القرصنة الموجهة ضد الهند: مجموعة TAG-140 تنشر DRAT V2 لاستهداف قطاعات حكومية ودفاعية وسككية

القرصنة الموجهة ضد الهند: مجموعة TAG-140 تنشر DRAT V2 لاستهداف قطاعات حكومية ودفاعية وسككية
القرصنة الموجهة ضد الهند: مجموعة TAG-140 تنشر DRAT V2 لاستهداف قطاعات حكومية ودفاعية وسككية
شارك هذا الخبر

كشفت مجموعة الأبحاث الأمنية Recorded Future عن حملة تجسس إلكتروني تقودها مجموعة تهديد تُعرف باسم TAG-140، تستهدف مؤسسات حكومية ودفاعية وسككية في الهند، باستخدام نسخة مُحدّثة من برنامج الوصول عن بُعد الخبيث (RAT) تُعرف باسم DRAT V2.

وترتبط TAG-140 بمجموعة SideCopy، وهي فرع عملياتي ضمن جماعة Transparent Tribe المدعومة من دولة معادية للهند، والمرتبطة بعدة أسماء أخرى منها: APT36 وMythic Leopard وProjectM.

ووفقًا للتقرير، اعتمدت الحملة على تقليد الموقع الرسمي لوزارة الدفاع الهندية، من خلال بوابة بيانات صحفية مزيفة، لتوجيه الضحايا إلى سلسلة إصابة تبدأ بنسخ أمر خبيث إلى الحافظة وتنفيذه يدويًا في واجهة الأوامر.

برمجيات خبيثة جديدة وتكتيكات متطورة

أظهر الإصدار الجديد من DRAT تحسنًا في القدرة على تنفيذ الأوامر عن بُعد باستخدام واجهة سطر الأوامر، مع استخدام تقنيات مثل:

  • تشفير عناوين الخوادم باستخدام ترميز Base64.

  • تحسين بروتوكولات التواصل بين البرمجية والخادم (TCP).

  • إخفاء الأوامر في الحافظة من خلال إلحاقها بمسارات ملفات مزيفة.

ورغم تطور هذه النسخة، إلا أن DRAT V2 لا يحتوي على تقنيات متقدمة لمكافحة التحليل الأمني، مما يجعله قابلًا للكشف عبر أدوات تحليل السلوك الثابت والديناميكي.

توسع في الاستهداف

توسعت حملة TAG-140 لتشمل قطاعات السكك الحديدية، النفط والغاز، والعلاقات الخارجية، إلى جانب المؤسسات الحكومية والدفاعية والتعليمية، مستهدفة أنظمة تشغيل ويندوز ولينكس.

كما كشفت مختبرات Seqrite أن مجموعة APT36 استخدمت في مايو 2025 برنامج التجسس Ares RAT لاستهداف القطاعات الحيوية في الهند، من خلال حملات تصيّد موجهة تحاكي طلبات شراء رسمية من المركز الوطني للمعلومات (NIC)، وتضم ملفات PDF خبيثة تحتوي على روابط لتنزيل ملفات تنفيذية متخفية.

وتشمل إمكانيات هذه البرامج:

  • تسجيل ضغطات المفاتيح.

  • التقاط محتوى الحافظة.

  • سرقة بيانات المتصفح.

  • تحميل حمولة لاحقة من الذاكرة.

  • الاتصال بخوادم خارجية لنقل البيانات والتحكم عن بعد.

استهداف توزيعة BOSS Linux وحملات ELF

أكدت شركة CYFIRMA أن APT36 وسّعت نطاق استهدافها ليشمل أنظمة BOSS Linux المُستخدمة على نطاق واسع في المؤسسات الحكومية الهندية، وذلك من خلال رسائل تصيّد تسقط ملفات ELF ضارة تمنح المهاجمين وصولًا غير مشروع.

وفي حملة أخرى، استخدمت مجموعة APT36 نسخة جديدة من برنامج DISGOMOJI مكتوب بلغة Go ومُعدّ لنظام Linux، يستخدم خدمات Google Cloud للتحكم والتواصل، بدلًا من خوادم Discord السابقة.

حملة “كونفوشيوس”: برمجيتا WooperStealer وAnondoor

وفي تطور آخر، نسبت الأبحاث الأمنية مجموعة Confucius، المرتبطة بالهند، إلى حملة تجسس إلكتروني جديدة تنشر أدوات مثل WooperStealer لسرقة البيانات وAnondoor، وهو باب خلفي معياري غير موثق سابقًا.

تبدأ السلسلة بملفات اختصار (LNK) تمكّن من تحميل DLL خبيثة عبر تقنية DLL side-loading، تليها عملية جمع معلومات النظام، وتنزيل WooperStealer من خادم خارجي.

ويملك Anondoor قدرات واسعة تشمل:

  • تنفيذ الأوامر.

  • التقاط لقطات الشاشة.

  • سرقة كلمات مرور كروم.

  • تصفح وتنزيل الملفات.

وقالت شركة KnownSec 404 الصينية إن هذه الحملة تمثل تطورًا في قدرات Confucius، من أدوات تجسس بسيطة إلى باب خلفي معياري يعتمد على DLL مكتوبة بلغة C# ويستخدم تقنيات متقدمة لتفادي بيئات التحليل الأمني.

وسوم
محمد طاهر
محمد طاهر
المقالات: 484

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة