استغلال آليات تحديث برمجيات صينية لشن هجمات وتثبيت أبواب خلفية متقدمة

استغلال آليات تحديث برمجيات صينية لشن هجمات وتثبيت أبواب خلفية متقدمة
استغلال آليات تحديث برمجيات صينية لشن هجمات وتثبيت أبواب خلفية متقدمة
شارك هذا الخبر

كشفت شركة ESET للأمن السيبراني عن حملة اختراق معقدة تنفذها مجموعة تهديد صينية متقدمة تُعرف باسم TheWizards، حيث تستخدم أداة جديدة تدعى Spellbinder لشن هجمات رجل في المنتصف (AitM) ضمن شبكات تم اختراقها، مستغلة بروتوكول IPv6 SLAAC لتسهيل التنقل الجانبي (Lateral Movement) واعتراض بيانات الشبكة.

كيف تعمل أداة Spellbinder؟

بحسب الباحث الأمني فاكوندو مونيوث من ESET، فإن أداة Spellbinder تستغل بروتوكول “التكوين التلقائي لعناوين IPv6 بدون حالة (SLAAC)” لتضليل الأنظمة في الشبكة المستهدفة، وجعلها تعتمد المهاجم كـ”موجه افتراضي”. وبهذا، يتمكن القراصنة من اعتراض وتحويل حركة المرور، وتحديدًا تلك المرتبطة بتحديث برمجيات صينية شرعية مثل Sogou Pinyin.

بمجرد نجاح الهجوم، تُستخدم هذه الآلية في حقن ملف ضار في عملية التحديث، والذي يعمل كـ”أداة تنزيل” (Downloader) تُثبت لاحقًا بابًا خلفيًا معياريًا يُدعى WizardNet، ما يمنح المهاجمين قدرة على تنفيذ أوامر وتحميل برمجيات خبيثة إضافية عن بُعد.

استغلال متكرر لعمليات التحديث البرمجية الصينية

تُعد هذه الهجمة امتدادًا لعدة حملات سابقة قامت بها مجموعات قرصنة صينية أخرى استغلت آلية التحديث في Sogou Pinyin:

  • في يناير 2024، استغلت مجموعة تُعرف باسم Blackwood ذات الآلية لتثبيت برمجية خبيثة اسمها NSPX30.

  • في وقت لاحق، كشفت ESET عن مجموعة أخرى باسم PlushDaemon استخدمت تقنية مشابهة لتوزيع أداة تنزيل مخصصة تُدعى LittleDaemon.

أما TheWizards، فقد اتسع نطاق هجماتها لتشمل أفرادًا وقطاعات المقامرة في كمبوديا، الصين، هونغ كونغ، الفلبين، والإمارات.

آلية الهجوم: من التسلل إلى السيطرة

تبدأ سلسلة الهجوم عبر توزيع ملف ZIP يحتوي على:

AVGApplicationFrameHost.exe

wsc.dll

log.dat

winpcap.exe

يتم تثبيت WinPcap، ثم تشغيل  AVGApplicationFrameHost.exe، والذي يُستخدم لتحميل مكتبة DLL ضارة (wsc.dll) تقوم بقراءة shellcode من log.dat وتشغيله في الذاكرة. هذا يؤدي إلى تشغيل Spellbinder، التي تستخدم مكتبة WinPcap لاعتراض حزم الشبكة واستغلال بروتوكول اكتشاف الشبكة في IPv6 (ICMPv6 RA) لإقناع الأنظمة باعتماد المهاجم كموجه موثوق.

في إحدى الهجمات المسجّلة خلال عام 2024، استغل المهاجمون هذا الأسلوب لاختراق آلية التحديث الخاصة بـTencent QQ، حيث تم اعتراض طلب DNS الموجه إلى النطاق update.browser.qq[.]com، وإعادة توجيهه إلى خادم ضار  يحمل نسخة معدلة تحتوي على باب خلفي.

أدوات أخرى: DarkNights وارتباطات بمزودين حكوميين

تمتلك مجموعة TheWizards أيضًا أدوات متقدمة أخرى، مثل DarkNights، المعروفة أيضًا باسم DarkNimbus بحسب تريند مايكرو، والتي نُسبت إلى مجموعة صينية أخرى تُعرف باسم Earth Minotaur. ورغم التشابه في الأدوات، إلا أن الباحثين يعتبرون المجموعتين كيانات مستقلة بسبب اختلاف البنية التحتية والأساليب.

كشفت التحقيقات أن البرمجية الخبيثة DarkNimbus طُورت من قبل شركة صينية متعاونة مع وزارة الأمن العام تُدعى Sichuan Dianke Network Security Technology Co., Ltd. (UPSEC).

وأكد مونيوث أن TheWizards تستخدم WizardNet للأجهزة التي تعمل بنظام ويندوز، بينما يتم تقديم DarkNights كتحديث ضار للتطبيقات على أجهزة أندرويد، مما يشير إلى أن Dianke تعمل كـ”جهة لوجستية رقمية” لهذه المجموعة.

وسوم
محمد طاهر
محمد طاهر
المقالات: 232

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


انتهت فترة التحقق من reCAPTCHA. يُرجى إعادة تحميل الصفحة.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة