مجموعة قرصنة صينيون يستهدف أوكرانيا ,تم ربط ممثل التهديد الناطق بالصينية ويدعى Scarab بباب خلفي مخصص يطلق عليه HeaderTip كجزء من حملة تستهدف أوكرانيا منذ أن شرعت روسيا في غزوها الشهر الماضي ، مما يجعلها ثاني مجموعة قرصنة مقرها الصين بعد موستانج باندا تستفيد من الصراع. .

وقال توم هيجل الباحث في SentinelOne في تقرير نُشر هذا الأسبوع: “يمثل النشاط الخبيث أحد الأمثلة العامة الأولى لجهة تهديد صينية تستهدف أوكرانيا منذ بدء الغزو”.

يتبع تحليل SentinelOne استشاريًا من فريق الاستجابة لحالات الطوارئ الحاسوبية (CERT-UA) في أوكرانيا في وقت سابق من هذا الأسبوع يحدد حملة التصيد بالرمح التي تؤدي إلى تسليم ملف أرشيف RAR ، والذي يأتي مع ملف قابل للتنفيذ مصمم لفتح ملف شرك أثناء التخفي. إسقاط DLL ضار يسمى HeaderTip في الخلفية.

تم توثيق Scarab لأول مرة من قبل فريق Symantec Threat Hunter ، وهو جزء من Broadcom Software ، في يناير 2015 ، عندما قام بتفصيل الهجمات المستهدفة للغاية ضد الأفراد الناطقين بالروسية منذ يناير 2012 على الأقل لنشر باب خلفي يسمى Scieron.

لاحظ باحثو Symantec في ذلك الوقت: “إذا نجح المهاجمون في اختراق أجهزة الكمبيوتر الخاصة بالضحايا ، فإنهم يستخدمون تهديدًا خلفيًا أساسيًا يسمى Trojan.Scieron لإسقاط Trojan.Scieron.B على الكمبيوتر”. “يحتوي Trojan.Scieron.B على مكون يشبه الجذور الخفية يخفي بعض أنشطة الشبكة ويتميز بوظائف الباب الخلفي المحسّنة.”

تأتي اتصالات HeaderTip بجعل Scarab من تداخل البرمجيات الخبيثة والبنية التحتية مع تلك الخاصة بـ Scieron ، مع وصف SentinelOne الأخير بأنه سلف الباب الخلفي المكتشف حديثًا. تم تصميم HeaderTip كملف DLL 32 بت ومكتوب بلغة C ++ ، ويبلغ حجمه 9.7 كيلوبايت وتقتصر وظيفته على العمل كحزمة المرحلة الأولى لجلب وحدات المرحلة التالية من خادم بعيد.

وقال هيجل: “استنادًا إلى أهداف معروفة منذ عام 2020 ، بما في ذلك تلك التي استهدفت أوكرانيا في مارس 2022 ، بالإضافة إلى استخدام لغة محددة ، فإننا نقيم بثقة معتدلة أن سكاراب يتحدث الصينية ويعمل في إطار أغراض جمع المعلومات الاستخبارية الجيوسياسية”.

اذا وجدت هذه المقالة مثيرة للاهتمام؟ تابعً على Facebook لقراءة المزيد من المحتوى الحصري الذي ننشره.

Share.

Leave A Reply