استهدفت مجموعة تجسس إلكتروني مرتبطة بالصين المجتمع التبتي ضمن حملتين نُفذتا في يونيو الماضي، تزامنًا مع اقتراب الذكرى التسعين لميلاد الدالاي لاما.
وقد أطلق باحثو فريق Zscaler ThreatLabz على الحملتين اسم “عملية GhostChat” و”عملية PhantomPrayers”، مشيرين إلى أنهما اعتمدتا على هجمات متعددة المراحل طالت أنظمة الضحايا.
وقال الباحثان الأمنيان سوديب سينغ وروي تاي في تقرير نُشر في وقت سابق: “قام المهاجمون باختراق موقع إلكتروني شرعي، وأعادوا توجيه الزوار إلى رابط خبيث أدى في النهاية إلى تثبيت أدوات تحكم عن بعد مثل Gh0st RAT أو PhantomNet (المعروفة أيضًا بـ SManager) على أجهزة الضحايا”.
أسلوب البئر المسموم يعود لاستهداف التبتيين
لم تكن هذه المرة الأولى التي تستخدم فيها جهات تهديد صينية تقنية “البئر المسموم” (Watering Hole)، وهي طريقة يقوم فيها المهاجم باختراق مواقع إلكترونية يزورها جمهور مستهدف من أجل إصابتهم بالبرمجيات الخبيثة.
وعلى مدار العامين الماضيين، لجأت مجموعات اختراق مثل EvilBamboo وEvasive Panda وTAG-112 إلى هذا الأسلوب لاستهداف الشتات التبتي، بهدف جمع معلومات حساسة.
عملية GhostChat: تطبيق دردشة مزيف باسم TElement
في حملة GhostChat الأخيرة، رصد الباحثون اختراق صفحة إلكترونية جرى فيها استبدال الرابط الأصلي المؤدي إلى “tibetfund[.]org/90thbirthday” برابط مزيف “thedalailama90.niccenter[.]net”.
كانت الصفحة الأصلية تهدف إلى إرسال رسائل تهنئة للدالاي لاما، بينما أضافت النسخة المزيفة خيارًا لتحميل تطبيق دردشة مشفر باسم TElement يُزعم أنه النسخة التبتية من تطبيق Element، وذلك عبر رابط “tbelement.niccenter[.]net”.
لكن التطبيق الذي يستضيفه الموقع كان يحتوي على نسخة ملغّمة من برنامج الدردشة مفتوح المصدر، تتضمن مكتبة DLL خبيثة يتم تحميلها بشكل جانبي لتفعيل Gh0st RAT، وهو حصان طروادة للتحكم عن بُعد يُستخدم على نطاق واسع من قبل مجموعات اختراق صينية.
كما تضمّنت الصفحة الخبيثة شفرة JavaScript لجمع عنوان IP ومعلومات المتصفح للزائر، ثم إرسالها إلى المهاجمين عبر طلب POST باستخدام بروتوكول HTTP.
عملية PhantomPrayers: تطبيق مزيف لتسجيل التهاني يتحول إلى باب خلفي
تُستخدم برمجية Gh0st RAT لتنفيذ مجموعة واسعة من المهام، تشمل التلاعب بالملفات، والتقاط الشاشة، واستخلاص محتوى الحافظة، وتسجيل الفيديو من الكاميرا، وتسجيل المفاتيح، والتلاعب بالعمليات، وتشغيل أوامر عن بُعد.
أما الحملة الثانية، المسماة عملية PhantomPrayers، فتعتمد على نطاق خبيث آخر هو “hhthedalailama90.niccenter[.]net”، لنشر تطبيق مزيف يُدعى “DalaiLamaCheckin.exe” يروج لما يسمى “تسجيل تهاني عيد الميلاد العالمي”.
يعرض التطبيق عند فتحه خريطة تفاعلية ويطلب من المستخدمين “إرسال بركاتهم” للدالاي لاما بالنقر على موقعهم الجغرافي، لكن في الخلفية يتم تشغيل وظائف خبيثة باستخدام تقنيات التحميل الجانبي لمكتبات DLL لتفعيل باب خلفي باسم PhantomNet.
يتصل PhantomNet بخادم التحكم والسيطرة (C2) عبر بروتوكول TCP لتلقي مكونات إضافية (DLLs) وتنفيذها على الجهاز المصاب. وأوضح الباحثون أن PhantomNet يدعم التشغيل وفق جدول زمني مخصص، لكن هذه الميزة لم تكن مفعّلة في العينة التي تم تحليلها.
وأضاف التقرير أن الباب الخلفي استخدم مكونات DLL على شكل وحدات قابلة للتحميل، وتواصل مشفر باستخدام AES، وإعدادات زمنية قابلة للتكوين، ما يمنحه القدرة على إدارة الأنظمة المصابة بسرية وفعالية.
