدم PlugX وخليفتها ShadowPad. وهذا الأخير عبارة عن منصة برمجيات خبيثة معيارية يتم مشاركتها بشكل خاص بين العديد من الجهات الفاعلة الصينية التي ترعاها الدولة منذ عام 2015.
ومع ذلك. فمن المعروف أيضًا أن مشاركة الشهادات والأدوات منتشرة بين المجموعات التي ترعاها الدولة الصينية. مما يجعل الإسناد إلى طاقم هجوم معروف أمرًا صعبًا. حملة إلكترونية استمرت لمدة
“بينما يبدو أن الباب الخلفي الميردور كان موجودًا منذ عدة سنوات. يبدو أنه تم استخدامه فقط في عدد قليل من الهجمات في تلك الفترة الزمنية”. أشارت سيمانتيك. “قد يشير هذا الاستخدام الحكيم للأداة إلى رغبة Lancefly في إبقاء نشاطها تحت الرادار.”